Você está na página 1de 168

GESTÃO DE RISCOS

Avaliação da Maturidade
República Federativa do Brasil
Tribunal de Contas da União

Ministros

Raimundo Carreiro (Presidente)


José Múcio Monteiro (Vice-presidente)
Walton Alencar Rodrigues
Benjamin Zymler
Augusto Nardes
Aroldo Cedraz de Oliveira
Ana Arraes
Bruno Dantas
Vital do Rêgo

Ministros-Substitutos

Augusto Sherman Cavalcanti


Marcos Bemquerer Costa
André Luís de Carvalho
Weder de Oliveira

Ministério Público junto ao TCU

Cristina Machado da Costa e Silva (Procuradora-Geral)


Lucas Rocha Furtado (Subprocurador-geral)
Paulo Soares Bugarin (Subprocurador-geral)
Marinus Eduardo De Vries Marsico (Procurador)
Júlio Marcelo de Oliveira (Procurador)
Sérgio Ricardo Costa Caribé (Procurador)
Rodrigo Medeiros de Lima (Procurador)
GESTÃO DE RISCOS
Avaliação da Maturidade

SEGECEX/ADGECEX/SEMEC
JANEIRO - 2018
© Copyright 2018,
Tribunal de Contas de União
<www.tcu.gov.br>

Permite-se a reprodução desta publicação,


em parte ou no todo, sem alteração do
conteúdo, desde que citada a fonte e sem
fins comerciais.

RESPONSABILIDADE PELO CONTEÚDO


Tribunal de Contas da União
Secretaria de Métodos e Suporte ao
Controle Externo da Secretaria-Geral
de Controle Externo

FOTOGRAFIA
Istock

Alexandre França de Araújo


páginas 162 e 163
________________________________________

Brasil. Tribunal de Contas da União.


Roteiro de Avaliação de Maturidade da
Gestão de Riscos / Tribunal de Contas da
União. – Brasília: TCU, Secretaria de Métodos
e Suporte ao Controle Externo, 2018.
164 p.
1. Gestão de riscos – governança. 2. Gestão
de riscos – accountability. 3. Auditoria –
metodologia. I. Título.
________________________________________

Ficha catalográfica elaborada pela


Biblioteca Ministro Ruben Rosa
APRESENTAÇÃO
As políticas públicas devem responder às demandas sociais e apresentar um re-
torno condizente com o volume dos tributos arrecadados e recursos de outras
fontes que oneram o cidadão de forma direta ou indireta.

As ações de governança e de gestão das organizações públicas devem buscar, de


maneira integrada, entregar o melhor valor para a população. No entanto, deter-
minar quanto risco aceitar na busca pela otimização do que é oferecido para os
cidadãos constitui um desafio, pois significa prestar o serviço da melhor maneira
possível equilibrando riscos e benefícios.

Um instrumento relevante para lidar com esse desafio é a gestão de riscos, pro-
cesso estratégico e fundamental para as organizações do setor público. Geren-
ciar riscos de modo eficaz contribui para o aumento da confiança dos cidadãos
nas organizações públicas ao subsidiar informações para a tomada de decisão,
contribuir para um melhor desempenho na realização dos objetivos de políticas,
organizações e serviços públicos e auxiliar na prevenção de perdas e no gerencia-
mento de incidentes.

Ciente dos benefícios que uma boa gestão de riscos é capaz de proporcionar, o
Tribunal de Contas da União (TCU) vem adotando medidas para induzir melho-
rias nesse tema. Este Roteiro é parte do esforço do Tribunal para o aprimoramen-
to nessa área.

O objetivo primeiro deste documento é apoiar os auditores do setor público –


do controle externo, interno ou das auditorias internas – a avaliar a maturidade
da gestão de riscos das organizações públicas e a identificar os aspectos que
necessitam ser aperfeiçoados para melhorar a entrega de produtos e serviços à
sociedade brasileira.

Além disso, o documento pode ser utilizado pelos gestores públicos como
instrumento de autoavaliação, tomando eles próprios a iniciativa de elaborar
e colocar em prática os planos de ação para aperfeiçoamento das práticas de
gestão de riscos.

Dessa forma, o TCU oferece mais uma contribuição para aprimorar a Administra-
ção Pública, o que possibilitará à coletividade acesso a informações relevantes
sobre o uso de recursos do Erário.

Raimundo Carreiro
Presidente do TCU
SUMÁRIO

1. INTRODUÇÃO 8
1.1 FUNDAMENTO E PROPÓSITO DO ROTEIRO 8
1.2 CONCEITOS FUNDAMENTAIS 9
1.3 ABORDAGENS DO RISCO EM TRABALHOS DO TCU 9
1.3.1 Avaliação de riscos para o plano de controle externo 10
1.3.2 Avaliação de riscos em levantamentos 10
1.3.3 Avaliação de riscos em auditorias 10
1.3.4 Auditoria de gestão de riscos 10
1.4 COMO USAR ESTE ROTEIRO 11

2. IMPORTÂNCIA DA GESTÃO DE RISCOS 14


2.1 RELAÇÃO DA GESTÃO DE RISCOS COM A ACCOUNTABILITY PÚBLICA 14
2.2 RELAÇÃO DA GESTÃO DE RISCOS COM A GOVERNANÇA 16

3. VISÃO GERAL DA GESTÃO DE RISCOS 18


3.1 PRINCÍPIOS, ESTRUTURA E COMPONENTES 19
3.2 PAPÉIS E RESPONSABILIDADES 19
3.3 AS TRÊS LINHAS DE DEFESA 24

4. MODELOS DE GESTÃO DE RISCOS 28


4.1 COSO GRC 2004 – GERENCIAMENTO DE RISCOS – ESTRUTURA INTEGRADA 29
4.2 COSO GRC 2017 – INTEGRADO COM ESTRATÉGICA E DESEMPENHO 30
4.3 ISO 31000 – GESTÃO DE RISCOS – PRINCÍPIOS E DIRETRIZES 32
4.4 THE ORANGE BOOK – PRINCÍPIOS E CONCEITOS 32
5. PROCESSO DE GESTÃO DE RISCOS 36
5.1 VISÃO GERAL DO PROCESSO DE GESTÃO DE RISCOS 36
5.2 COMUNICAÇÃO E CONSULTA 37
5.3 ESTABELECIMENTO DO CONTEXTO 37
5.4 PROCESSO DE AVALIAÇÃO DE RISCOS 38
5.4.1. Identificação de riscos 39
5.4.2. Análise de riscos 39
5.4.3. Avaliação de riscos 46
5.4.4. Tratamento de riscos 47
5.5 MONITORAMENTO E ANÁLISE CRÍTICA 48

6. MODELO DE MATURIDADE DO TCU 52


6.1 DIMENSÕES DO MODELO 53
6.1.1 Ambiente 53
6.1.1.1 Liderança 53
6.1.1.2 Políticas e estratégias 53
6.1.1.3 Pessoas 54
6.1.2 Processos 55
6.1.2.1 Identificação e análise de riscos 55
6.1.2.2 Avaliação e resposta a riscos 56
6.1.2.3 Monitoramento e comunicação 56
6.1.3 Parcerias 56
6.1.4 Resultados 56
6.2 DETERMINAÇÃO DO NÍVEL DE MATURIDADE 57
6.2.1 Avaliando os índices de maturidade de cada aspecto 57
6.2.2 Avaliando os índices de maturidade de cada dimensão 58
6.2.3 Determinando o nível de maturidade global da gestão de riscos 58

7. PADRÕES GERAIS DA AUDITORIA DE GESTÃO DE RISCOS 62


7.1 OBJETO DA AUDITORIA 62
7.2 OBJETIVOS DA AUDITORIA 63
7.3 TIPO DO TRABALHO E NÍVEL DE ASSEGURAÇÃO 63
7.4 TIPO DE RELATÓRIO 63
7.5 CRITÉRIOS DE AUDITORIA 64
7.6 PROCEDIMENTOS DE AUDITORIA 64
7.7 AVALIAÇÃO DA EVIDÊNCIA DE AUDITORIA 65
7.8 DOCUMENTAÇÃO DA AUDITORIA 66
SUMÁRIO

8. O PROCESSO DE AUDITORIA DE GESTÃO DE RISCOS 68


8.1 ENTENDIMENTO DA ORGANIZAÇÃO 68
8.1.1 Objetivos da obtenção de entendimento da organização 68
8.1.2 Procedimentos para obtenção de entendimento 71
8.1.3 Documentação do entendimento 72
8.2 PLANEJAMENTO DA AUDITORIA 73
8.2.1 Definição da estratégia global de auditoria 73
8.2.2 Determinação da materialidade 74
8.2.3 Elaboração do plano de auditoria 75
8.2.4 Elaboração da matriz de planejamento 76
8.3 EXECUÇÃO DA AUDITORIA 76
8.3.1 Aplicação dos procedimentos e instrumentos de coleta de dados 76
8.3.2 Avaliação das evidências e conclusões 77
8.4 RELATÓRIO DA AUDITORIA 77
8.4.1 Comentários de gestores 80
8.4.2 Propostas de encaminhamento 80

9. GLOSSÁRIO 82

10. REFERÊNCIAS 90

11. APÊNDICES 96
APÊNDICE I – Critérios para avaliação da maturidade em gestão de riscos 96
APÊNDICE II – Matriz de planejamento 114
1. INTRODUÇÃO
INTRODUÇÃO

1.1 FUNDAMENTO E PROPÓSITO organizações e desenvolver um indicador


DO ROTEIRO que pudesse ser aplicado para medir o ní-
vel de maturidade de entidades públicas
Desde 2011, o TCU vem estabelecendo obje- na gestão de riscos (BRASIL, 2013). Para
tivos estratégicos voltados para a promoção e isso foi concebido um modelo de avaliação
indução de práticas de gestão de riscos na ad- que incorpora critérios das melhores prá-
ministração pública. O plano estratégico em ticas internacionais em uso no setor públi-
vigor (PET 2015-2021) contém o objetivo de: co, notadamente os modelos COSO GRC
(COSO, 2004), britânico (UK, 2004 e 2009)
Induzir o aperfeiçoamento da gestão de e a norma ABNT NBR ISO 31000 Gestão
riscos e controles internos da Administra- de Riscos – princípios e diretrizes (ABNT,
ção Pública. 2009). Adicionalmente, foram realizadas
auditorias em sete entidades selecionadas
Conhecer o nível de maturidade e identi- do levantamento, com o objetivo de de-
ficar os aspectos da gestão de riscos que senvolver o método e os papéis de traba-
necessitam ser aperfeiçoados nas organiza- lho para conduzir auditorias de gestão de
ções públicas constitui um subsídio relevan- riscos, com base nos critérios do modelo
te para que o TCU possa fazer recomenda- de avaliação desenvolvido. Este roteiro de
ções e monitorar planos de ação com vistas auditoria foi elaborado a partir da expe-
a aprimorar esse importante componente riência adquirida nesses trabalhos, com o
da governança na administração pública. propósito de:

Com esse objetivo, o TCU realizou levan- a) apoiar a avaliação da maturidade


tamento, entre novembro de 2012 e feve- da gestão de riscos de organiza-
reiro de 2013, envolvendo 65 entidades da ções públicas e a identificação de
administração federal indireta, para avaliar aspectos que necessitam ser aper-
a maturidade da gestão de riscos nessas feiçoados; e

8 | Gestão de Riscos - Avaliação da Maturidade


b) fornecer orientação e disponibili- pois da consideração das ações
zar ferramentas para a realização adotadas pela gestão (por exem-
de auditorias de gestão de riscos plo, controles internos) para redu-
em organizações públicas, de ma- zir o risco inerente.
neira eficiente e eficaz, bem como
orientar sobre a forma e o conteú- f) Apetite a risco – expressão ampla
do do relatório. de quanto risco uma organização
está disposta a enfrentar para im-
1.2 CONCEITOS FUNDAMENTAIS plementar sua estratégia, atingir
seus objetivos e agregar valor para
São conceitos-chaves para a leitura as partes interessadas, no cumpri-
deste roteiro 1 : mento de sua missão.

a) Evento – um incidente ou uma g) Tolerância a risco – nível de varia-


ocorrência de fontes internas ou ção aceitável no desempenho em
externas à organização, que po- relação à meta para o cumprimento
dem impactar a realização de ob- de um objetivo específico, em nível
jetivos de modo negativo, positivo tático ou operacional.
ou ambos.
1.3 ABORDAGENS DO RISCO
b) Risco – possibilidade de ocorrência EM TRABALHOS DO TCU
de um evento que afete adversa-
mente a realização de objetivos. O risco é inerente a todas as ativida-
des humanas, em todos os campos. No
c) Oportunidade – possibilidade de âmbito da gestão de recursos públicos,
ocorrência de um evento que afete o risco está presente tanto nas ativida-
positivamente a realização de ob- des que envolvem a aplicação desses
jetivos. recursos, como naquelas que envolvem
a fiscalização e o controle da sua boa e
d) Risco inerente – nível de risco an- regular aplicação, ambas relacionadas à
tes da consideração de qualquer atuação do Tribunal. Disso decorrem va-
ação de mitigação. riadas abordagens do risco nos trabalhos
do TCU, destacando-se principalmente
e) Risco residual – nível de risco de- as quatro a seguir:

______
1 Para outros termos relacionados à terminologia de risco, consulte o Glossário adicionado ao final deste documento ou a
norma ABNT ISO GUIA 73: Gestão de Riscos: Vocabulário (ABNT, 2009a).

Tribunal de Contas da União | 9


1. INTRODUÇÃO

1.3.1 Avaliação de riscos para o plano ou administrar o risco de chegar a conclu-


de controle externo sões inapropriadas e fornecer um relatório
de auditoria que seja inadequado às cir-
Avaliação de riscos que afetam objetos de cunstâncias (ISSAI 100, 40 e 46). Geralmen-
nível macro, presentes no universo do con- te esse processo envolve a:
trole externo, tais como políticas, progra-
mas, projetos e atividades governamentais. a) identificação dos objetivos do ob-
Os objetivos da avaliação de riscos para o jeto de auditoria no contexto dos
plano de controle externo são revelar quais objetivos da organização e análise
situações são mais importantes e requerem dos riscos inerentes associados, que
a atuação do TCU, selecionar os objetos de sejam relevantes para o trabalho;
controle expostos a maiores riscos e esta-
belecer prioridades para as ações de con- b) estimativa do risco de controle me-
trole externo. diante avaliação das respostas que a
gestão adota para mitigar os riscos
1.3.2 Avaliação de riscos identificados e avaliados como signi-
em levantamentos ficativos, incluindo o desenho e a im-
plementação de controles internos;
Avaliação de riscos relacionados a um ob-
jeto específico de controle externo, com o c) estimativa da significância dos riscos
objetivo de revelar as áreas desses objetos que ainda remanescem após consi-
que estão expostas a riscos significativos, derado o efeito das respostas ado-
analisar como a gestão responde a esses tadas pela gestão, mediante combi-
riscos, com vistas a priorizá-las para futuros nação dos dois riscos anteriores; e
trabalhos, bem como avaliar a viabilidade
da realização de fiscalizações. d) definição do escopo, das questões
de auditoria (objetivos específicos)
1.3.3 Avaliação de riscos em auditorias e da estratégia de auditoria, focan-
do os riscos de maior significância
Avaliação de riscos realizada na fase de pla- e os controles-chaves, de modo a
nejamento das auditorias, com objetivo de satisfazer os objetivos do trabalho
subsidiar a definição do escopo e as ques- com o nível de confiança requerido.
tões de auditoria (objetivos de auditoria
específicos), selecionar os procedimentos 1.3.4 Auditoria de gestão de riscos
de auditoria que sejam os mais eficientes e
eficazes para abordá-los e determinar a sua Auditoria realizada com o objetivo de ava-
natureza, época e extensão, a fim de reduzir liar a maturidade da gestão de riscos em

10 | Gestão de Riscos - Avaliação da Maturidade


organizações públicas e identificar os as- incertezas e os desafios envolvi-
pectos que necessitam ser aperfeiçoados, dos no seu cumprimento.
mediante avaliação dos princípios, da es-
trutura e demais elementos do processo de  O capítulo 3 fornece uma visão
gerenciamento de riscos colocados em prá- geral da gestão de riscos, tra-
tica pela organização para identificar, ana- tando dos princípios, da estru-
lisar, avaliar, tratar e comunicar riscos que tura e do processo, de modo a
possam impactar o alcance dos seus obje- fornecer entendimento concei-
tivos e, por conseguinte, os resultados que tual da gestão de riscos como
devem ser entregues à sociedade na for- objeto de auditoria.
ma de bens e serviços públicos. Este rotei-
ro trata dessa abordagem.  O capítulo 4 apresenta as caracterís-
ticas básicas dos principais modelos
1.4 COMO USAR ESTE ROTEIRO reconhecidos internacionalmen-
te, que são utilizados pelas organi-
O uso deste roteiro não dispensa, de for- zações para implementar e avaliar
ma alguma, a observância dos padrões e uma gestão de riscos de forma con-
a conformidade com os requisitos estabe- sistente e sistematizada.
lecidos no Manual de Auditoria Operacio-
nal (BRASIL, 2010), nas NAT (BRASIL, 2011)  O capítulo 5 descreve o processo
e nas ISSAI correspondentes à auditoria de gestão de riscos, detalha as su-
operacional, ao contrário, o roteiro deve as etapas e as principais atividades
ser lido e seguido em conjunto com esses em cada etapa, com o objetivo de
documentos, buscando-se orientações adi- fornecer uma base para que os au-
cionais ou mais abrangentes, a menos que ditores possam avaliar a qualidade
o assunto seja especificamente e exausti- dos processos de gestão de riscos
vamente tratado no roteiro. Além desta das organizações.
introdução, o roteiro está organizado nos
seguintes capítulos:  O capítulo 6 apresenta o modelo de
avaliação da maturidade organizacio-
 O capítulo 2 descreve a impor- nal em gestão de riscos desenvolvido
tância da gestão de riscos para pelo TCU e o seu método de deter-
apoiar a governança e a gestão minação do nível de maturidade.
das organizações do setor pú-
blico no cumprimento das su-  O capitulo 7 descreve as caracte-
as obrigações de accountability, rísticas específicas, os objetivos e
destacando as características, as os padrões gerais da auditoria de

Tribunal de Contas da União | 11


1. INTRODUÇÃO

gestão de riscos, enquanto o capí- cilitar a realização das auditorias de


tulo 8 proporciona o método para gestão de riscos de maneira eficien-
a sua realização. te e eficaz: os critérios para avalia-
ção da gestão de riscos e as suas
 No capítulo 9 é disponibilizado um fontes, e a matriz de planejamento
glossário com definições de ter- para realizar a avaliação.
mos aplicáveis à gestão de riscos,
visando facilitar a leitura e compre-  Acompanha ainda o roteiro uma
ensão do roteiro. planilha em Excel para ajudar o au-
ditor a registrar o resultado final da
 No capítulo 10 encontram-se as re- avaliação das evidências de audito-
ferências utilizadas na elaboração ria e calcular automaticamente os
do roteiro. índices de maturidade de cada as-
pecto, bem como determinar o ní-
 Finalmente, o capítulo 11, traz dois vel de maturidade global da gestão
apêndices com ferramentas para fa- de riscos da organização. g

12 | Gestão de Riscos - Avaliação da Maturidade


2. IMPORTÂNCIA DA
GESTÃO DE RISCOS

Tribunal de Contas da União | 13


IMPORTÂNCIA DA
GESTÃO DE RISCOS

E
ste capítulo destaca a importância da estruturada e oportuna gera benefícios
gestão de riscos para apoiar os agen- que impactam diretamente cidadãos e ou-
tes da governança e da gestão das tras partes interessadas da organização ao
organizações públicas no cumprimento de viabilizar o adequado suporte às decisões
suas responsabilidades de gerar, preservar de alocação e uso apropriado dos recursos
e entregar valor público em benefício da so- públicos, o aumento do grau de eficiência
ciedade (accountability). e eficácia no processo de criação, prote-
ção e entrega de valor público, otimizando
A busca dos objetivos de uma organização o desempenho e os resultados entregues
pública envolve riscos decorrentes da natu- à sociedade.
reza de suas atividades, de realidades emer-
gentes, de mudanças nas circunstâncias e 2.1 RELAÇÃO DA GESTÃO DE RISCOS
nas demandas sociais, da própria dinâmica COM A ACCOUNTABILITY PÚBLICA
da administração pública, bem como da
necessidade de mais transparência e pres- O elemento basilar da accountability pú-
tação de contas e de cumprir variados re- blica é o dever que têm as pessoas ou enti-
quisitos legais e regulatórios. dades às quais se tenha confiado a gestão
de recursos públicos, de assumir respon-
Assim, as organizações públicas necessitam sabilidades pela realização de objetivos
gerenciar riscos, identificando-os, analisan- na implementação de políticas, no forne-
do-os e, em seguida, avaliando se eles de- cimento de bens e serviços de interesse
vem ser modificados por algum tratamento, público, e de prestar contas à sociedade
de maneira a propiciar segurança razoável e a quem lhes delegou essas responsabili-
para que os objetivos sejam alcançados. dades sobre o desempenho, os resultados
obtidos e o uso apropriado dos recursos. É
A gestão de riscos corretamente imple- ainda obrigação de demonstrar que admi-
mentada e aplicada de forma sistemática, nistrou ou controlou os recursos median-

14 | Gestão de Riscos - Avaliação da Maturidade


te estratégias que permitiriam segurança define o direcionamento estratégico e esta-
razoável do alcance desses objetivos. O belece a liderança para que os órgãos e as
não cumprimento dessas obrigações de entidades do setor público possam cumprir
accountability é cada vez mais percebido suas missões. A gestão tática e operacional,
pela sociedade como quebra de responsa- por sua vez, implementa a estratégia para
bilidades confiadas. realizar os objetivos.

Para cumprir tais obrigações, a gestão es- As ações da governança e da gestão, de


tratégica das organizações públicas (os ór- forma integrada, buscam entregar o melhor
gãos de governança e a alta administração) valor para os cidadãos na forma de políti-

Tribunal de Contas da União | 15


2. IMPORTÂNCIA DA GESTÃO DE RISCOS

cas, bens e serviços públicos que atendam Uma gestão de riscos eficaz melhora as
às suas necessidades e expectativas legíti- informações para o direcionamento estra-
mas, e apresentem um retorno condizente tégico e para as tomadas de decisões de
com os recursos colocados à sua disposi- responsabilidade da governança, contribui
ção, oriundos dos tributos arrecadados e para a otimização do desempenho na rea-
de outras fontes de recursos que oneram o lização dos objetivos de políticas e servi-
cidadão de forma direta ou indireta, como ços públicos e, consequentemente, para
o endividamento público. o aumento da confiança dos cidadãos nas
organizações públicas, além de prevenir
Para cumprir os objetivos inerentes às obri- perdas e auxiliar na gestão de incidentes e
gações de accountability, tanto a tomada no atendimento a requisitos legais e regu-
de decisão na definição da estratégia, por lamentares (BRASIL, 2014).
parte dos órgãos de governança e da alta
administração, como a sua implementação, Integrar a gestão de riscos como elemen-
por parte da gestão executiva, enfrentam to-chave da responsabilidade gerencial,
influências de fatores internos e externos, implantar uma abordagem de controle in-
que tornam incerto se e quando tais ob- terno baseada no risco e incluir a gestão de
jetivos serão atingidos. O efeito que essa riscos nos programas de apoio ao desen-
incerteza tem sobre os objetivos da organi- volvimento das competências dos gestores
zação é chamado de “risco” (ABNT, 2009). públicos são algumas das recomendações
do relatório “Avaliação da OCDE sobre o
2.2 RELAÇÃO DA GESTÃO DE RISCOS Sistema de Integridade da Administração
COM A GOVERNANÇA Pública Federal Brasileira - Gerenciando
riscos por uma administração pública mais
O desafio da governança nas organizações íntegra”, que também enfatiza a necessi-
públicas é determinar quanto risco aceitar dade de promoção de uma liderança com-
na busca do melhor valor para os cidadãos prometida com a criação de uma cultura
e outras partes interessadas, o que signifi- de gestão que promova a gestão de riscos
ca prestar o serviço de interesse público da como ferramenta estratégica do sistema
melhor maneira possível, equilibrando ris- de governança (OCDE, 2011). g
cos e benefícios (INTOSAI, 2007). O instru-
mento da governança para lidar com esse
desafio é a gestão de riscos, um processo
estratégico e fundamental para as organi-
zações do setor público, e um componente
relevante de seus sistemas de governança
(BRASIL, 2014).

16 | Gestão de Riscos - Avaliação da Maturidade


3. VISÃO GERAL DA
GESTÃO DE RISCOS

Tribunal de Contas da União | 17


VISÃO GERAL DA
GESTÃO DE RISCOS

E
ste capítulo descreve os fundamen- ciamento dos riscos nos diversos contextos
tos e os aspectos estruturais da ges- específicos em que os objetivos de uma or-
tão de riscos, visando fornecer um ganização são perseguidos (ABNT, 2009).
entendimento conceitual básico da gestão
de riscos como objeto de auditoria, sem a A gestão de riscos compreende todas as
pretensão de cobrir todo o conhecimento atividades coordenadas para dirigir e con-
necessário para uma equipe conduzir com trolar uma organização no que se refere
êxito uma auditoria de gestão de riscos. ao risco. Não é uma atividade autôno-
ma, separada das demais, mas sim par-
Os membros da equipe designada para te de todos os processos organizacionais,
realizar uma auditoria de gestão de riscos incluindo o planejamento estratégico, os
devem possuir, coletivamente, o conheci- projetos e processos de gestão em todos
mento, as habilidades e a competência ne- os níveis da organização (ABNT, 2009). É
cessários para concluir com êxito a auditoria parte integrante e indissociável das res-
(ISSAI 100, 39; NAT, 52). Portanto, deve-se ponsabilidades administrativas e inclui ati-
buscar satisfazer esses requisitos por meio vidades como:
de treinamento, compartilhamento de ex-
periências e outros recursos oferecidos pelo a) estabelecer o ambiente
Tribunal, como tutorias, e, principalmente, apropriado, incluindo a estrutura
por meio do estudo do material indicado para gerenciar riscos;
nas referências deste roteiro.
b) definir, articular e comunicar os
Em termos gerais, “gestão de riscos” refe- objetivos e o apetite a risco;
re-se à arquitetura (princípios, estrutura e
processo) para gerenciar riscos eficazmen- c) identificar potenciais ameaças ou
te, enquanto “gerenciar riscos” refere-se à oportunidades ao cumprimento
aplicação dessa arquitetura para o geren- dos objetivos;

18 | Gestão de Riscos - Avaliação da Maturidade


d) avaliar os riscos (i.e., determinar Estrutura de gestão de riscos é a maneira
o impacto e a probabilidade da como a entidade se organiza para geren-
ameaça se materializar); ciar os riscos do negócio, representando o
conjunto de componentes e arranjos orga-
e) selecionar e implantar respostas nizacionais para a concepção, a implemen-
aos riscos, por meio de controles e tação, o monitoramento, a análise crítica e
outras ações; a melhoria contínua da gestão de riscos por
toda a organização, incluindo a política de
f) comunicar as informações sobre gestão de riscos, os manuais, os recursos,
os riscos de forma consistente em a definição de responsabilidades e objeti-
todos os níveis; vos que permitirão incorporar a gestão de
riscos em todos os níveis da organização
g) monitorar e coordenar os (ABNT, 2009).
processos e os resultados do
gerenciamento de riscos; e Gerenciamento de riscos representa as ati-
vidades realizadas pelas pessoas em todos
h) fornecer avaliação (assurance) quanto os níveis da organização, desde a definição
à eficácia com que os riscos são ge- da estratégia até as atividades operacio-
renciados (ABNT, 2009; IIA, 2009a). nais, aplicando os princípios, a estrutura e
o processo de gestão de riscos para dar su-
Essas atividades envolvem responsabilida- porte à tomada de decisões e à implemen-
des de pessoas, cargos e funções em todos tação de ações para manter os riscos dentro
os níveis da organização, conforme aborda- do nível de apetite e das tolerâncias a ris-
do no tópico 3.2. cos estabelecidos pela administração, pro-
porcionando, assim, segurança razoável do
3.1 PRINCÍPIOS, ESTRUTURA cumprimento dos objetivos da organização
E COMPONENTES (INTOSAI, 2007).

Princípios da gestão de riscos representam 3.2 PAPÉIS E RESPONSABILIDADES


as condições que precisam estar incorpora-
das aos componentes ou à estrutura e ao Cada pessoa na organização tem uma par-
processo de gestão de riscos, para que ela cela de responsabilidade na gestão de ris-
seja eficaz e se torne parte da cultura da or- cos e todo o pessoal deve receber uma
ganização, traduzindo-se em um conjunto mensagem clara da governança e da alta
compartilhado de valores, comportamentos administração de que as responsabilidades
e práticas que caracterizam como a entida- de gerenciamento de riscos devem ser le-
de aborda o risco. vadas a sério (INTOSAI, 2007). Responsabi-

Tribunal de Contas da União | 19


3. VISÃO GERAL DA GESTÃO DE RISCOS

lidades claras devem ser definidas para que  saber até que ponto a administra-
cada grupo de profissionais (constante da ção estabeleceu um gerenciamento
ilustração da figura 3.1) entenda os limites de risco eficaz;
de suas responsabilidades e como os seus
cargos se encaixam na estrutura geral de  estar ciente e de acordo com o ape-
gestão de riscos e controle da organização tite a risco;
(IIA, 2013).
 revisar o portfólio de riscos assumi-
A alta administração e os órgãos de gover- dos em contraste com o apetite a
nança têm, coletivamente, a responsabili- risco; e
dade e o dever de prestar contas sobre o
estabelecimento dos objetivos da organi-  ser notificado em relação aos ris-
zação, a definição de estratégias para al- cos mais significativos e saber se
cançá-los e o estabelecimento de estrutu- a administração está responden-
ras e processos de governança para melhor do a esses riscos adequadamente
gerenciar os riscos durante a realização dos (COSO, 2004).
objetivos (IIA, 2013). É, portanto, uma res-
ponsabilidade primária dessas instâncias A administração é diretamente respon-
assegurar a existência, o monitoramento e sável pela concepção, estruturação e
a avaliação de um efetivo sistema de ges- implementação da gestão de riscos. Em
tão de riscos e controle interno, bem como qualquer organização, o presidente ou di-
utilizar as informações resultantes desse rigente máximo é o depositário final des-
sistema para apoiar seus processos decisó- sa responsabilidade, cabendo-lhe assumir
rios (TCU, 2014). a iniciativa.

Na prática, os órgãos de governança deci- Os demais executivos apoiam a cultura e


dem e delegam a implantação e operação gerenciam os riscos dentro de suas esfe-
da gestão de riscos aos executivos da ges- ras de responsabilidade, conforme as tole-
tão, assumindo um papel de supervisão des- râncias a risco estabelecidas, alinhadas ao
ses processos. Além disso, usam os serviços apetite a risco da organização. São eles e
de asseguração da auditoria interna para os seus gerentes nos níveis operacionais
monitorar e avaliar a eficácia dos processos que têm a propriedade dos riscos e a res-
de gerenciamento de riscos e controles por ponsabilidade primária pela identificação
toda a organização. e pelo gerenciamento dos riscos em suas
áreas, conduzindo procedimentos de risco
A supervisão da gestão de riscos pelos ór- diariamente e mantendo controles internos
gãos de governança envolve: eficazes sobre as operações (COSO, 2004).

20 | Gestão de Riscos - Avaliação da Maturidade


g Figura 3.1: Sistema de governança de órgãos e entidades da administração pública (TCU, 2014).

Sociedade

Cidadãos Outras partes


GOVERNANÇA interessadas

Instâncias externas de Organizações


governança (Responsáveis superiores
pelo controle
e regulamentação)
Instâncias internas
de governança

Conselho de
administração
ou equivalente
Instâncias
externas de Instâncias internas
apoio à Alta de apoio
governança Administração à governança
Auditoria Administração executiva Auditoria interna
independente
(autoridade máxima e Comissões e comitês
Controle social dirigentes superiores)
organizado Ouvidoria

Gestão tática
(dirigentes)

Gestão
operacional
(gerentes)
GESTÃO

Tribunal de Contas da União | 21


3. VISÃO GERAL DA GESTÃO DE RISCOS

Os funcionários da linha de frente, que li-  promover competência em geren-


dam diariamente com questões operacio- ciamento de riscos;
nais críticas, estão em melhores condições
para reconhecer e comunicar riscos que  orientar a integração do gerencia-
podem surgir e essa responsabilidade é mento de riscos com outras ativida-
geralmente atribuída a todos os funcio- des de gestão;
nários, cujo cumprimento exige canais de
comunicação para cima e clara disposição  estabelecer uma linguagem unifor-
para ouvir (INTOSAI, 2007). me de gestão de riscos, que inclua
medidas comuns de probabilidade,
Em organizações grandes, e dependendo impacto e categorias de riscos;
de fatores como o ambiente e o setor de
atuação, a complexidade das operações,  comunicar ao presidente e à dire-
a natureza das atividades e o grau de re- toria executiva o andamento do
gulamentação, pode haver uma função gerenciamento de riscos (COSO,
separada para coordenar as atividades de 2004; IIA, 2009a).
gestão de riscos por toda a organização e
para fornecer habilidades e conhecimen- Além disso, pode haver uma função de
tos especializados. compliance que monitora riscos específicos
de não conformidade com leis e regulamen-
A função de coordenar as atividades de tos, reportando diretamente aos órgãos de
gestão de riscos é mais bem-sucedida governança, reguladores ou à alta adminis-
quando claramente estabelecida para dar tração, ou múltiplas funções com responsa-
suporte e facilitar os gestores a estabelecer bilidades por tipos específicos de monito-
processos de gerenciamento de riscos que ramento da conformidade, como saúde e
sejam eficazes em suas áreas de responsa- segurança, meio ambiente, licitações e con-
bilidade. São responsabilidades dessa fun- tratos, controle de qualidade; bem como
ção, por exemplo: uma função de controladoria que monitore
os riscos financeiros e questões de reporte
 fornecer metodologias e ferramen- financeiro (IIA, 2013).
tas para unidades de negócios com
a finalidade de identificar, avaliar e Em organizações pequenas, com operações
gerenciar riscos; e regulamentação de baixa complexidade,
pode ser que não exista uma estrutura ou
 definir funções e responsabilidades sistema formal de gestão de riscos e a res-
pela gestão de riscos nas unidades ponsabilidade pela coordenação das ativi-
de negócio; dades de gerenciamento de riscos pode ser

22 | Gestão de Riscos - Avaliação da Maturidade


atribuída a uma área que cuida de plane- e a objetividade dos auditores; e os que
jamento ou controladoria, ou ainda a uma não deve assumir, porque compromete-
assessoria do dirigente máximo. riam esses valores fundamentais para que
a auditoria forneça asseguração, livre que
A função de auditoria interna tem o papel quaisquer influências, sobre a eficácia dos
de auxiliar a organização a realizar seus ob- processos de gerenciamento de riscos e
jetivos a partir da aplicação de uma abor- controles da organização.
dagem sistemática e disciplinada para ava-
liar e melhorar a eficácia dos processos de O papel fundamental da auditoria interna
gerenciamento de riscos, controle e gover- na gestão de riscos é fornecer asseguração
nança (IIA, 2009). A Figura 3.2 indica quais aos órgãos de governança e à alta adminis-
são os papéis fundamentais que auditoria tração, bem como aos órgãos de controle
interna deve assumir; os que pode assu- e regulamentação, de que os processos de
mir, com salvaguardas à sua independência gerenciamento de riscos operam de manei-

g Figura 3.2: O papel da auditoria interna no gerenciamento de riscos (IIA, 2009a).


Facilitar a identificação
e avaliação de riscos
Coordenar as ativi

nsolid e
Mante

ada
Orie forma co r riscos d

os r ção
Def

s
isco
r e des

ta a tra
end

R
De

s
r ta

la G
i
er a

spo min
sen

Repo

Re
envolv

e
vol

imp

vis
p

R
na r a a
s

-se

eG

ar
ver

dades de GR
lant

ag
od
ntar

r
er a es
est

Da
iza

es
e

ss

r
açã

são ga tão o
rat

bil

isc
ce

r
cor nt a r
pro
nsa
égi

de ea
o

trutura

ret ia d t
d

eti
ro

ris
ad

a
spo
aG

Ava m e p
ce

ent que co bre


oa
eG

li
ele

a s- s soscos
R

Re

repo r o p e e os nir
stim risc cha e
R

efi
tab

õ
de GR

rte d roce cis ri


os r sso v D r deostas a
Es

isco de adosos es ma p
s-cha To res
Dar ga iscos
rantia
dos pr
ves
s po stas aistrração
ocess ntar re dmi n
os de
GR Implanome da a
e m
Avaliar o proces cos
so de GR inistração de ris
Garan a adm
tir

Papéis fundamentais da Papéis que a auditoria interna


auditoria interna na GR Papéis legítimos da auditoria NÃO deve assumir
interna (com salvaguardas)

Tribunal de Contas da União | 23


3. VISÃO GERAL DA GESTÃO DE RISCOS

ra eficaz e que os riscos significativos do ne- Em situações em que a organização


gócio são gerenciados adequadamente em não tenha processos formais de ges-
todos os níveis da organização. A auditoria tão de risco, o responsável pela au-
interna deve ter uma compreensão clara da ditoria precisa discutir formalmente
estratégia da organização e de como ela com a administração e o conselho as
é executada, quais os riscos associados e suas obrigações de entender, geren-
como esses riscos estão sendo gerenciados. ciar e monitorar os riscos da organi-
As atividades indicadas à esquerda da figu- zação (IIA 2009a, Norma 2120-1, 3).
ra representam esse papel.
Entretanto, se a auditoria interna ainda não
A estratégia da organização deve ser um tiver adotado uma abordagem baseada em
elemento fundamental no desenvolvimen- risco, representada pelas atividades de as-
to dos planos anuais de auditoria, de modo seguração descritas à esquerda da figura, é
a alinhar as atividades da auditoria inter- improvável que esteja apta a desempenhar
na com as prioridades da organização e a as atividades de consultoria descritas no
garantir que os seus recursos são aloca- centro da figura (IIA, 2009a).
dos em áreas de maior risco (IIA 2120-3).
Além disso, a fim de habilitar a auditoria À medida que a maturidade da gestão de
interna a auxiliar a administração a identi- riscos da organização evolui e o gerencia-
ficar os riscos mais significativos para o al- mento de riscos torne-se mais inserido nas
cance dos objetivos da organização, seus operações do negócio, o papel da audito-
trabalhos devem utilizar uma abordagem ria interna em promover o gerenciamento
baseada em risco, viabilizando que sejam de riscos vai se reduzindo, voltando a se
efetivamente formulados, implementados concentrar em seu papel de asseguração
e monitorados planos de ação para o trata- (IIA, 2009a).
mento dos riscos identificados.
3.3 AS TRÊS LINHAS DE DEFESA
Quando uma organização não dispõe de
um processo formal de gestão de riscos, a Em entidades onde não há uma estrutu-
auditoria interna deve levar o fato à aten- ra ou sistema formal de gestão de riscos,
ção dos órgãos de governança e da alta como pode ser o caso de organizações
administração, recomendando o estabe- pequenas, ainda assim é possível ajudar
lecimento de tal processo, podendo assu- a aumentar a compreensão e a eficácia
mir um envolvimento direto nos primeiros da abordagem de risco da organização,
estágios de sua implementação, mediante melhorando a delegação e a coordenação
trabalhos de consultoria, como indicado no das tarefas essenciais de gerenciamento
centro da Figura 3.2. de riscos mediante a utilização de uma

24 | Gestão de Riscos - Avaliação da Maturidade


abordagem como a das Três Linhas de  Funções que supervisionam riscos:
Defesa (IIA, 2013). a segunda linha defesa é constituída
por funções estabelecidas para ga-
A abordagem das Três Linhas de Defesa, rantir que a primeira linha funcione
embora não seja um modelo de gestão de como pretendido no tocante ao ge-
riscos, é uma forma simples e eficaz para me- renciamento de riscos e controles. As
lhorar a comunicação e a conscientização so- funções específicas variam muito en-
bre os papéis e as responsabilidades essen- tre organizações e setores, mas são,
ciais de gerenciamento de riscos e controles, por natureza, funções de gestão. Seu
aplicável a qualquer organização – não im- papel é coordenar as atividades de
portando o seu tamanho ou a sua comple- gestão de riscos, monitorar riscos
xidade – ainda que não exista uma estrutura específicos (funções de compliance
ou sistema formal de gestão de riscos. ou de conformidade), ajudar a de-
senvolver controles e ou monitorar
Por essa abordagem, há três linhas de de- riscos e controles da primeira linha
fesa, ou grupos de responsáveis envolvidos de defesa;
com o gerenciamento de riscos, como ex-
planado a seguir:  Funções que fornecem avaliações
independentes: a auditoria interna
 Funções que gerenciam e têm constitui a terceira linha de defesa
propriedade de riscos: a gestão no gerenciamento de riscos, forne-
operacional e os procedimentos cendo avaliações (asseguração) in-
diários de controles constituem a dependentes e objetivas sobre os
primeira linha de defesa no geren- processos de gerenciamento de ris-
ciamento de riscos. A gestão ope- cos, controle e governança aos ór-
racional serve naturalmente como gãos de governança e à alta admi-
a primeira linha de defesa, porque nistração, abrangendo uma grande
os controles são desenvolvidos variedade de objetivos (incluindo
como sistemas e processos sob sua eficiência e eficácia das operações;
orientação e responsabilidade. É salvaguarda de ativos; confiabilida-
nesse nível que se identificam, ava- de e a integridade dos processos
liam e controlam riscos, guiando o de reporte; conformidade com leis
desenvolvimento e a implementa- e regulamentos) e elementos da
ção de políticas e procedimentos estrutura de gerenciamento de ris-
internos e garantindo que as ativi- cos e controle interno em todos os
dades estejam de acordo com as níveis da estrutura organizacional
metas e objetivos. da entidade.

Tribunal de Contas da União | 25


3. VISÃO GERAL DA GESTÃO DE RISCOS

Embora os órgãos de governança e a alta ad- te em sua estrutura geral de governança e


ministração não estejam considerados entre controle, podendo ser considerados linhas
as três linhas de defesa, nenhuma conside- adicionais de defesa, que fornecem avalia-
ração sobre gerenciamento de riscos estaria ções tanto às partes interessadas externas
completa sem levar em conta, em primeiro da organização, como ao próprio órgão de
lugar, os papéis essenciais dessas duas ins- governança e à alta administração da enti-
tâncias, que são as principais partes interes- dade (IIA, 2013).
sadas e as que estão em melhor posição para
instituir e assegurar o bom funcionamento A Figura 3.3 ilustra como responsabilidades
das três linhas de defesa no processo de ge- específicas são delegadas e coordenadas
renciamento de riscos e controles da organi- dentro da organização para que cada gru-
zação (IIA, 2013). po de profissionais entenda seus papéis, os
limites de suas responsabilidades e como
Órgãos de controle externo, reguladores, seus cargos se encaixam na estrutura de
auditores externos e outros órgãos externos gestão de riscos e controle, fornecendo
estão fora da estrutura da organização, mas uma contribuição significativa para a abor-
podem desempenhar um papel importan- dagem de risco da organização. g

g Figura 3.3: Modelo de Três Linhas de Defesa (IIA, 2013).

Órgão de Governança / Conselho / Comitê de Auditoria

Alta Administração
Auditoria Externa

Regulador

1a LINHA DE DEFESA 2a LINHA DE DEFESA 3a LINHA DE DEFESA


Controle Financeiro
Segurança
Medidas de
Controles da Gerenciamento de Riscos Auditoria
Controle
Gerência Interna
Interno Qualidade
Inspeção
Conformidade

26 | Gestão de Riscos - Avaliação da Maturidade


4. MODELOS DE GESTÃO
DE RISCOS
MODELOS DE GESTÃO
DE RISCOS

P
ara lidar com riscos e aumentar a chance a importância de gerenciar riscos e avança
de alcançar objetivos, as organizações com a implementação de práticas e estru-
adotam desde abordagens informais até turas necessárias à gestão eficaz dos riscos.
abordagens altamente estruturadas e sistema- O ápice desse processo se dá quando a or-
tizadas de gestão de riscos, dependendo do ganização conta com uma abordagem con-
seu porte e da complexidade de suas ope- sistente para gerenciar riscos em atividades
rações. Este capítulo apresenta os principais relevantes, e com uma cultura organizacio-
modelos reconhecidos internacionalmente, nal profundamente aderente aos princípios
que são utilizados pelas organizações para e práticas da gestão de riscos.
implementar e avaliar uma gestão de riscos
de forma consistente e sistematizada. Um princípio da gestão de riscos é que ela
deve ser feita sob medida, alinhada com o
Todavia, somente as características gerais contexto interno e externo da organização
desses modelos são apresentadas, deven- e com o seu perfil de riscos. O desenho e
do os membros da equipe designada para a implementação de estruturas e processos
realizar uma auditoria de gestão de riscos de gestão de riscos devem levar em consi-
aprofundar o seu entendimento a respeito deração as necessidades específicas da or-
de componentes, princípios e práticas re- ganização em face dos objetivos que dão
comendados por esses modelos, mediante suporte à sua missão e dos riscos associa-
estudo do material indicado nas referências dos, envolvendo aspectos como natureza,
deste roteiro e de outros recursos ofereci- complexidade, estratégia, contexto, estru-
dos pelo TCU. tura, operações, processos, funções, proje-
tos, produtos, serviços ou ativos e práticas
A implantação da gestão de riscos em uma empregadas (ABNT, 2009). Em qualquer si-
organização é um processo de aprendiza- tuação, é importante que a organização se
gem organizacional, que começa com o apoie em modelos reconhecidos como os
desenvolvimento de uma consciência sobre apresentados neste capítulo.

28 | Gestão de Riscos - Avaliação da Maturidade


Adotar padrões e boas práticas estabe- contexto dos objetivos e da estrutura em
lecidos em modelos reconhecidos é uma uma organização.
maneira eficaz de estabelecer uma abor-
dagem sistemática, oportuna e estrutura- g Figura 4.1: Modelo de Gestão de Riscos
da para a gestão de riscos, que contribua COSO 2004 (COSO, 2007).
para a eficiência e a obtenção de resulta-
dos consistentes (ABNT, 2009), evitando
que a organização seja aparelhada com
uma coleção de instrumentos e procedi-
mentos burocráticos, descoordenados,
que mais dão a falsa impressão da existên-
cia de um sistema de gestão de riscos e Am
b
controle do que garantam efetivamente os Id e F ix aç ien t e

Unidade de Negócio
ntif ão I nt e

Subsidiária
ica de
O rno
benefícios desejados.
ç
Ava ã o d e b j e t i v
liaç Eve os

Nível de Organização
4.1 COSO GRC 2004 – Ati Res ão de ntos
Info vidad posta Risc

Divisão
GERENCIAMENTO DE RISCOS –
rma es d a R os
ESTRUTURA INTEGRADA çõe e C isc
s e on t o
C r
Mo omun ole
O COSO é o modelo de gestão de riscos nito ica
ram ções
predominante no cenário corporativo in- e nt
o
ternacional, especialmente na América
do Norte. Foi desenvolvido pela Pricewa-
terhouseCoopers LLP, sob encomenda do a) a face superior do cubo indica as
COSO – Comitê das Organizações Patro- categorias de objetivos que são co-
cinadoras (Committe Of Sponsoring Or- muns a todas as organizações, e que
ganizations of the Treadway Commission), a gestão de riscos deve fornecer se-
com o propósito de fornecer uma estraté- gurança razoável para seu alcance.
gia de fácil utilização pelas organizações
para avaliar e melhorar o gerenciamento b) a face frontal indica os compo-
de riscos. nentes que devem estar presentes
e em funcionamento para que a
O modelo é apresentado na forma de gestão de riscos seja eficaz. Esses
uma matriz tridimensional, demonstran- componentes foram derivados da
do uma visão integrada dos componen- maneira ideal como uma adminis-
tes que uma administração precisa adotar tração deveria conduzir o negócio
para gerenciar riscos de modo eficaz, no de uma organização.

Tribunal de Contas da União | 29


4. MODELOS DE GESTÃO DE RISCOS

c) a face lateral representa a estrutu- sempenho” – para destacar a importância


ra da organização, incluindo unida- do gerenciamento de riscos tanto na de-
des, áreas, funções, processos, pro- finição quanto na execução da estratégia
jetos e todas as demais atividades e no gerenciamento do desempenho or-
que concorrem para a realização de ganizacional. Com a incorporação dessa
seus objetivos, em todos os níveis. perspectiva, o modelo proporciona maior
Os componentes de gerenciamen- alinhamento às expectativas em torno das
to de riscos devem também estar responsabilidades da governança e da alta
presentes e em funcionamento em administração no cumprimento das suas
cada uma dessas áreas, funções e obrigações de accountability.
atividades, na proporção requerida
pelos seus riscos, com base em jul- A revisão atualiza os componentes, adota
gamento da administração. princípios, simplifica definições, enfatiza o
papel da cultura e melhora o foco no valor:
4.2 COSO GRC 2017 – INTEGRADO como as organizações criam, preservam e
COM ESTRATÉGICA E DESEMPENHO entregam valor, inserindo o gerenciamento
de riscos em três dimensões fundamentais
Em junho de 2016, o COSO colocou em para a gestão eficaz de uma organização: (I)
consulta pública uma revisão do mode- a missão, a visão e os valores fundamentais;
lo de 2004, adotando o título provisório (II) os objetivos estratégicos e de negócios;
“Alinhando Risco com Estratégia e De- e (III) o desempenho organizacional.

g Figura 4.2: COSO Enterprise Risk Management – Integrating with Strategy and Performance –
(COSO 2016 Public Exposure; e COSO, 2017; tradução própria).

TO DE RISCOS COR
IAMEN POR
NC AT
RE I
VO
GE

OBJETIVOS
MISSÃO, VISÃO, DESEMPENHO
ESTRATÉGICOS
VALORES FUNDAMENTAIS OTIMIZADO
E DE NEGÓCIOS

Governança e Cultura Revisão e Correção


Estratégia e
Definição de Objetos Informação, Comunicação e Reporte
Desempenho

30 | Gestão de Riscos - Avaliação da Maturidade


Com a revisão, o modelo passa a integrar o ção da gestão de riscos com a gestão do
gerenciamento de riscos com outros proces- desempenho, explorando como as práticas
sos organizacionais, sobretudo os proces- de gerenciamento de riscos apoiam a iden-
sos de governança, de definição da estraté- tificação e avaliação de riscos que impactam
gia, de definição dos objetivos e de gestão a implementação da estratégia e o alcance
do desempenho, indo além da tradicional dos objetivos de negócios.
aplicação do gerenciamento de riscos aos
vários níveis da organização (por exemplo, O modelo revisado reduz os componen-
no nível da entidade, de unidades de negó- tes do gerenciamento de riscos de oito
cios, divisões etc.). A versão final, publicada para cinco:
em junho de 2017, recebeu o nome oficial
de Gerenciamento de Riscos Corporativos - a) Governança e cultura
Integrado com Estratégia e Desempenho.
b) Estratégia e definição
O novo modelo explora o papel do risco na de objetivos
seleção da estratégia, enfatizando dois as-
pectos principais que podem ter um grande c) Desempenho
efeito no valor da organização: a possibili-
dade da estratégia não se alinhar e as impli- d) Revisão e correção
cações das escolhas estratégicas. Isso torna
ainda mais claras as responsabilidades da e) Informação, comunicação e reporte
governança e da alta administração no seu
papel de supervisionar e no seu dever de se Associados aos componentes, foram ado-
envolver no processo de gerenciamento do tados vinte princípios de gerenciamento de
risco corporativo de modo efetivo. Os as- riscos, os quais representam diretrizes para
pectos enfatizados são: práticas que podem ser aplicadas de dife-
rentes maneiras por diferentes organiza-
a) a possibilidade da estratégia – e, ções, independentemente de tamanho ou
assim, os objetivos estratégicos e setor, e cuja implementação permitirá que a
de negócios – não se alinhar com governança e a administração tenham uma
a missão, a visão e os valores fun- expectativa razoável de que a organização
damentais da organização; e entende e é capaz de gerenciar os riscos as-
sociados com a sua estratégia e os seus ob-
b) as implicações da jetivos de negócio, em um nível aceitável.
estratégica escolhida.
O COSO GRC 2004 continua sendo utili-
O novo modelo também melhora a integra- zado, porém a evolução das práticas, para

Tribunal de Contas da União | 31


4. MODELOS DE GESTÃO DE RISCOS

convergir ao novo modelo, é um esforço 4.4 THE ORANGE BOOK –


fortemente recomendável. PRINCÍPIOS E CONCEITOS

4.3 ISO 31000 – GESTÃO DE RISCOS – O The Orange Book Management of Risk -
PRINCÍPIOS E DIRETRIZES Principles and Concepts, produzido e pu-
blicado pelo HM Treasury Britânico, foi a
A ISO 31000 fornece princípios e diretri- principal referência do programa de geren-
zes para gerenciar qualquer tipo de risco ciamento de riscos do governo do Reino
em toda ou em parte de qualquer orga- Unido, iniciado em 2001. O modelo tem
nização. Trata-se de uma norma geral, in- como vantagens, além de ser compatível
dependentemente de indústria, setor ou com padrões internacionais de gerencia-
área, e não concorre com outras normas mento de riscos, como COSO e ISO 31000,
sobre gestão de riscos em áreas específi- apresentar uma introdução ao tema ge-
cas (ABNT, 2009). renciamento de riscos, tratando de forma
abrangente e simples um tema complexo.
Seus objetivos são servir como guia mestre
em matéria de gestão de riscos e harmoni- Com base no Orange Book, o então Minis-
zar os processos de gestão de riscos, forne- tério do Planejamento, Orçamento e Ges-
cendo uma abordagem comum, que pode tão produziu o Guia de Orientação para o
ser aplicada a uma ampla gama de ativida- Gerenciamento de Riscos, para apoiar o
des, incluindo estratégias, decisões, opera- Modelo de Excelência do Sistema de Ges-
ções, processos, funções, projetos, produ- tão Pública (GESPÚBLICA) e prover uma in-
tos, serviços e ativos (ABNT, 2009). Assim, trodução ao tema gerenciamento de riscos
sua lógica é bastante simples e estrutura-se (BRASIL, 2013).
em três partes fundamentais inter-relaciona-
das: os princípios, a estrutura e o processo Em 2009, oito anos após a edição do Oran-
de gestão de riscos, conforme ilustrado na ge Book, o governo britânico divulgou o Risk
Figura 4.3, a seguir. Management Assessment Framework: a Tool
for Departments (UK, 2009), uma ferramenta
Uma contribuição fundamental da ISO 31000 para aferir a gestão de riscos nas organiza-
é o detalhamento do processo de gestão de ções governamentais daquele país e identifi-
riscos, abordado no Capítulo 5 deste roteiro, car oportunidades de melhoria, derivada de
cujo propósito é fornecer uma abordagem um modelo de excelência de gestão utilizado
comum para a aplicação sistemática de po- por mais de trinta mil organizações, princi-
líticas, procedimentos e práticas às ativida- palmente na Europa – The EFQM Excellence
des de gestão de riscos em organizações de Model (EFQM, 2012). A ferramenta é estru-
qualquer área de atuação. turada em sete componentes (Figura 4.4) e,

32 | Gestão de Riscos - Avaliação da Maturidade


g Figura 4.3: ISO 31000:2009 - Relacionamento entre Princípios, Estrutura e Processo (ABNT, 2009).

a) Cria valor

b) Parte integrante Mandato Estabelecimento


dos processos e comprome- do contexto
organizacionais timento
c) Parte da tomada
de decisões

d) Aborda Processo de
avaliação
explicitamente de riscos
a incerteza Concepção
da estrutura
e) Sistemática, para
estruturada e gerenciar Identificação
oportuna riscos de riscos
f) Baseada nas
melhores
informações

Monitoramento e análise crítica


disponíveis Análise de
Comunicação e consulta

Melhoria Implementação riscos


g) Feita sob medida
contínua da da gestão
h) Considera fatores estrutura de riscos
humanos e
culturais Avaliação de
riscos
i) Transparente
e inclusiva

j) Dinâmica, Monitoramento
interativa e capaz e análise Tratamento
de reagir a mudanças crítica da de riscos
estrutura
k) Facilita a melhoria
contínua da
organização

PRINCÍPIOS ESTRUTURA PROCESSO

Tribunal de Contas da União | 33


4. MODELOS DE GESTÃO DE RISCOS

assim como este roteiro do TCU, pode ser menta com a mesma finalidade pretendida
aplicada por examinadores externos ou auto pelo TCU (avaliar a gestão de riscos e iden-
aplicada pelos gestores. tificar oportunidades de melhoria), o mode-
lo foi considerado no desenvolvimento da
Por ter sido desenvolvido especificamente base conceitual do modelo de avaliação da
para o setor público e por tratar-se de ferra- maturidade em gestão de riscos do TCU. g

g Figura 4.4: Modelo de avaliação da gestão de riscos do Reino Unido (UK, 2009).

CAPACIDADES RESULTADOS

Pessoas

Políticas e Processos Eficácia da


Liderança
Estratégias de Gestão Gestão Resultados
para Risco
para Risco de Riscos de Riscos

Parcerias

INOVAÇÃO E APRENDIZADO

34 | Gestão de Riscos - Avaliação da Maturidade


5. PROCESSO DE
GESTÃO DE RISCOS
PROCESSO DE
GESTÃO DE RISCOS

E
ste capítulo descreve o processo de As etapas do processo de gestão de riscos
gestão de riscos, detalha as suas eta- são as apresentadas na ilustração a seguir,
pas e as principais atividades em cada descritas posteriormente nos subitens indi-
etapa, de acordo com a norma ISO 31000, cados entre parênteses na Figura 5.1.
uma vez que essa norma tem o propósito
de harmonizar os processos de gestão de g Figura 5.1: Processo de gestão de riscos da
riscos entre os diversos modelos e fornecer ISO 31000 (ABNT, 2009).
uma abordagem comum para aplicação em
ampla gama de atividades (ABNT, 2009).
Estabelecimento do contexto (5.3)

5.1 VISÃO GERAL DO PROCESSO DE

Monitoramento e análise crítica (5.5)


GESTÃO DE RISCOS Processo de avaliação de riscos (5.4)
Comunicação e consulta (5.2)

O processo de gestão de riscos consiste na


Identificação de riscos (5.4.1)
identificação, análise e avaliação de riscos,
na seleção e implementação de respostas
aos riscos avaliados, no monitoramento de Análise de riscos (5.4.2)

riscos e controles, e na comunicação sobre


riscos com partes interessadas, internas e Avaliação de riscos (5.4.3)
externas, durante toda a aplicação do pro-
cesso. Ele é aplicável a ampla gama das ati-
vidades da organização em todos os níveis, Tratamento de riscos (5.4.4)
incluindo estratégias, decisões, operações,
processos, funções, projetos, produtos, ser-
viços e ativos, e é suportado pela cultura e
Registro do processo de gestão de riscos
pela estrutura (ambiente) de gestão de ris-
cos da entidade.

36 | Gestão de Riscos - Avaliação da Maturidade


5.2 COMUNICAÇÃO E CONSULTA c) garantir que todos os envolvidos
estejam cientes de seus papéis e
Durante todas as etapas ou atividades do responsabilidades, e avalizem e
processo de gestão de riscos deve haver apoiem o tratamento dos riscos.
uma efetiva comunicação informativa e con-
sultiva entre a organização e as partes inte- Convém que seja desenvolvido um plano
ressadas, internas e externas, para: de comunicação e consulta interna e ex-
terna para apoiar essa atividade, seja por
a) auxiliar a estabelecer o contexto meio de um documento formal ou de uma
apropriadamente e assegurar que lista de verificação.
as visões e percepções das partes
interessadas, incluindo necessida- 5.3 ESTABELECIMENTO DO CONTEXTO
des, suposições, conceitos e preo-
cupações sejam identificadas, regis- O estabelecimento do contexto envolve o
tradas e levadas em consideração; entendimento da organização, dos objeti-
vos e do ambiente, inclusive do controle
b) auxiliar a assegurar que os riscos se- interno, no qual os objetivos são persegui-
jam identificados e analisados ade- dos, com o fim de obter uma visão abran-
quadamente, reunindo áreas dife- gente dos fatores que podem influenciar
rentes de especialização; a capacidade da organização para atingir

Tribunal de Contas da União | 37


5. PROCESSO DE GESTÃO DE RISCOS

seus objetivos, bem como fornecer parâ- A documentação dessa etapa normalmen-
metros para a definição de como as ativi- te é feita por meio de:
dades subsequentes do processo de ges-
tão de riscos serão conduzidas. a) um relato conciso dos objetivos or-
ganizacionais, dos fatores críticos
Contexto é o ambiente no qual uma or- para o sucesso e uma análise dos
ganização2 busca atingir os seus objeti- fatores internos e externos do am-
vos e estes são uma parte importante da biente (SWOT, por exemplo);
definição daquele, pois a gestão de ris-
cos ocorre no contexto dos objetivos da b) análise de partes interessadas e
organização. Assim, os objetivos do pro- seus interesses (análise de stake-
cesso, do projeto ou da atividade que holder, RECI, matriz de responsa-
está sendo objeto do processo de ges- bilidades, por exemplo);
tão de riscos devem ser considerados
no contexto dos objetivos da organiza- c) critérios mais importantes com
ção como um todo, de modo a assegu- base nos quais os níveis de risco
rar a identificação dos riscos do objeto serão analisados e avaliados: es-
que sejam significativos para os objeti- calas de probabilidade; escalas
vos da organização. de consequências ou impactos;
como será determinado se o nível
Um dos primeiros passos da atividade de risco é tolerável ou aceitável e
de estabelecimento do contexto é iden- se novas ações de tratamento são
tificar os fatores do ambiente, interno e necessárias, isto é, diretrizes para
externo, no qual a organização persegue priorização e tratamento de (ou
seus objetivos. Não menos importante é resposta a) riscos.
a identificação das partes interessadas,
bem como a identificação e a apreciação 5.4 PROCESSO DE AVALIAÇÃO
das suas necessidades, expectativas legí- DE RISCOS
timas e preocupações, pois essas partes
interessadas devem ser incluídas em ca- O processo de avaliação de riscos é a parte
da etapa ou ciclo do processo de gestão do processo de gestão de riscos que com-
de riscos, por meio do processo de co- preende as atividades de identificação,
municação e consulta, abordado no tópi- análise e avaliação de riscos, descritas nos
co anterior. subitens a seguir.

______
2 Para outros termos relacionados à terminologia de risco, consulte o Glossário adicionado ao final deste documento ou a
norma ABNT ISO GUIA 73: Gestão de Riscos: Vocabulário (ABNT, 2009a).

38 | Gestão de Riscos - Avaliação da Maturidade


5.4.1 Identificação de riscos pessoas com conhecimento adequado sejam
envolvidas na identificação de riscos e que a
Identificação de riscos é o processo de busca, organização utilize ferramentas e técnicas de
reconhecimento e descrição de riscos, tendo identificação de riscos que sejam adequadas
como base o contexto estabelecido e apoiado aos seus objetivos, às suas capacidades e aos
na comunicação e consulta com as partes in- riscos enfrentados (ABNT, 2009). Envolver a
teressadas, internas e externas (ABNT, 2009). equipe diretamente responsável pela execu-
O objetivo é produzir uma lista abrangente de ção do processo, do projeto ou da atividade
riscos, incluindo causas, fontes e eventos, que que está tendo os riscos identificados também
possam ter um impacto na consecução dos ajuda a criar a responsabilidade em relação ao
objetivos identificados na etapa de estabele- processo de gestão de riscos e o comprome-
cimento do contexto. timento em relação ao tratamento dos riscos.

Para produzir uma lista de riscos, deve-se A documentação dessa etapa geralmente
trabalhar com um processo sistemático e inclui pelo menos:
de modo estruturado (mapa de processos,
fluxogramas, estrutura analítica de projeto) a) o escopo do processo, projeto ou
porém, em situações não claramente estru- atividade coberto pela identificação;
turadas, como a identificação de riscos es-
tratégicos, utilizam-se processos de identifi- b) os participantes do processo
cação mais genéricos ou análise de cenários. de identificação;

Em muitos casos, a identificação de riscos em c) a abordagem ou o método utiliza-


múltiplos níveis é útil e eficiente. Em uma eta- do para identificação dos riscos e as
pa preliminar, pode-se adotar uma abordagem fontes de informação consultadas;
do tipo “top-down” para a identificação de
riscos, indo do mais geral para o mais específi- d) o registro dos riscos identificados
co. Primeiro, identificam-se riscos em um nível em sistema, planilha ou matriz de
geral ou superior, como ponto de partida para avaliação de riscos, descrevendo os
estabelecer prioridades para, em um segun- componentes de cada risco separa-
do momento, identificarem-se e analisarem-se damente com, pelo menos, suas cau-
riscos em nível específico e ou mais detalhado. sas, o evento e as consequências.

A identificação de riscos pode se basear em 5.4.2 Análise de riscos


dados históricos, análises teóricas, opiniões
de pessoas informadas e especialistas, neces- A análise de riscos é o processo de com-
sidades das partes interessadas. Convém que preender a natureza do risco e determinar

Tribunal de Contas da União | 39


5. PROCESSO DE GESTÃO DE RISCOS

o nível de risco, fornecendo a base para a ao nível de risco seja proporcional tanto em
avaliação e para as decisões sobre o trata- relação à probabilidade quanto ao impac-
mento de riscos (ABNT, 2009). to, a função ‘Risco’ será essencialmente um
produto dessas variáveis.
O risco é uma função tanto da probabilida-
de como das consequências, portanto, o ní- Risco = P x I
vel do risco é expresso pela combinação da
probabilidade de ocorrência do evento e de Contudo essa relação simples pode não re-
suas consequências, em termos da magnitu- fletir relações não lineares, sendo necessário,
de do impacto nos objetivos. assim, incluir um fator de ponderação para
uma das duas variáveis (probabilidade ou im-
Risco = ƒunção (Probabilidade e Impacto) pacto, de modo a atingir a escala relativa ne-
cessária entre eles) e ou um operador expo-
O resultado final do processo de análise nencial para uma ou para ambas as variáveis
de riscos será o de atribuir, para cada risco (DE CICCO, 2009, adaptado).
identificado, uma classificação tanto para
a probabilidade como para o impacto do Risco = (P)x x (I x fator de ponderação) y
evento, cuja combinação determinará o ní-
vel do risco. A identificação de fatores que Em sua forma qualitativa mais simples, a rela-
afetam a probabilidade e as consequências ção entre o nível de risco e as variáveis que o
também é parte da análise de riscos, in- compõe pode ser ilustrada por meio de uma
cluindo a apreciação das causas e as fontes matriz como a que segue.
de risco, suas consequências positivas ou
negativas, expressas em termos de impac- g Figura 5.2: Matriz de Riscos simples
tos tangíveis ou intangíveis. (BRASIL, 2010a).

Dependendo das circunstâncias, a análise de


Probabilidade baixa Probabilidade alta
riscos pode ser qualitativa, semiquantitativa Impacto alto Impacto alto
ou quantitativa, ou uma combinação destas,
e ser mais ou menos detalhada (ABNT, 2009). MÉDIO ALTO
O método e o nível de detalhamento da aná-
IMPACTO

lise podem ser influenciados pelos objetivos,


Probabilidade baixa Probabilidade alta
pela natureza do risco, pela disponibilidade Impacto baixo Impacto baixo
de informações, dados e recursos.
BAIXO MÉDIO
Em análises qualitativas e semiquantitati-
vas, considerando que a lógica subjacente PROBABILIDADE

40 | Gestão de Riscos - Avaliação da Maturidade


Essa abordagem, mais simples, é geralmen- Análises semiquantitativas geralmente
te utilizada na avaliação inicial de riscos num utilizam escalas, como as exemplifica-
nível geral ou superior, de modo a estabe- das a seguir, para fornecer um enten-
lecer prioridades de identificação e análise dimento comum das classificações de
em nível mais específico ou detalhado; ou probabilidades e impacto. Em situações
quando dados numéricos, tempo e recur- reais, essas escalas são elaboradas de
sos não estão disponíveis para a realização modo compatível com o contexto e os
de análise numérica ou ainda quando não é objetivos específicos da atividade obje-
exigida precisão quantitativa. to da gestão de riscos.

g Tabela 5.1: Exemplo de Escala de Probabilidades (BRASIL, 2012, adaptado).

ESCALA DE PROBABILIDADES

PROBABILIDADE DESCRIÇÃO DA PROBABILIDADE, DESCONSIDERANDO OS CONTROLES PESO


Improvável. Em situações excepcionais, o evento poderá até ocorrer, mas
Muito baixa 1
nada nas circunstâncias indica essa possibilidade.
Rara. De forma inesperada ou casual, o evento poderá ocorrer, pois as cir-
Baixa 2
cunstâncias pouco indicam essa possibilidade.
Possível. De alguma forma, o evento poderá ocorrer, pois as circunstâncias
Média 5
indicam moderadamente essa possibilidade.
Provável. De forma até esperada, o evento poderá ocorrer, pois as circunstân-
Alta 8
cias indicam fortemente essa possibilidade.
Praticamente certa. De forma inequívoca, o evento ocorrerá, as circunstân-
Muito alta 10
cias indicam claramente essa possibilidade.

g Tabela 5.2: Exemplo de Escala de Consequências (BRASIL, 2012, adaptado).

ESCALA DE CONSEQUÊNCIAS

IMPACTO DESCRIÇÃO DO IMPACTO NOS OBJETIVOS, CASO O EVENTO OCORRA PESO


Mínimo impacto nos objetivos (estratégicos, operacionais, de informação/
Muito baixo 1
comunicação/divulgação ou de conformidade).
Baixo Pequeno impacto nos objetivos (idem). 2
Médio Moderado impacto nos objetivos (idem), porém recuperável. 5
Alto Significativo impacto nos objetivos (idem), de difícil reversão. 8
Muito alto Catastrófico impacto nos objetivos (idem), de forma irreversível. 10

Tribunal de Contas da União | 41


5. PROCESSO DE GESTÃO DE RISCOS

O nível de risco inerente (NRI) de um (no nosso exemplo, multiplicação).


evento é o nível de risco antes da con-
sideração das respostas que a gestão A política de gestão de riscos da organização
adota, incluindo controles internos, para geralmente estabelece categorias para classi-
reduzir a probabilidade do evento e ou ficar os níveis de risco resultantes do proces-
os seus impactos nos objetivos. Resulta so de análise, sejam inerentes ou residuais,
da combinação da probabilidade com o de modo consistente com o seu apetite a
impacto, conforme as tabelas anteriores risco, como as exemplificadas na Tabela 5.3.

g Tabela 5.3: Níveis de classificação de risco (elaboração própria).

ESCALA PARA CLASSIFICAÇÃO DE NÍVEIS DE RISCO

RB (Risco Baixo) RM (Risco Médio) RA (Risco Alto) RE (Risco Extremo)


0 – 9,99 10 – 39,99 40 – 79,99 80 – 100

Os resultados das combinações de proba- com a escala de níveis de risco, podem ser
bilidade e impacto, classificados de acordo expressos em uma matriz, como a seguir.

g Tabela 5.4: Matriz de riscos (BRASIL, 2012, adaptado).

MATRIZ DE RISCOS

10 20 50 80 100
Muito
Alto
10

RM RM RA RE RE
8 16 40 64 80
Alto
8

RB RM RA RA RE
IMPACTO

5 10 25 40 50
Médio
5

RB RM RM RA RA
2 4 10 16 20
Baixo
2

RB RB RM RM RM
1 2 5 8 10
Muito
Baixo
1

RB RB RB RB RM
Muito Baixa Baixa Média Alta Muito Alta
1 2 5 8 10
PROBABILIDADE

42 | Gestão de Riscos - Avaliação da Maturidade


Segue-se exemplo de um registro de ris- dos riscos inerentes (NRI), de acordo com o
cos (parcial) com a determinação dos níveis método apresentado.

g Tabela 5.5: Registro de riscos parcial com níveis de risco inerente calculados (BRASIL, 2012, adaptado).

RISCOS IDENTIFICADOS PROBABILIDADE IMPACTO NÍVEL DE RISCO INERENTE (NRI)

Risco 1 – Descrição do risco 1 Alta 8 Muito Alto 10 80 RE (Extremo)

Risco 2 – Descrição do risco 2 Média 5 Alto 8 40 RA (Alto)

Risco 3 – Descrição do risco 3 Baixa 2 Médio 5 10 RM (Médio)

Risco n – Descrição do risco n Muito Baixa 1 Médio 5 5 RB (Baixo)

A análise de riscos só se completa quando as adota com o objetivo de modificar o nível


ações que a gestão adota para respondê-los de risco (ABNT, 2009).
são também avaliadas, chegando-se ao ní-
vel de risco residual, o risco que remanes- As atividades de controle são as ações es-
ce depois de considerado o efeito das res- tabelecidas por meio de políticas e proce-
postas adotadas pela gestão para reduzir dimentos, desempenhadas em todos os
a probabilidade e ou o impacto dos riscos, níveis da organização, em vários estágios
incluindo controles internos e outras ações. dentro do processo organizacional e no am-
Formas de resposta a riscos podem variar biente tecnológico, que ajudam a garantir
entre reduzir, evitar, compartilhar ou aceitar o cumprimento das diretrizes determinadas
o risco, incluindo o estabelecimento de ati- pela administração para mitigar os riscos à
vidades de controle para assegurar que as realização dos objetivos (COSO, 2013). As
respostas definidas pela administração se- atividades de controle também são geral-
jam efetivamente aplicadas. mente referidas como controles internos.

A avaliação das respostas a riscos e ativida- Uma forma de avaliar o efeito dos controles
des de controle correspondentes – ou sim- na mitigação de riscos consiste em deter-
plesmente controles – é parte integrante da minar um nível de confiança (NC), mediante
análise de riscos. Os controles incluem qual- análise dos atributos do desenho e da im-
quer processo, política, dispositivo, prática plementação dos controles, utilizando uma
ou outras ações e medidas que a gestão escala como a exemplificada a seguir.

Tribunal de Contas da União | 43


5. PROCESSO DE GESTÃO DE RISCOS

g Tabela 5.6: Exemplo de escala para avaliação de controles (adaptado de Dantas et al, 2010; e Avalos, 2009).

NÍVEL DE AVALIAÇÃO DO DESENHO E IMPLEMENTAÇÃO DOS CONTROLES RISCO DE


CONFIANÇA (NC) (ATRIBUTOS DO CONTROLE) CONTROLE (RC)
Inexistente Controles inexistentes, mal desenhados ou mal implementados, Muito Alto
NC = 0% (0,0) isto é, não funcionais. 1,0
Controles têm abordagens ad hoc, tendem a ser aplicados caso
Fraco Alto
a caso, a responsabilidade é individual, havendo elevado grau de
NC = 20% (0,2) 0,8
confiança no conhecimento das pessoas.
Controles implementados mitigam alguns aspectos do risco, mas não
Mediano Médio
contemplam todos os aspectos relevantes do risco devido a deficiên-
NC = 40% (0,4) 0,6
cias no desenho ou nas ferramentas utilizadas.
Controles implementados e sustentados por ferramentas
Satisfatório Baixo
adequadas e, embora passíveis de aperfeiçoamento,
NC = 60% (0,6) 0,4
mitigam o risco satisfatoriamente.
Forte Controles implementados podem ser considerados a “melhor Muito Baixo
NC = 80% (0,8) prática”, mitigando todos os aspectos relevantes do risco. 0,2

Observe-se, no exemplo apresentado, que controles adotados pela gestão não sejam
o controle mais bem avaliado recebeu um eficazes para prevenir, detectar e permitir
NC = 80% (0,8). Isso se deve ao fato de que corrigir, em tempo hábil, a ocorrência de
controles têm limitações que lhe são ineren- eventos que possam afetar adversamente
tes, como a possibilidade de se tornarem a realização de objetivos. O RC é definido
ineficazes pela ação de conluio, de contor- como complementar ao NC:
no efetuado pela própria administração ou
simplesmente de falhar por erro humano RC = 1 – NC
na sua aplicação. Logo, não importa quão
efetivo seja o desenho e a implementação Pela fórmula é possível deduzir que quanto
de um controle, ele só poderá fornecer uma mais eficaz for o desenho e a implementa-
segurança razoável, nunca absoluta, quanto ção dos controles, ou seja, quanto maior for
ao cumprimento dos objetivos para os quais o NC, menor será o RC e vice-versa, porém
foi concebido. Portanto, não se deve atri- este nunca será “zero”, uma vez que o nível
buir 100% de confiança a um controle. de confiança jamais será 100%.

Uma vez determinado o nível de confiança Uma vez estabelecido o RC, é possível esti-
(NC), pode-se determinar o risco de con- mar o nível de risco residual (NRR), ou seja,
trole (RC), isto é, a possibilidade de que os o risco que permanece após o efeito das

44 | Gestão de Riscos - Avaliação da Maturidade


respostas adotadas pela gestão, incluindo
controles internos e outras ações, para re- NRR = NRI x RC
duzir a probabilidade e ou o impacto do
evento. Para isso, deduz-se do nível de ris- Segue-se um exemplo de um registro de
co inerente (NRI) o percentual de confiança riscos (parcial) com a determinação dos
(NC) atribuído ao controle, o que equivale níveis dos riscos residuais (NRR) de al-
a multiplicar o NRI pelo RC, utilizando a se- guns riscos identificados, de acordo com
guinte fórmula: o método apresentado.

g Tabela 5.7: Registro de riscos parcial com níveis de risco residual calculados (BRASIL, 2012, adaptado).

NÍVEL DE RIS-
RISCOS NÍVEL DE RISCO EFICÁCIA DO RISCO DE
P I CO RESIDUAL
IDENTIFICADOS INERENTE (NRI) CONTROLE CONTROLE (RC)
(NRR)
Risco 1 Alta - 8 M. Alto - 10 RE - 80 Inexistente 1,0 RE - 80
Risco 2 Média - 5 Alto - 8 RM - 40 Mediano 0,6 RM - 24
Risco 3 Baixa - 2 Alto - 5 RM - 10 Fraco 0,8 RB - 8

A Tabela 5.8 apresenta os riscos residuais níveis de risco inerente selecionados da Ta-
classificados por categorias, conforme os bela 5.4. O propósito é demonstrar o efeito
critérios da entidade para a classificação dos controles (RC) sobre os riscos inerentes
dos níveis de risco (Tabela 5.3) para alguns (NRI) (os valores foram arredondados).

g Tabela 5.8: Matriz de riscos residuais (adaptado de Dantas et al, 2010; e Avalos, 2009).
Baixo Médio Alto Extremo Extremo
100

20 RM 40 RA 60 RA 80 RE 100 RE
NÍVEL DE RISCO INERENTE (NRI)

16 RM 32 RM 48 RA 64 RA 80 RE
80

10 RM 20 RM 30 RM 40 RA 50 RA
50

5 RB 10 RM 15 RM 20 RM 25 RM
25

2 RB 3 RB 5 RB 6 RB 8 RB
8

0,2 Muito baixo 0,4 Baixo 0,6 Médio 0,8 Alto 1 Muito alto
RISCO DE CONTROLE (RC)

Tribunal de Contas da União | 45


5. PROCESSO DE GESTÃO DE RISCOS

A documentação da etapa de análise de ris- 5.4.3 Avaliação de riscos


cos é normalmente feita no registro de ris-
cos e geralmente inclui: A finalidade da avaliação de riscos é auxiliar
na tomada de decisões com base nos resul-
a) a abordagem ou o método de tados da análise de riscos, sobre quais riscos
análise utilizado, as fontes de necessitam de tratamento e a prioridade
informação consultadas e os para a implementação do tratamento. Envol-
participantes do processo ve comparar o nível de risco com os critérios
de análise; de risco estabelecidos quando o contexto foi
considerado, para determinar se o risco e ou
b) as especificações utilizadas para as sua magnitude é aceitável ou tolerável ou se
classificações de probabilidade e algum tratamento é exigido (ABNT, 2009).
impacto dos riscos;
Nessa etapa, portanto, se faz uso da com-
c) a probabilidade de ocorrência preensão e do nível do risco obtidos na eta-
de cada evento, a severidade pa de análise de riscos para tomar decisões
ou magnitude do impacto nos acerca de ações sobre os riscos analisados,
objetivos e sua descrição, bem em especial:
como considerações quanto à
análise desses elementos e o a) se um determinado risco precisa
resultado de sua combinação, o de tratamento e a prioridade
risco inerente; para isso;

d) a descrição dos controles existentes b) se uma determinada atividade


e as considerações quanto à sua deve ser realizada, reduzida
eficácia, e o risco de controle; ou descontinuada;

e) o nível de risco residual, resultante c) se controles devem ser


da combinação dos dois riscos implementados, modificados ou
anteriores (inerente e de controle). apenas mantidos.

A extensão da documentação dos riscos Uma boa prática para apoiar o processo de
de níveis mais baixos pode ser menos de- avaliação de riscos é estabelecer critérios para
talhada, porém deve ser mantido regis- priorização e tratamento (apetite a risco, nível
tro do fundamento lógico para justificar recomendado de atenção, tempo de resposta
a determinação inicial dos níveis de risco requerido, comunicação etc.) associados aos
nesse patamar. níveis de risco. Segue-se um exemplo simples.

46 | Gestão de Riscos - Avaliação da Maturidade


Tabela 5.9: Diretrizes para priorização e tratamento de riscos (adaptado de BRASIL, 2013a).

NÍVEL DE RISCO CRITÉRIOS PARA PRIORIZAÇÃO E TRATAMENTO DE RISCOS


Nível de risco muito além do apetite a risco. Qualquer risco nesse nível deve ser co-
RE municado à governança e alta administração e ter uma resposta imediata. Postergação
de medidas só com autorização do dirigente máximo.
Nível de risco além do apetite a risco. Qualquer risco nesse nível dever ser comunica-
RA do a alta administração e ter uma ação tomada em período determinado. Postergação
de medidas só com autorização do dirigente de área.
Nível de risco dentro do apetite a risco. Geralmente nenhuma medida especial é ne-
cessária, porém requer atividades de monitoramento específicas e atenção da gerência
RM
na manutenção de respostas e controles para manter o risco nesse nível, ou reduzi-lo
sem custos adicionais.
Nível de risco dentro do apetite a risco, mas é possível que existam oportunidades de
RB maior retorno que podem ser exploradas assumindo-se mais riscos, avaliando a rela-
ção custos x benefícios, como diminuir o nível de controles.

Em geral, a documentação dessa etapa Formas de tratar riscos, não mutuamente


é realizada no próprio registro de riscos e exclusivas ou adequadas em todas as cir-
fornece uma lista dos riscos que requerem cunstâncias, incluem evitar, reduzir, transfe-
tratamento, com suas respectivas classifica- rir e aceitar o risco. Selecionar a opção mais
ções e prioridades. adequada envolve equilibrar, de um lado,
os custos e esforços de implementação e,
5.4.4 Tratamento de riscos de outro, os benefícios decorrentes. Deve-
-se considerar a possibilidade de que novos
O tratamento de riscos envolve a seleção riscos sejam introduzidos pelo tratamento e
de uma ou mais opções para modificar o a existência de riscos cujo tratamento não
nível do risco (a probabilidade ou o im- seja economicamente justificável, como
pacto) e a elaboração de planos de trata- riscos severos (com grande consequência
mento que, uma vez implementados, im- negativa), porém raros (com probabilidade
plicarão a introdução de novos controles muito baixa) (ABNT, 2009; INTOSAI, 2007).
ou a modificação dos existentes. Um dos
benefícios da gestão de riscos é exata- Ao avaliar os efeitos das diferentes respos-
mente o rigor que proporciona ao proces- tas, a gestão deve decidir a melhor forma
so de identificação e seleção de alternati- de tratar o risco. A resposta, ou a combi-
vas de respostas aos riscos (ABNT, 2009; nação de respostas selecionadas, não pre-
COSO, 2004). cisa necessariamente gerar a quantidade

Tribunal de Contas da União | 47


5. PROCESSO DE GESTÃO DE RISCOS

mínima de risco residual, mas se gerar um e) as formas de monitoramento da


risco residual acima dos limites de tolerân- implementação do tratamento e
cia a risco estabelecidos, a gestão terá que dos riscos (ABNT, 2009).
reconsiderar a opção de resposta ou os limi-
tes de tolerância (INTOSAI, 2007). 5.5 MONITORAMENTO E
ANÁLISE CRÍTICA
O processo de tratamento é cíclico e inclui:
a avaliação do tratamento já realizado; a O monitoramento e a análise crítica são
avaliação dos níveis de risco residual frente partes integrantes e essenciais da gestão
ao apetite e às tolerâncias a risco definidos; de riscos e uma das etapas mais importan-
a definição e a implementação de tratamen- tes do processo de gestão de riscos, cuja
to adicional nos casos em que o risco resi- finalidade é:
dual extrapolar o apetite e as tolerâncias;
e a avaliação da eficácia desse tratamento a) detectar mudanças no contexto ex-
(ABNT, 2009). terno e interno, incluindo alterações
nos critérios de risco e no próprio
A documentação dessa etapa geralmente risco, que podem requerer revisão
integra o registro de riscos da organização e dos tratamentos atualmente ado-
inclui um plano de tratamento de riscos que tados e suas prioridades, e levar à
identifica claramente a ordem de prioridade identificação de riscos emergentes;
para a implementação de cada tratamento,
e também: b) obter informações adicionais para
melhorar a política, a estrutura e o
a) as razões para a seleção das opções processo de gestão de riscos;
de tratamento, incluindo os benefí-
cios esperados; c) analisar eventos (incluindo os “qua-
se incidentes”), mudanças, tendên-
b) os responsáveis pela aprovação e cias, sucessos e fracassos e apren-
pela implementação do plano; der com eles; e

c) as ações propostas, os recursos re- d) garantir que os controles sejam efi-


queridos, incluindo contingências, e cazes e eficientes no desenho e na
o cronograma; operação (ABNT, 2009).

d) as medidas de desempenho As responsabilidades relativas ao monito-


e os requisitos para o reporte ramento e à análise crítica devem estar cla-
de informações; ramente definidas na política de gestão de

48 | Gestão de Riscos - Avaliação da Maturidade


riscos e detalhadas nos planos, manuais ou supervisionam riscos, por meio de
normativos, contemplando atividades como: auto avaliação de riscos e controles
(Control and Risk Self Assessment -
a) monitoramento contínuo (ou, pelo CRSA); e
menos, frequente) pelas funções
de gestão que têm propriedade c) auditorias realizadas pelas funções
sobre os riscos e pelas funções que que fornecem avaliações inde-
supervisionam riscos e medem o pendentes (a auditoria interna ou
desempenho da gestão de riscos, externa), focando a estrutura e o
por meio de indicadores-chaves de processo de gestão de riscos, em
risco e verificações rotineiras de ín- todos os níveis relevantes das ativi-
dices de desempenho, ritmo de ati- dades organizacionais, ou seja, pro-
vidades, operações ou fluxos atuais curando testar os aspectos sistêmi-
em comparação com os que seriam cos da gestão de riscos em vez das
necessários para o alcance de obje- situações específicas encontradas.
tivos ou a manutenção dentro das
tolerâncias a riscos ou variações As atividades de monitoramento e análise
aceitáveis no desempenho; crítica devem assegurar que o registro de
riscos seja mantido atualizado, bem como
b) análise crítica dos riscos e seus tra- que nele seja incluído pelo menos os re-
tamentos realizada pelas funções sultados das ações mencionadas acima,
que gerenciam e têm propriedade com referências para a documentação
de riscos e ou pelas funções que original completa. g

Tribunal de Contas da União | 49


6. MODELO DE
MATURIDADE
DO TCU
MODELO DE
MATURIDADE DO TCU

E
ste capítulo fornece a visão geral do Orange Book (UK, 2004 e 2009), bem como
modelo de avaliação da maturidade da IN-MP/CGU Nº 1/2016.
organizacional em gestão de riscos
desenvolvido pelo TCU, a partir das melho- O modelo é composto das quatro dimen-
res práticas internacionais em uso no setor sões ilustradas na Figura 6.1 e sua aplicação
público, oriundas dos modelos de gerencia- apoia-se nos critérios descritos no Apêndi-
mento de riscos COSO GRC (COSO, 2004 e ce I – Critérios para avaliação da maturida-
2016), ABNT NBR ISO 31000 Gestão de Ris- de em gestão de riscos, que também indica
cos – Princípios e Diretrizes (ABNT, 2009) e as fontes dos critérios.

g Figura 6.1: Modelo de avaliação da maturidade em gestão de riscos elaborado pelo TCU (BRASIL, 2013).

PROCESSOS
Identificação e Análise de riscos
Avaliação e Resposta a riscos
Monitoramento e Comunicação
AMBIENTE RESULTADOS
Liderança Eficácia da gestão de riscos
Políticas e Estratégias Resultados organizacionais
Pessoas

PARCERIAS

52 | Gestão de Riscos - Avaliação da Maturidade


O modelo tem como premissas que a ma- ral, (BRASIL, 2009). O COSO GRC também
turidade da gestão de riscos de uma orga- destaca a importância da liderança para a
nização é determinada pelas capacidades gestão de riscos:
existentes em termos de liderança, políticas
e estratégias, e de preparo das pessoas para Para que uma organização possa
gestão de riscos, bem como pelo emprego desfrutar de um gerenciamento de
dessas capacidades aos processos e parce- riscos eficaz, a atitude e o interesse
rias e pelos resultados obtidos na melhoria da alta administração devem ser cla-
do desempenho da organização no cumpri- ros e definitivos, bem como permear
mento de sua missão institucional de gerar toda a organização. Não é suficien-
valor para as partes interessadas com eficiên- te apenas dizer as palavras corretas,
cia e eficácia, transparência e accountability, uma atitude de “faça o que digo e
e conformidade com leis e regulamentos. não o que faço” somente gerará um
ambiente inadequado.
6.1 DIMENSÕES DO MODELO
Em essência, busca-se avaliar em que medida
6.1.1 Ambiente os responsáveis pela governança e a alta ad-
ministração exercem as suas responsabilida-
A dimensão “Ambiente”, tomada do mo- des de governança de riscos e cultura, assu-
delo COSO GRC, engloba boas práticas, mindo um compromisso forte e sustentado e
também presentes no modelo britânico, exercendo supervisão para obter comprome-
relacionados com a cultura, a governança timento com a gestão de riscos em todos os
de riscos e a consideração do risco na de- níveis da organização, promovendo-a e dan-
finição da estratégia e dos objetivos em do suporte, de modo que possam ter uma ex-
todos os níveis, procurando avaliar as ca- pectativa razoável de que no cumprimento da
pacidades existentes para que a gestão de sua missão institucional, a organização enten-
riscos tenha as condições necessárias para de e é capaz de gerenciar os riscos associados
prosperar na organização. à sua estratégia para atingir os seus objetivos
de gerar, preservar e entregar valor às partes
6.1.1.1 Liderança interessadas, tendo o cidadão e a sociedade
como vetores principais.
A importância do papel da alta adminis-
tração na implementação e operação da 6.1.1.2 Políticas e Estratégias
gestão de riscos é destacado em todos os
modelos. O GESPÚBLICA tem a Liderança A gestão de riscos deve fazer parte das
como primeiro componente do modelo de considerações sobre estratégias e planos
gestão adotado pelo Poder Executivo fede- em todos os níveis críticos da entidade,

Tribunal de Contas da União | 53


6. MODELO DE MATURIDADE DO TCU

concretizando-se pelo processo de geren- i. estão adequadamente informa-


ciamento de riscos nas operações, funções dos sobre as exposições a risco
e atividades relevantes nas diversas partes da organização;
da organização.
ii. estão completa e diretamente en-
Nesta seção, busca-se avaliar em que me- volvidos em estabelecer e rever o
dida a organização dispõe de políticas e es- processo de gestão de riscos em
tratégias de gestão de riscos definidas, co- suas áreas; e
municadas e postas em prática, de maneira
que o risco seja considerado na definição da iii. alocam recursos adequados e
estratégia, dos objetivos e planos em todos suficientes para a gestão de ris-
os níveis críticos da entidade, e gerenciado cos, levando em conta o perfil
nas operações, funções e atividades rele- de risco, o tamanho, a comple-
vantes das diversas partes da organização. xidade, a estrutura e o contexto
da organização.
Organizações com políticas e estratégias de
gestão de riscos adequadas contam com: 6.1.1.3 Pessoas

a) um processo e métodos para defi- O gerenciamento de riscos é um processo


nir claramente objetivos e tolerân- efetuado pelo conselho de administração,
cias a risco ou variações aceitáveis pela diretoria executiva e pelos demais em-
no desempenho para permitir que pregados, isto é, pelas pessoas, mediante
os seus riscos e resultados possam o que fazem e o que dizem. São as pessoas
ser gerenciados, incorporando ex- que estabelecem a missão, a estratégia e os
plicitamente indicadores-chaves de objetivos e implementam os mecanismos
desempenho e de risco em seus de gerenciamento de riscos da organização
processos de governança e gestão; (COSO, 2004).

b) competências e capacidade para O gerenciamento de riscos afeta as ações


identificar eventos potenciais que das pessoas, e estas o gerenciamento de
podem impactar a organização, o riscos, uma vez que nem sempre entendem,
governo ou a comunidade e fazem se comunicam ou desempenham suas fun-
uso de medidas práticas e razoáveis ções de forma consistente. A gestão de ris-
para gerenciar esses eventos; cos deve proporcionar os mecanismos ne-
cessários para ajudar as pessoas a entender
c) asseguração de que a sua adminis- o risco no contexto dos objetivos da orga-
tração e o seu corpo executivo: nização, bem como suas responsabilidades

54 | Gestão de Riscos - Avaliação da Maturidade


e seus limites de autoridade, criando uma ção, processos devem ser estabelecidos
associação clara e estreita entre os deveres para identificar riscos; avaliar a probabili-
das pessoas e como elas os cumprem no to- dade de ocorrência e o impacto sobre os
cante à estratégia e aos objetivos da orga- resultados pretendidos; escolher o tipo
nização (COSO, 2004). apropriado de resposta para cada risco;
desenhar e implementar respostas para os
Assim, o grau de conhecimento das pessoas riscos priorizados; comunicar os assuntos
sobre os objetivos da organização, a exis- relacionados a risco às partes interessadas;
tência de canais de comunicação para que e monitorar a integridade da estrutura e do
questões relacionadas a risco sejam levan- processo de gestão de riscos. Tais proces-
tadas e decididas, a definição clara de res- sos devem estar incorporados e integrados
ponsabilidades e limites de autoridade em aos processos de governança e de gestão,
relação aos processos de gestão de riscos, finalísticos e de apoio.
a existência de arcabouço conceitual de ris-
co uniformemente conhecido e utilizado na Esta dimensão, portanto, aborda os aspec-
organização, bem como a oferta de cursos tos relacionados ao processo de gestão de
de capacitação sobre o tema são atributos riscos, procurando avaliar em que medida a
importantes que devem estar presentes na organização estabeleceu um processo for-
conformação de um ambiente de gestão de mal, com padrões e critérios definidos para
riscos apropriado. a identificação e análise de riscos, avalia-
ção e resposta a riscos, incluindo a seleção
Nesta seção, busca-se avaliar em que me- e a implementação de respostas aos riscos
dida as pessoas da organização estão in- avaliados, e monitoramento e comunica-
formadas, habilitadas e autorizadas para ção relacionada a riscos e controles com
exercer seus papéis e suas responsabilida- partes interessadas, internas e externas.
des no gerenciamento de riscos e controles;
entendem esses papéis e os limites de suas 6.1.2.1 Identificação e análise de riscos
responsabilidades, e como os seus cargos
se encaixam na estrutura de gerenciamento Nesta seção, busca-se avaliar em que me-
de riscos e controle interno da organização. dida as atividades de identificação e análise
de riscos são aplicadas de forma consisten-
6.1.2 Processos te às operações, funções e atividades re-
levantes da organização (unidades, depar-
Os processos de gestão de riscos consti- tamentos, divisões, processos e atividades
tuem o coração dos modelos de gestão de que são críticos para a realização dos ob-
riscos. Para lidar com os riscos que podem jetivos-chaves da organização), de modo a
impactar os objetivos de uma organiza- priorizar os riscos significativos identificados

Tribunal de Contas da União | 55


6. MODELO DE MATURIDADE DO TCU

para as atividades subsequentes de avalia- como dos benefícios decorrentes (BRASIL,


ção e resposta a riscos. 2009, p. 21). Envolvem, portanto riscos e
benefícios compartilhados.
6.1.2.2 Avaliação e resposta a riscos
Esta dimensão trata de aspectos relaciona-
Nesta seção, busca-se avaliar em que me- dos à gestão de riscos no âmbito de políticas
dida as atividades de avaliação e resposta de gestão compartilhadas, quando o alcan-
a riscos são aplicadas de forma consistente ce de objetivos comuns de um setor estatal
para assegurar que sejam tomadas deci- ou de uma política pública envolve parcerias
sões conscientes, razoáveis e efetivas para com outras organizações públicas ou priva-
o tratamento dos riscos identificados como das, procurando avaliar em que medida a
significativos, e para reforçar a responsabi- organização estabelece arranjos com clareza
lidade das pessoas designadas para imple- sobre quais riscos serão gerenciados e por
mentar e reportar as ações de tratamento. quem, e como se darão as trocas de informa-
ções sobre o assunto, de modo a assegurar
6.1.2.3 Monitoramento e comunicação que haja um entendimento comum sobre os
riscos e sobre o seu gerenciamento.
Nesta seção, busca-se avaliar em que medi-
da as atividades de monitoramento e comu- 6.1.4 Resultados
nicação estão estabelecidas e são aplicadas
de forma consistente na organização, para Esta dimensão trata de aspectos relaciona-
garantir que a gestão de riscos e os contro- dos aos efeitos das práticas de gestão de
les sejam eficazes e eficientes no desenho e riscos, procurando avaliar em que medida
na operação. a gestão de riscos tem sido eficaz para a
melhoria dos processos de governança e
6.1.3 Parcerias gestão e os resultados da gestão de riscos
têm contribuído para os objetivos relacio-
Parcerias são quaisquer arranjos estabe- nados à eficiência das operações, à quali-
lecidos para possibilitar relacionamento dade de bens e serviços, à transparência e
colaborativo entre partes, visando o al- à prestação de contas e ao cumprimento
cance de objetivos de interesse comum. de leis e regulamentos.
As parcerias são usualmente estabelecidas
para atingir um objetivo estratégico ou a A razão de ser da gestão de riscos é apoiar
entrega de um produto ou serviço, sendo as organizações na consecução dos resulta-
formalizadas por um determinado período, dos planejados. Portanto, todos os objetivos
implicando a negociação e o claro enten- relevantes da organização devem fazer parte
dimento das funções de cada parte, bem do escopo da gestão de riscos, que deverá

56 | Gestão de Riscos - Avaliação da Maturidade


contribuir para que haja efeitos positivos no em nível de maturidade global, ao conside-
alcance de todos eles. Os efeitos produzi- rar todas as dimensões do modelo.
dos pela gestão de riscos em uma organiza-
ção se dão em duas esferas: uma de efeitos Para isso, é necessário avaliar se os prin-
imediatos e outra de efeitos mediatos. cípios, a estrutura (ou os componentes) e
os processos colocados em prática para o
Na esfera dos efeitos imediatos, denomi- gerenciamento de riscos por toda a orga-
nada eficácia da gestão de riscos, estão os nização estão presentes e funcionando in-
efeitos das práticas de gestão de riscos na tegrados aos processos de gestão, desde
qualidade do processo decisório, na coor- o planejamento estratégico até os projetos
denação entre unidades organizacionais, no e processos de todas as áreas, funções e
gerenciamento de riscos com parceiros, no atividades relevantes para o alcance dos
aperfeiçoamento de planos e políticas or- objetivos-chaves da organização.
ganizacionais, na comunicação sobre riscos
com partes interessadas e no envolvimento 6.2.1 Avaliando os índices
do pessoal com a avaliação e o controle dos de maturidade de cada aspecto
riscos. Os efeitos ditos mediatos são aqueles
que surgem a partir da presença dos efeitos O cálculo dos índices de maturidade para
imediatos. Em outras palavras, por meio de cada aspecto da gestão de riscos é realiza-
uma gestão de riscos eficaz consegue-se me- do atribuindo-se quatro pontos para a pre-
lhorar resultados, por meio da otimização do sença integral e consolidada da prática ou
desempenho da organização na sua capaci- característica de gestão enfocada, um, dois
dade de gerar, preservar e entregar valor. ou três, quando a presença é parcial, de
acordo com sua intensidade, e zero ponto à
6.2 DETERMINAÇÃO DO NÍVEL ausência total, conforme a escala para ava-
DE MATURIDADE liação de evidências de auditoria, apresen-
tada na Tabela 7.1, tópico 7.7, do próximo
Considerando que as capacidades existen- capítulo. No caso de questões que admitem
tes na organização em termos de liderança, respostas sim/não, atribuiu-se quatro pon-
políticas e estratégias, de preparo das pes- tos ao ‘sim’ e zero ponto ao ‘não’.
soas para gestão de riscos, bem como pelo
emprego dessas capacidades aos proces- Para as questões que se desdobram em
sos e parcerias e pelos resultados obtidos itens, cada item obterá um número decimal
na melhoria do desempenho, podem ser como pontuação, resultante da divisão dos
avaliadas separadamente, pode-se falar em valores de pontuação possíveis (de zero a
maturidade de cada aspecto e de cada uma quatro, conforme explicado no parágrafo
das dimensões do modelo, como também anterior) pelo número de itens que com-

Tribunal de Contas da União | 57


6. MODELO DE MATURIDADE DO TCU

põem a questão. Por exemplo, para uma número entre 0% e 100%. Se, por exemplo,
questão com cinco itens, cada item poderá uma dimensão obtém 40 pontos de 76 pos-
receber de zero a no máximo 0,8 (4/5). síveis (19 questões x 4 pontos = 76 pontos),
então o índice de maturidade dessa dimen-
6.2.2 Avaliando os índices são seria de 52,6% (40/76 x 100).
de maturidade de cada dimensão
6.2.3 Determinando o nível
O índice de maturidade de cada dimensão de maturidade global
(Ambiente; Processos; Parcerias; e Resulta- da gestão de riscos
dos) é apurado tomando-se o somatório de
pontos do conjunto de questões que a com- O índice de maturidade global da gestão
põe e calculando-se a razão entre a pontu- de riscos é obtido pela média ponderada
ação alcançada e a pontuação máxima pos- dos índices de maturidade das dimensões
sível, expressando esse quociente com um (IMD) pelos seguintes pesos:

g Tabela 6.1: Pesos e exemplo de cálculo do índice de maturidade (adaptado de BRASIL, 2013).

EXEMPLO
DIMENSÃO PESO
IMD PESO PONDERADO

Ambiente 40 52,6 0,4 21,0

Processos 30 45,9 0,3 13,8

Parcerias 10 80,1 0,1 8,0

Resultados 20 49,5 0,2 9,9

ÍNDICE DE MATURIDADE GLOBAL 52,7

Os pesos de cada dimensão foram deter- quização de opções com base na opinião
minados usando-se a técnica AHP (Analytic de um grupo de pessoas acerca dos atribu-
Hierarchy Process, COYLE, 2004) aplicada tos de cada opção.
às respostas dadas por oito especialistas
do TCU a comparações duas-a-duas da im- O índice global derivado desse cálculo
portância relativa das quatro dimensões do permite classificar o nível de maturidade
modelo. A técnica AHP presta-se a facilitar de uma organização em uma das cinco fai-
a tomada de decisão por meio da hierar- xas mostradas na Tabela 6.2. g

58 | Gestão de Riscos - Avaliação da Maturidade


g Tabela 6.2: Níveis de maturidade da gestão de riscos (BRASIL, 2013).

ÍNDICE DE MATURIDADE APURADO NÍVEL DE MATURIDADE

De 0% a 20% Inicial

De 20,1% a 40% Básico

De 40,1% a 60% Intermediário

De 60,1% a 80% Aprimorado

De 80,1% a 100% Avançado

Tribunal de Contas da União | 59


7. PADRÕES GERAIS
DA AUDITORIA DE
GESTÃO DE RISCOS
PADRÕES GERAIS
DA AUDITORIA DE
GESTÃO DE RISCOS

P
ara obter a segurança necessária para c) o trabalho seja adequadamente su-
emitir a conclusão geral sobre o nível pervisionado, nos termos prescritos
de maturidade da gestão de riscos da em NAT, 73-75, e revisado à medida
organização e as conclusões específicas e res- que a auditoria for se desenvolven-
pectivas recomendações sobre os aspectos do, conforme NAT, 76-77; e
que necessitam ser aperfeiçoados, o titular
da unidade de auditoria deve assegurar que: d) o relatório considere a perspectiva
dos dirigentes da entidade, obten-
a) a equipe de auditoria possua, co- do comentários dos gestores ao
letivamente, o conhecimento, as relatório preliminar, sobretudo em
habilidades e a competência neces- relação às ações corretivas que pre-
sários para concluir com êxito a au- tendem tomar (NAT, 144-148).
ditoria, incluindo um entendimento
abrangente sobre a organização e 7.1 OBJETO DA AUDITORIA
o seu contexto;
O objeto de uma auditoria de gestão de ris-
b) o trabalho seja adequadamente cos é a arquitetura – os princípios, a estrutu-
planejado e os procedimentos de ra ou os componentes e os processos - co-
auditoria planejados considerem, locada em prática para o gerenciamento de
necessariamente, elementos de co- riscos por toda a organização, nos diversos
nhecimento prévio sobre a entida- níveis e nos vários contextos específicos em
de, seus objetivos e riscos, comple- que seus objetivos são perseguidos, incluin-
xidade de suas operações, sistemas do o processo de planejamento estratégico
e estruturas (NAT, 94-95); e sua implementação pelas diversas áreas

62 | Gestão de Riscos - Avaliação da Maturidade


ou funções da organização, os processos 7.4 TIPO DE RELATÓRIO
de governança, finalísticos e de apoio ou os
programas, projetos e atividades relevantes O relatório de auditoria deve fornecer aos
para os objetivos-chaves da organização. usuários o nível de asseguração necessá-
rio, descrevendo, de uma maneira equili-
7.2 OBJETIVOS DA AUDITORIA brada e fundamentada, como os achados,
os critérios e as conclusões foram desen-
Os objetivos gerais do auditor3 ao conduzir volvidos, e porque a combinação de acha-
uma auditoria de gestão de riscos são: dos e critérios resultaram na conclusão ge-
ral sobre o nível de maturidade da gestão
a) determinar o nível de maturidade de riscos da organização e nas conclusões
da gestão de riscos da organização; específicas sobre os aspectos que neces-
sitam ser aperfeiçoados, e que estão sen-
b) identificar os aspectos que necessi- do objeto de recomendações do relatório,
tam ser aperfeiçoados; e com a devida consideração aos comentá-
rios ofertados pelos gestores (ISSAI 300,
c) emitir um relatório detalhado sobre 21-23 e 39; ISSAI 3000, 32-34, 116-130;
os aspectos e uma conclusão geral NAT, 144-146).
sobre a maturidade.
O relatório deve declarar os objetivos da
7.3 TIPO DO TRABALHO E NÍVEL auditoria e descrever como foram abor-
DE ASSEGURAÇÃO dados no trabalho, incluindo o escopo da
auditoria, a metodologia e as fontes de
A auditoria de gestão de riscos é do tipo ope- dados, os critérios e sua explicitação, e
racional, com abordagem orientada a sistema descrever quaisquer limitações significati-
e de relatório direto, devendo proporcionar vas ao escopo da auditoria. Todas as infor-
um nível de asseguração sobre a avaliação do mações e conclusões lançadas no relatório
objeto (a gestão de riscos tal como descrita devem estar baseadas em evidência de au-
no tópico 7.1) de acordo com os critérios de ditoria suficiente e apropriada (ISSAI 300,
auditoria aplicáveis (indicados no tópico 7.5), 38-39; ISSAI 3000, 106-122).
que seja significativo para suportar os proces-
sos decisórios dos usuários previstos, princi- Embora os critérios de auditoria utilizados
palmente em relação às ações de aperfeiço- para avaliar e relatar acerca de gestão de
amento necessárias (ISSAI 100, 29-33; ISSAI riscos sejam relativamente bem conhecidos,
400, 21-23 e 26; ISSAI 3000, 32 e 40). não se pode presumir que estarão disponí-
______
3 O termo “auditor” é aqui usado em referência às pessoas a quem é delegada a tarefa de realizar a auditoria e emitir o
seu relatório.

Tribunal de Contas da União | 63


7. PADRÕES GERAIS DA AUDITORIA DE GESTÃO DE RISCOS

veis a todos os usuários do relatório, assim, 7.6 PROCEDIMENTOS DE AUDITORIA


além da indicação da fonte e localização
do critério dentro da fonte (exemplo, ISO O Apêndice II fornece a Matriz de Planejamen-
31000:2009, 4.3.3), a descrição do critério to com as questões/subquestões de auditoria
deve explicitar o que ele preconiza e por- e as conclusões que o auditor deve alcançar
que é aplicável à situação, porém evitando- em relação a cada aspecto da gestão de ris-
-se ao máximo transcrições. cos. Cabe à equipe de auditoria desenvolver
os procedimentos de auditoria e os instrumen-
7.5 CRITÉRIOS DE AUDITORIA tos de coleta de dados necessários para cada
auditoria, levando em consideração as carac-
Os critérios da auditoria de gestão de ris- terísticas específicas da entidade e o princípio
cos refletem as melhores práticas interna- de que a gestão de riscos é feita sob medida,
cionais, consoante os modelos de gestão de acordo com a complexidade e o perfil de
de riscos e o processo de gestão riscos risco da organização, bem como a sua natu-
apresentados nos capítulos 4 e 5, e a Ins- reza e estrutura, e o seu tamanho e contexto.
trução Normativa Conjunta MP/CGU Nº
01/2016. Quanto mais complexa a organização e o
seu perfil de riscos, espera-se que mais for-
Uma parte relevante desses critérios está mais e extensas sejam as práticas implemen-
incorporada ao modelo de avaliação da tadas por meio de políticas, procedimentos
maturidade da gestão de riscos desen- e controles para assegurar que os princípios,
volvido pelo TCU, que visa determinar a a estrutura ou os componentes e o processo
maturidade da gestão de riscos de uma de gestão de riscos estejam presentes e fun-
organização, por meio da avaliação das ca- cionem adequadamente, e vice-versa.
pacidades existentes em termos de lideran-
ça, políticas e estratégias, e de preparo das Assim, os procedimentos de auditoria e os
pessoas para gestão de riscos, bem como respectivos instrumentos de coleta de dados
pelo emprego dessas capacidades e pelos para avaliar o objeto (tópico 7.1) em relação
resultados decorrentes. aos critérios aplicáveis (tópico 7.5 e Apêndice
I), de modo a chegar às conclusões exigidas
O Apêndice I detalha os critérios utilizados pelos objetivos gerais de auditoria (tópico
para avaliação da maturidade organiza- 7.2, alíneas “a” e “b”), devem ser planejados
cional em gestão de riscos e para a iden- para lidar com as circunstâncias específicas
tificação dos aspectos que necessitam ser de cada entidade auditada, refletindo a sua
aperfeiçoados, bem como as fontes desses maior ou menor complexidade e o seu perfil
critérios, para apoiar a aplicação do mode- de riscos. Em qualquer caso, os procedimen-
lo de avaliação. tos devem permitir a obtenção de evidência

64 | Gestão de Riscos - Avaliação da Maturidade


de auditoria suficiente e apropriada para re- e respectivos instrumentos de coleta de
alizar a avaliação indicada no tópico a seguir. dados desenvolvidos para abordar as ques-
tões e subquestões de auditoria (Apêndice
7.7 AVALIAÇÃO DA EVIDÊNCIA II) em face dos critérios (Apêndice I) deve
DE AUDITORIA permitir ao auditor concluir sobre a pontu-
ação de cada aspecto da gestão de riscos
A evidência de auditoria obtida mediante da organização, utilizando a escala de ava-
aplicação dos procedimentos de auditoria liação a seguir.

g Tabela 7.1: Escala para avaliação de evidências quanto aos aspectos da gestão de riscos (adaptado
de BRASIL, 2013).

ESCALA PARA AVALIAÇÃO DAS EVIDÊNCIAS DE AUDITORIA OBTIDAS

PONTUAÇÃO 0 - INEXISTENTE 1- INICIAL 2 - BÁSICO 3 - APRIMORADO 4 - AVANÇADO

Dimensão 1
Prática realizada Prática realizada
Prática realizada
Prática realizada de acordo com de acordo
Prática de acordo com
de maneira infor- normas e pa- com normas e
inexistente, normas e padrões
mal e esporádica drões definidos padrões definidos
Dimensão 2 não em algumas áreas
definidos em
na maior parte em todas as
implementada algumas áreas
relevantes para os das áreas rele- áreas relevantes
ou não relevantes para os
objetivos-chaves vantes para os para os
funcional. objetivos-chaves
da organização. objetivos-chaves objetivos-chaves
da organização.
Dimensão 3 da organização. da organização.

Existem
Existem
indicadores
indicadores
Existe a percepção consistentes,
Não há Existem indicado- consistentes,
entre os gestores monitorados
evidências res definidos que monitorados
e o pessoal de periodicamente,
Dimensão 4 de que o que o resultado
mostram que o
que mostram
periodicamente,
resultado resultado descrito que mostram
descrito tenha que o resultado
descrito tenha vem sendo obtido que o resultado
sido obtido em descrito vem
sido obtido. em grau baixo. descrito vem
alguma medida. sendo obtido
sendo obtido em
em grau
grau elevado.
moderado.

Tribunal de Contas da União | 65


7. PADRÕES GERAIS DA AUDITORIA DE GESTÃO DE RISCOS

Para cada critério do Apêndice I, o audi- lhada, desde os levantamentos preliminares


tor deve concluir se obteve a evidência ne- para entendimento da entidade e do seu
cessária para fundamentar suas conclusões ambiente até a compilação de resultados
específicas e respectivas recomendações de avaliação das evidencias para formação
sobre os aspectos da gestão de riscos da de conclusões, de modo a permitir que um
organização que necessitam ser aperfei- auditor experiente, sem nenhum conheci-
çoados, bem como, se no conjunto, a evi- mento prévio da auditoria, entenda o racio-
dência de auditoria é suficiente e apropria- cínio por trás de todas as questões relevan-
da para fundamentar a sua conclusão geral tes que exigiram o exercício de julgamento
sobre o nível de maturidade da gestão de profissional do auditor na determinação do
riscos da organização. escopo, da extensão e natureza dos proce-
dimentos planejados e executados, na ava-
7.8 DOCUMENTAÇÃO DA AUDITORIA liação das evidências de auditoria obtidas,
das conclusões geral e específicas resultan-
A documentação de uma auditoria de ges- tes, e das respectivas recomendações da
tão de riscos deve ser suficientemente deta- auditoria (ISSAI 100, 42). g

66 | Gestão de Riscos - Avaliação da Maturidade


8. O PROCESSO DE
AUDITORIA DE
GESTÃO DE RISCOS

Tribunal de Contas da União | 67


O PROCESSO DE
AUDITORIA DE
GESTÃO DE RISCOS

P
ara realizar com êxito uma auditoria 8.1.1 Objetivos da obtenção
de gestão de riscos, que atenda aos de entendimento da organização
padrões gerais descritos no capítu-
lo anterior, a equipe de auditoria deve O objetivo principal dessa etapa é identificar
conduzir o trabalho seguindo as etapas o direcionamento estratégico da organização
e atividades apresentadas no fluxo da Fi- (missão, visão, valores fundamentais); os ob-
gura 8.1, detalhadas nos tópicos subse- jetivos-chaves, estratégicos e de negócios,
quentes, de modo a obter os produtos e os macroprocessos e processos relevan-
intermediários e finais indicados no lado tes para a sua realização; as áreas, funções
direito do fluxo. e atividades que concorrem de maneira re-
levante para a realização dos objetivos, bem
8.1 ENTENDIMENTO como os respectivos responsáveis em todos
DA ORGANIZAÇÃO os níveis; as medidas de desempenho (me-
tas, indicadores-chaves de desempenho, de
A equipe de auditoria deve obter um en- risco e variações aceitáveis no desempenho).
tendimento abrangente da organização e O objetivo secundário é reunir informações
do seu ambiente, a fim de conhecer como para fornecer a visão geral da organização,
ela se organiza e funciona para otimizar o de modo a oferecer ao leitor do relatório de
seu desempenho na entrega de valor públi- auditoria o conhecimento e a compreensão
co em benefício da sociedade, assim como necessários para bem entendê-lo.
os fatores relevantes do ambiente no qual
ela busca atingir os seus objetivos e cumprir O objetivo específico da obtenção dessas
a sua missão institucional. informações é formar uma base para esta-

68 | Gestão de Riscos - Avaliação da Maturidade


Figura 8.1: Fluxo do processo da auditoria de gestão de riscos (elaboração própria).

Obter um entendimento abrangente da organização, de Cadeia de Valor


seus objetivos e do ambiente no qual são buscados. Mapa Estratégico
ENTENDIMENTO Apresentar o entendimento obtido mediante diagra- Organograma,
DA ORGANIZAÇÃO mas, análises e outros descritivos de cadeia de valor, Macroprocessos,
mapas de processo, mapa estratégico, organograma, outros descritivos
marco regulatório, operações, serviços, produtos, da Visão Geral
recursos etc. do Organização

Definir a Estratégia Global de Auditoria e elaborar o Estratégia Global


Plano de Auditoria, incluindo o cronograma, a agenda Plano de Auditoria
PLANEJAMENTO de reuniões, entrevistas e outros eventos do trabalho. Matriz de
Completar preenchimento da Matriz de Planejamento. Planejamento
Instrumentos
Elaborar os instrumentos de coleta de dados. de Coleta de Dados

Realizar as atividades previstas no Plano de Auditoria.


Evidências
Aplicar os procedimentos previstos na Matriz de de Auditoria
EXECUÇÃO Planejamento e os respectivos instrumentos de coleta
de dados para obter as evidências de auditoria. Planilha de Análise
Avaliar as evidências e registrar o resultado das con- da Maturidade da
clusões na Planilha de Análise de Maturidade da GR. Gestão de Riscos

Elaborar e submeter o Relatório Preliminar para Relatório Preliminar


Comentários de Gestores.
RELATÓRIO Comentários
Elaborar o Relatório Final, incorporando a perspectiva
de Gestores
dos dirigentes da entidade e as ações corretivas que
pretendem tomar. Relatório Final

Monitorar a implementação dos aperfeiçoamentos Relatório Preliminar


com base nos Planos de Ação da gestão.
MONITORAMENTO Elaborar e submeter o Relatório Preliminar de Comentários
monitoramento para Comentários de Gestores. de Gestores

Elaborar o Relatório Final de monitoramento. Relatório Final

Tribunal de Contas da União | 69


8. O PROCESSO DE AUDITORIA DE GESTÃO DE RISCOS

belecer as áreas de foco e definir o escopo cesso de geração, preservação e


da auditoria de gestão de riscos, fornecen- entrega de valor, a realidade so-
do direção clara para as demais atividades cial ou melhorando a capacidade
da fase de planejamento. Um bom enten- do próprio Estado para atender as
dimento pode ser obtido guiando-se pelas demandas sociais. É também nes-
seguintes questões (adaptado de Golden se âmbito que se identificam as
Circle Theory. SINEK, 2011): medidas de desempenho (metas,
indicadores-chaves de desempe-
a) por que (why) a organização exis- nho, de risco e variações aceitá-
te – o propósito: qual a demanda veis no desempenho) e o histórico
social, o problema ou a necessida- de resultados alcançados.
de que motivou a criação e justifi-
ca a sua existência. É nesse âmbi- Ao final da etapa de obtenção de entendi-
to que se identificam a missão e os mento, o auditor deve ter uma visão clara
objetivos-chaves da organização, do negócio da organização e das áreas,
a sua finalidade; funções e atividades que concorrem de ma-
neira relevante para os resultados que são
b) como (how) a organização faz – o entregues à sociedade, bem como dos res-
processo: a maneira como a organi- pectivos responsáveis em todos os níveis. É
zação se estrutura e atua para aten- isso que vai permitir ao auditor:
der seu propósito, incluindo os ob-
jetivos estratégicos e de negócios a) identificar quem deve ser entrevis-
e os macroprocessos, processos, tado e o que deve ser questionado;
áreas, funções e atividades relevan-
tes para a sua realização. É também b) priorizar as áreas que devem ter
nesse âmbito que se identificam a seus processos de gerenciamento
visão e os valores fundamentais que de riscos examinados;
fixam o tom do topo da organiza-
ção. Todos esses elementos de en- c) definir a informação requerida ou a
tendimento são estabelecidos pela evidência que será buscada e a fon-
governança e a alta administração. te de informação.

c) o que (what) a organização faz – d) determinar o instrumento de coleta


o resultado: os produtos, bens e de dados ou procedimento de audi-
serviços oferecidos pela organiza- toria mais adequado às circunstâncias
ção para cumprir o seu propósito, (exemplo: entrevista, se poucos ges-
alterando, por meio de seu pro- tores, ou questionário, se muitos);

70 | Gestão de Riscos - Avaliação da Maturidade


e) programar a agenda com as partes mente realizados, de informações sobre
envolvidas da maneira mais conve- a estrutura, as competências e operações
niente e elaborar o cronograma do disponibilizadas em páginas da Internet,
trabalho; e, de informações orçamentárias e financei-
ras publicadas ou obtidas no Siafi. A partir
f) completar o preenchimento da Ma- desse entendimento preliminar, a equipe
triz de Planejamento, fornecida no pode planejar os procedimentos adicionais
Apêndice II, tendo por base o en- para aprofundar o entendimento da orga-
tendimento obtido por meio das nização, incluindo a elaboração de uma
informações acima. agenda de entrevistas e um cronograma
para a aplicação dos demais procedimen-
8.1.2 Procedimentos para obtenção tos necessários para a conclusão dessa fase
de entendimento de obtenção de entendimento, que deverá
permitir à equipe atingir os objetivos des-
O entendimento da organização pode origi- critos acima.
nar-se daqueles conhecimentos que os au-
ditores já possuem em função de trabalhos A seguir, exemplos de informações4 con-
anteriores e ou dos que adquirirem a partir sideradas essenciais, mas não limitado a
de procedimentos calcados em técnicas de elas, para a obtenção de um entendimen-
entrevista, de observação e inspeção, e de to relevante para uma auditoria de gestão
procedimentos analíticos. A escolha de qual de riscos:
procedimento utilizar e a extensão da sua
aplicação depende de julgamento profissio- a) natureza jurídica, competências le-
nal do auditor sobre o alcance e a profundi- gais e marco regulatório, dos quais
dade do entendimento necessário em cada são derivados os objetivos-chaves
auditoria. Em qualquer caso, porém, deve da organização;
ser suficiente para permitir à equipe ter a
visão do negócio e realizar as atividades a b) missão e visão declaradas, em con-
que se referem o parágrafo anterior. traste com as competências legais;

Muito provavelmente, a equipe começará c) definição do valor público entre-


obtendo um entendimento preliminar me- gue à sociedade, consistente nos
diante inspeção de relatórios de gestão da objetivos-chaves da organização,
organização, de levantamentos anterior- frequentemente também denomi-
______
4 Recomenda-se à equipe de auditoria seguir, no que for aplicável, as orientações quanto à análise preliminar do objeto,
incluindo informações requeridas e fontes de informação para esse fim, que constam do Manual de Auditoria Operacional
(TCU, 2010) e do Manual de Levantamento (TCU, 2017).

Tribunal de Contas da União | 71


8. O PROCESSO DE AUDITORIA DE GESTÃO DE RISCOS

nados macroprodutos, macro-obje- cesso incluindo: o objetivo, as ati-


tivos ou resultados finalísticos (ver, vidades ou processos, os aspectos
por exemplo, cadeia de valor do organizacionais, o histórico de alo-
Banco Central do Brasil, da Recei- cação de recursos orçamentários e
ta Federal do Brasil, realizando uma financeiros, o marco regulatório, o
busca na Internet); fluxograma, mapa de processo ou
diagrama de blocos;
d) estruturas organizacional, de gover-
nança e operacional, bem como, se i) histórico de insumos e produtos em
for o caso, societária e de financia- termos monetários, quantitativos e
mento e investimento; ou qualitativos.

e) fontes de receitas e execução or- 8.1.3 Documentação do entendimento


çamentária e financeira (aplicações
de recursos definidos em progra- O entendimento obtido deve ser apresen-
mas, ações e projetos orçamentá- tado por meio de uma visão geral da or-
rios constantes do Plano Plurianual ganização descritiva, complementada por
(PPA) e da Lei Orçamentária Anual diagramas, análises e gráficos resultantes
(LOA), e seus respectivos objetivos; da aplicação de procedimentos analíticos;
organograma, diagramas de cadeia de va-
f) mapa estratégico em vigor, com a lor, mapas de processo, mapa estratégico;
descrição das perspectivas e a enu- marco regulatório e, se aplicável, um resu-
meração das ações estratégicas mo dos seus aspectos relevantes.
dentro de cada área foco de atua-
ção e ou perspectiva5; Os elementos de entendimento mencio-
nados nos parágrafos anteriores, devem
g) macroprocessos relevantes com ser organizados de tal maneira que forne-
breve descrição das finalidades do ça uma compreensão clara do negócio da
conjunto de processos que os com- organização e das áreas, funções e ativida-
põem, associados com as ações des que concorrem de maneira relevante
mencionadas no item “f”; e, quan- para os resultados entregues à sociedade.
do disponível, um diagrama da sua A descrição da visão geral deve atender os
cadeia de valor. requisitos de legibilidade, especialmente os
de relevância, concisão, clareza e completu-
h) detalhamento de cada macropro- de (ver NAT, 129). Elementos complemen-
______
5 Para os itens “d”, “f ”, “g ” e “h”, ver um bom exemplo em TC 014.483/2016-5 (Acórdão 2959/2016-TCU-Plenário).

72 | Gestão de Riscos - Avaliação da Maturidade


tares de entendimento, como diagramas, deverão ser inclusas no escopo de aplica-
tabelas, relações, listas etc. deverão ser co- ção dos instrumentos de coleta de dados e
locados em apêndices ou anexos. dos procedimentos de auditoria, cuja evi-
dência de auditoria obtida deverá ser ava-
A documentação do entendimento deve in- liada com base na escala estabelecida na
tegrar a parte inicial do plano de auditoria, Tabela 7.1.
logo após a caracterização do trabalho e a
declaração de seus objetivos. Além disso, estratégia global de auditoria
deve trazer elementos que permitam iden-
8.2 PLANEJAMENTO DA AUDITORIA tificar os recursos (humanos, tecnológicos
e outros) a serem utilizados no trabalho,
8.2.1 Definição da estratégia global quando eles devem ser alocados, como se-
de auditoria rão supervisionados e terão seus trabalhos
revisados, incluindo:
Depois de concluída a fase de entendimen-
to preliminar, é iniciada a etapa de defini- a) a determinação da natureza, época
ção da estratégia global de auditoria, que e extensão dos recursos necessários
deve conter as decisões-chaves e a indica- para realizar o trabalho, envolvendo:
ção dos temas e fatores mais importantes
que, no julgamento profissional do dirigen- i. recursos a serem alocados em
te e ou do supervisor da auditoria, são sig- áreas específicas da auditoria,
nificativos para direcionar os esforços da tais como membros da equi-
equipe de trabalho. pe com experiência adequa-
da para áreas de alto risco ou
A estratégia global é parte obrigatória da o envolvimento de especialis-
documentação de auditoria e seu objetivo tas em temas complexos;
é registrar e comunicar à equipe o direcio-
namento do trabalho em termos do alcan- ii. recursos a alocar a áreas es-
ce, da época e da condução da auditoria, pecíficas da auditoria, tais
para orientar o desenvolvimento do plano como o número de membros
de auditoria. Isso inclui, por exemplo, as da equipe alocados para ob-
datas-chaves (como a de envio do relatório servar atividades em locais
preliminar para comentários de gestores, relevantes, a extensão da re-
a de entrega do relatório final); a determi- visão do trabalho de outros
nação da materialidade, com a indicação auditores, se for o caso, o
preliminar das áreas, funções e atividades tempo de auditoria a ser alo-
que, em função de sua relevância ou risco, cado nas áreas de alto risco;

Tribunal de Contas da União | 73


8. O PROCESSO DE AUDITORIA DE GESTÃO DE RISCOS

iii. utilização do trabalho dos au- gente e ou o supervisor da auditoria de-


ditores internos e ou a colabo- finiu inicialmente a estratégia. Assim, a
ração/cooperação destes; estratégia global e o plano de auditoria
devem ser alterados e atualizados, sempre
iv. quando os recursos devem ser que necessário, no curso da auditoria.
alocados, por exemplo, se em
etapa intermediária ou em de- A documentação da estratégia global de
terminada data; e auditoria pode ser feita na forma de um
memorando contendo as decisões-chaves
v. como os recursos serão geren- e a indicação dos temas e fatores mais im-
ciados, direcionados e super- portantes. Alterações significativas ocorri-
visionados, por exemplo, para das na estratégia global de auditoria, e as
quando estão previstas as reu- razões dessas alterações, também devem
niões preparatórias e de atua- ser documentadas.
lização, como devem ocorrer
as revisões do supervisor e do 8.2.2 Determinação da materialidade
coordenador do trabalho (por
exemplo, em campo ou fora A determinação da materialidade é um tema
dele) e se devem ser realiza- da estratégia global de auditoria e tem por
das revisões de controle de base o julgamento profissional do auditor. O
qualidade do trabalho durante conceito de materialidade é relacionado à
o seu curso (por exemplo, pai- expressão “em todos os aspectos relevan-
néis de referência). tes” a que se referem as normas de audito-
ria, e que deve estar presente na conclusão
A estratégia global e o plano de auditoria geral do relatório, no que diz respeito à con-
são intimamente relacionados e não são formidade do objeto aos critérios aplicados
processos isolados ou sequenciais, neces- para sua avaliação (ISSAI 100, 33).
sariamente. Mudanças em um podem re-
sultar em mudanças no outro. Embora a Assim, com base no entendimento obtido,
estratégia global deva ser concluída antes especialmente no que diz respeito às áre-
da elaboração do plano de auditoria, ela as, funções e atividades que concorrem
poderá sofrer alterações ao longo das ati- de maneira relevante para os resultados
vidades desenvolvidas para elaboração do da organização, considerando aspectos
plano, em função de imprevistos, de mu- quantitativos (por exemplo, materialida-
danças nas condições ou identificação de de dos recursos financeiros alocados por
informação que difere significativamente áreas) e qualitativos (por exemplo, riscos
da informação disponível quando o diri- de qualidade ou de colapso dos serviços

74 | Gestão de Riscos - Avaliação da Maturidade


prestados aos usuários, riscos à imagem/ ou da identificação de informação que
reputação da organização), o auditor deve difere significativamente da informação
estabelecer quais áreas, funções ou ativi- disponível quando o dirigente e ou o su-
dades relevantes da organização para a pervisor da auditoria definiu inicialmente
realização dos seus objetivos-chaves de- a estratégia. Isso é normal ocorrer, prin-
verão compor o escopo de aplicação dos cipalmente em razão do entendimento
instrumentos de coleta de dados e dos mais profundo da entidade, que a equipe
procedimentos de auditoria. vai adquirindo ao trabalhar melhor as in-
formações para elaborar o planejamento.
Embora a materialidade seja uma questão Neste caso, a direção/supervisão da au-
de julgamento profissional do auditor, no ditoria deve ser notificada para atualizar
caso da auditoria operacional de gestão de a estratégia.
riscos, devido às suas características volta-
das para ajudar aqueles com responsabili- Para elaborar o plano de auditoria a equi-
dades de governança e gestão a melhorar pe deve, considerando as datas-chaves
o desempenho (ISSAI 300, 12), o auditor estabelecidas na estratégia global de
pode considerar ouvir os responsáveis pela auditoria, determinar a duração das ati-
governança e administradores da entidade vidades de planejamento, de aplicação
sobre se alguma área, função ou atividade dos procedimentos de coleta e análise
relevante, além das que ele considerou ma- de dados, de avaliação das evidências,
terialmente relevantes, deveria ser parte do de elaboração da matriz de achados e
escopo da auditoria. dos relatórios preliminar e final, incluin-
do o tempo de comentários de gestores,
8.2.3 Elaboração do Plano de Auditoria programar a agenda com as partes envol-
vidas, e elaborar o cronograma definitivo
Seguindo as diretrizes estabelecidas na do trabalho.
estratégia global de auditoria, a equipe
deve elaborar o plano de auditoria, levan- Os resultados de todas essas atividades
do em conta a necessidade de atingir os devem estar documentados no plano de
objetivos da auditoria por meio do uso efi- auditoria, o qual, na parte inicial, logo
ciente dos recursos. após a caracterização do trabalho e a de-
claração de seus objetivos, deve conter a
Como mencionado anteriormente, as descrição da visão geral da organização,
atividades desenvolvidas para elabora- conforme abordada no tópico 8.2.3. As-
ção do plano de auditoria podem levar sim, o plano deve incluir um cronograma,
a alterações na estratégia global, devido a agenda de reuniões, entrevistas e ou-
a imprevistos, mudanças nas condições tros eventos do trabalho, de modo a:

Tribunal de Contas da União | 75


8. O PROCESSO DE AUDITORIA DE GESTÃO DE RISCOS

a) auxiliar a equipe de trabalho na tado e o que deve ser questiona-


execução da auditoria; do, para fins de definir a agenda de
reuniões e determinar o instrumen-
b) permitir que a equipe possa se res- to de coleta de dados ou procedi-
ponsabilizar e ser responsabilizada mento de auditoria mais adequado
por seu trabalho; às circunstâncias (por exemplo,
questionário, se muitos, ou entre-
c) permitir que os responsáveis pela vista, se poucos);
direção e supervisão do trabalho
cumpram suas responsabilidades d) preencher as colunas “informações
de revisão. requeridas”, “fontes de informa-
ção”, “procedimentos de coleta de
8.2.4 Elaboração da Matriz dados”, “procedimentos de análi-
de Planejamento se de dados” da matriz de planeja-
mento (Apêndice II) e desenvolver
Com base nas diretrizes da estratégia glo- os instrumentos de coleta de da-
bal de auditoria e no entendimento obtido dos necessários.
da organização, a equipe deve:
8.3 EXECUÇÃO DA AUDITORIA
a) definir por áreas, funções ou ativi-
dades relevantes, as questões/sub- 8.3.1 Aplicação dos procedimentos e
questões de auditoria aplicáveis, instrumentos de coleta de dados
com base na matriz de planejamen-
to constante do Apêndice II; Uma vez que o plano de auditoria, incluin-
do a matriz de planejamento, tenha sido
b) determinar, em relação a cada área, concluído e homologado, cada membro da
função ou atividade do item ante- equipe realizará suas atividades conforme
rior, a natureza (o que e como fazer), designado no plano de auditoria, aplicando
a época (quando fazer) e a exten- os procedimentos de auditoria planejados
são (o quanto fazer) em termos de e os instrumentos de coleta de dados para
procedimentos de coleta e análise obter as evidências de auditoria necessárias
de dados para atingir as conclusões às conclusões.
previstas na coluna “o que a análise
vai permitir dizer”, da matriz de pla- À proporção que os trabalhos de campo fo-
nejamento (Apêndice II). rem se desenvolvendo, deve-se preencher a
matriz de achados, conforme o modelo es-
c) identificar quem deve ser entrevis- tabelecido no Manual de Auditoria Opera-

76 | Gestão de Riscos - Avaliação da Maturidade


cional (BRASIL, 2010). Dadas as característi- dos, devidamente registrada na matriz de
cas desse tipo de auditoria, e dependendo achados (após a consolidação, se aplicável),
da complexidade da organização, pode ser deverá ser avaliada utilizando a escala de
necessário o preenchimento de matrizes de avaliação constante da Tabela 7.1, regis-
achados por área, função ou atividade, es- trando-se a conclusão quanto ao resultado
pecialmente no que diz respeito à dimensão da pontuação de cada aspecto na Planilha
2 – Processos. Neste caso, será necessário de Análise da Maturidade da Gestão de Ris-
um trabalho de consolidação posterior, uti- cos, fornecida juntamente com este roteiro,
lizando procedimento semelhante ao que é que calculará, automaticamente, o nível de
adotado na matriz de achados consolidado- maturidade de cada aspecto e de cada uma
ra de fiscalizações de orientação centraliza- das dimensões do modelo, como também
da (FOC, Portaria-Adplan 2/2010). em nível de maturidade global.

A coluna “situação encontrada” deve ser 8.4 RELATÓRIO DA AUDITORIA


preenchida estabelecendo-se uma relação
direta com cada item da coluna “o que a Por tratar-se de uma auditoria operacio-
análise vai permitir dizer” da matriz de nal, o relatório da auditoria de gestão de
planejamento (Apêndice II), confirmando riscos deve seguir os padrões estabeleci-
ou negando cada uma das hipóteses ou dos no Manual de Auditoria Operacional
conclusões formuladas, descrevendo o (BRASIL, 2010), com as seguintes observa-
contexto específico da situação encontra- ções específicas:
da na organização.
a) cada capítulo principal tratará de
A coluna “critério” deve indicar não apenas uma dimensão do modelo
as fontes dos critérios, fornecidas no Apên- de avaliação;
dice II, mas explicitar o que o critério preco-
niza, devendo o auditor, a partir da indica- b) cada subtítulo tratará de uma seção
ção da fonte, localizar e descrever o que ele do modelo, quando aplicável;
preconiza e porque é aplicável à situação,
porém evitando-se ao máximo transcrições. c) os textos explicativos que constam
do Apêndice I, bem como da des-
8.3.2 Avaliação das evidências crição do modelo de avaliação (ca-
e conclusões pítulo 6), podem ser aproveitados
para descrever o objetivo do capí-
A evidência de auditoria obtida mediante tulo, fazer a sua contextualização
aplicação dos procedimentos de auditoria e descrever o seu conteúdo, como
e respectivos instrumentos de coleta da- exemplificado a seguir.

Tribunal de Contas da União | 77


8. O PROCESSO DE AUDITORIA DE GESTÃO DE RISCOS

AMBIENTE tão de riscos adequadas contam com:

O objetivo do capítulo é descrever o resultado a) um processo e métodos para definir cla-


da avaliação das capacidades existentes na or- ramente objetivos e tolerâncias a risco ou
ganização, em termos de liderança, políticas & variações aceitáveis no desempenho para
estratégias e preparo das pessoas, incluindo as- permitir que os seus riscos e resultados
pectos relacionados com a cultura, a governança de possam ser gerenciados, incorporando
riscos e a consideração do risco na definição da estratégia explicitamente indicadores-chaves de ris-
e dos objetivos em todos os níveis, para que a ges- co e desempenho em suas estruturas de
tão de riscos tenha as condições necessárias para governança e gestão;
prosperar e fornecer segurança razoável do cum-
primento da missão institucional na geração de b) competências e capacidade para iden-
valor para as partes interessadas. tificar eventos potenciais que podem
impactar a organização, o governo ou
Contextualização específica do capítulo a comunidade e fazem uso de medidas
práticas e razoáveis para gerenciar es-
Para que uma organização possa desfrutar de um ses eventos;
gerenciamento de riscos eficaz, a atitude e o inte-
resse da alta administração devem ser claros e de- c) asseguração de que sua administração e
finitivos, bem como permear toda a organização. seu corpo executivo:
Não é suficiente apenas dizer as palavras corretas,
uma atitude de “faça o que digo e não o que faço” i. estão adequadamente informa-
somente gerará um ambiente inadequado, assim, dos sobre as exposições a risco
a liderança é um aspecto fundamental, avaliado da organização;
neste capítulo, para que uma gestão de riscos efi-
caz possa prosperar na organização. ii. estão completa e diretamente en-
volvidos em estabelecer e rever o
A gestão de riscos deve fazer parte das consi- processo de gestão de riscos em
derações sobre estratégias e planos em todos os suas áreas; e
níveis críticos da organização, concretizando-se
pelo processo de gerenciamento de riscos nas iii. alocam recursos adequados e su-
operações, funções e atividades relevantes nas ficientes para a gestão de riscos,
diversas partes da organização. levando em conta a natureza e o
nível dos riscos identificados e o
Organizações com políticas e estratégias de ges- tamanho da organização.

78 | Gestão de Riscos - Avaliação da Maturidade


O gerenciamento de riscos é um processo efe- Descrição do conteúdo do capítulo
tuado pelo conselho de administração, pela di-
retoria executiva e pelos demais empregados, Este capítulo está dividido em três seções, na
isto é, pelas pessoas, mediante o que fazem e primeira, que trata da liderança, avalia-se em
o que dizem. São as pessoas que estabelecem que medida os responsáveis pela governança
a missão, a estratégia e os objetivos e imple- e a alta administração assumem um compro-
mentam os mecanismos de gerenciamento de misso forte e sustentado e exercem supervisão
riscos da organização (COSO, 2004). Assim, para obter comprometimento com a gestão
o gerenciamento de riscos afeta as ações das de riscos em todos os níveis da organização,
pessoas, e estas o gerenciamento de riscos, promovendo-a e dando suporte, de modo que
uma vez que nem sempre entendem, se co- possam ter uma expectativa razoável de que
municam ou desempenham suas funções de no cumprimento da missão institucional, a or-
forma consistente. A gestão de riscos deve ganização entende e é capaz de gerenciar os
proporcionar os mecanismos necessários para riscos associados à sua estratégia para atingir
ajudar as pessoas a entender o risco no con- seus objetivos de gerar valor para as partes
texto dos objetivos da organização, bem como interessadas, tendo o cidadão e a sociedade
suas responsabilidades e seus limites de auto- como vetores principais.
ridade, criando uma associação clara e estreita
entre os deveres das pessoas e como elas os Na segunda seção, avalia-se em que medida a
cumprem no tocante à estratégia e aos objeti- organização dispõe de políticas e estratégias de
vos da organização (COSO, 2004). gestão de riscos definidas, comunicadas e postas
em prática, de maneira que o risco seja conside-
Portanto, o grau de conhecimento das pessoas rado na definição da estratégia, dos objetivos e
sobre os objetivos da organização, a existência planos em todos os níveis críticos da entidade, e
de canais de comunicação para que questões gerenciado nas operações, funções e atividades
relacionadas a risco sejam levantadas e deci- relevantes das diversas partes da organização.
didas, a definição clara de responsabilidades e
limites de autoridade em relação aos processos Por fim, a terceira seção do capítulo, avalia se as
de gestão de riscos, a existência de arcabouço pessoas na organização estão informadas, habili-
conceitual de risco uniformemente conhecido tadas e autorizadas para exercer os seus papéis e
e utilizado na organização, bem como a oferta as suas responsabilidades no gerenciamento de
de cursos de capacitação sobre o tema são atri- riscos e controles; entendem esses papéis e os
butos importantes que devem estar presentes limites de suas responsabilidades, e como os seus
na conformação de um ambiente de gestão de cargos se encaixam na estrutura de gerenciamen-
riscos apropriado. to de riscos e controle interno da organização.

Tribunal de Contas da União | 79


8. O PROCESSO DE AUDITORIA DE GESTÃO DE RISCOS

Além disso, a combinação de outros textos cício de direito de defesa, o qual, se neces-
que constam do apêndice de critérios e da sário, poderá ser exercido nas etapas pro-
matriz de planejamento, pode ajudar o auditor cessuais posteriores. Deve, ainda, esclarecer
a descrever os achados de auditoria e as boas que a não apresentação dos comentários, no
práticas da organização, devendo o auditor, prazo estipulado, não impedirá o andamen-
neste caso, realizar as adaptações necessárias to normal do processo nem será considerada
ao contexto específico do trabalho, tomando motivo de sanção (NAT, 146)
o devido cuidado de não apenas realizar uma
cópia, mas utilizar os textos como inspiração. 8.4.2 Propostas de encaminhamento

8.4.1 Comentários de gestores As propostas de determinação e de recomen-


dação devem ser formuladas focando “o quê”
Por ser uma auditoria operacional, a regra é deve ser aperfeiçoado ou corrigido e não “o
submeter o relatório preliminar aos comen- como”, dado à discricionariedade que cabe ao
tários dos gestores, inclusive os achados, as gestor e ao fato de que a equipe de auditoria
conclusões e as propostas de encaminhamen- não detém a única ou a melhor solução para o
to formuladas pela equipe. A inclusão desses problema identificado. Recomendações geral-
comentários no relatório final resulta em um mente sugerem o aperfeiçoamento necessá-
documento que não só apresenta os achados, rio, mas não a forma de alcançá-lo (NAT, 165).
as conclusões e as propostas da equipe, mas
também a perspectiva dos dirigentes da enti- Quando o gestor apresentar planos de ação
dade e as ações corretivas que pretendem to- consistentes para os aperfeiçoamentos ne-
mar. Os comentários recebidos dos gestores cessários apontados no relatório preliminar,
devem, sempre que possível, ser incorpora- estes planos devem ser noticiados no rela-
dos, de forma resumida, no relato dos acha- tório final, sem formulação de propostas de
dos e serão analisados pela equipe juntamen- encaminhamento, a não ser para a realiza-
te com os demais fatos (NAT, 144-145 e 147). ção de monitoramento posterior da imple-
mentação do plano de ação, se relevante.
O relatório preliminar a ser submetido aos
gestores deve ser antes revisado pelo su- Para que as propostas da equipe sejam rele-
pervisor e deve ser remetido por intermédio vantes, convém levar em conta que uma práti-
de ofício da unidade técnica, estipulando-se ca, componente ou dimensão de nível aprimo-
prazo reduzido, porém factível, para que os rado ou avançado, só deveriam ter propostas
gestores encaminhem seus comentários. O formuladas considerando uma vantagem clara
ofício deve informar que a obtenção des- em termos de custo-benefício que a sua im-
ses comentários não representa abertura do plementação poderá proporcionar para o al-
contraditório e, portanto, não significa exer- cance dos resultados da gestão de riscos. g

80 | Gestão de Riscos - Avaliação da Maturidade


GLOSSÁRIO
GLOSSÁRIO

Accountability pública – obrigação que têm plementação da estratégia para realizar os


as pessoas, físicas ou jurídicas, públicas ou objetivos da organização.
privadas, às quais se tenha confiado recursos
públicos, de assumir as responsabilidades de Análise de riscos – processo de compreen-
ordem fiscal, gerencial e programática que der a natureza e determinar o nível (magni-
lhes foram conferidas, e de informar a socie- tude, severidade) de um risco ou combina-
dade e a quem lhes delegou essas respon- ção de riscos, mediante a combinação das
sabilidades sobre o cumprimento de objeti- consequências e de suas probabilidades
vos e metas e o desempenho alcançado na (ABNT, 2009).
gestão dos recursos públicos. É, ainda, obri-
gação imposta a uma pessoa ou entidade Apetite a risco – quantidade de risco em
auditada de demonstrar que administrou ou nível amplo que uma organização está dis-
controlou os recursos que lhe foram confia- posta a aceitar na busca de seus objetivos
dos em conformidade com os termos segun- (INTOSAI, 2007). Quantidade e tipo de ris-
do os quais eles lhe foram entregues (TCU, cos que uma organização está preparada
2011). Ver também Responsabilização. para buscar, reter ou assumir (ABNT, 2009a).

Aceitar risco – ver Resposta a risco. Arranjos de contingência – acordos que es-
tabelecem como as partes devem proceder
Alta administração – gestores que inte- caso um ou mais riscos se concretizem.
gram o nível executivo mais elevado da or-
ganização com poderes para estabelecer Atividade – termo genérico utilizado para
as políticas, os objetivos e conduzir a im- expressar operações, ações ou transações

82 | Gestão de Riscos - Avaliação da Maturidade


que uma organização, pessoa ou entidade Estrutura de gestão de riscos – conjunto
realiza com vistas ao alcance de objetivos de componentes que fornecem os funda-
determinados, refletindo os fluxos de traba- mentos e os arranjos organizacionais para a
lho cotidianos que formam os processos de concepção, implementação, monitoramen-
trabalho (TCU, 2012). to, análise crítica e melhoria contínua da
gestão de riscos através de toda a organiza-
Atividades de controle – ações estabeleci- ção (ABNT, 2009).
das por meio de políticas e procedimentos
que ajudam a garantir o cumprimento das Nota 1 Os fundamentos incluem a política, ob-
diretrizes determinadas pela administração jetivos, mandatos e comprometimento para ge-
para mitigar os riscos à realização dos obje- renciar riscos.
tivos (COSO, 2013). Nota 2 Os arranjos organizacionais incluem
planos, relacionamentos, responsabilidades, re-
Avaliação de riscos – processo de compa- cursos, processos e atividades. (ABNT, 2009).
rar os resultados da análise de riscos com os
critérios de risco da organização, para de- Evento – um incidente ou uma ocorrência
terminar se um risco e/ou sua magnitude é de fontes internas ou externas à organiza-
aceitável ou tolerável (ABNT, 2009). ção, que podem impactar a implementação
da estratégia e a realização de objetivos de
Consequência – resultado de um evento modo negativo, positivo ou ambos (INTO-
que afeta positiva ou negativamente os ob- SAI, 2007). Eventos com impacto negativo
jetivos da organização. representam riscos. Eventos com impacto
positivo representam oportunidades; ocor-
Controles internos – ver Atividades rência ou mudança em um conjunto especí-
de controle. fico de circunstâncias, podendo consistir em
alguma coisa não acontecer. A expressão
Critérios de auditoria – referências usadas “eventos potenciais” é muitas vezes utiliza-
para mensurar ou avaliar o objeto de audi- da para caracterizar riscos (ABNT, 2009).
toria (ISSAI 100; ISA/NBCTA Estrutura Con-
ceitual para trabalhos de asseguração). O Evitar risco – ver Resposta a risco.
referencial que indica o estado requerido
ou desejado ou a expectativa em relação Fonte de risco – elemento que, individual-
ao objeto de auditoria. Reflete como deve- mente ou combinado, tem o potencial intrín-
ria ser a gestão, provendo o contexto para seco para dar origem ao risco (ABNT, 2009).
compreensão dos achados de auditoria e
para a avaliação das evidências de auditoria Gerenciamento de riscos - aplicação de
(BRASIL, 2011). uma arquitetura (princípios, estrutura e

Tribunal de Contas da União | 83


GLOSSÁRIO

processo) para identificar riscos, analisar e Governança – conjunto de políticas e pro-


avaliar se devem ser modificados por algum cessos que moldam a maneira como uma
tratamento a fim de atender critérios de ris- organização é dirigida, administrada, con-
co. Ao longo desse processo, comunica-se trolada e presta contas do cumprimento das
e consulta-se as partes interessadas, moni- suas obrigações de accountability. No setor
tora-se e analisa-se criticamente os riscos público, a governança compreende essen-
e os controles que os modificam, a fim de cialmente os mecanismos de liderança, es-
assegurar que nenhum tratamento de risco tratégia e controle postos em prática para
adicional é requerido (ABNT, 2009). avaliar, direcionar e monitorar a atuação da
gestão, com vistas à condução de políticas
Gerenciamento de riscos corporativos – públicas e à prestação de serviços de inte-
processo efetuado pelo conselho de ad- resse da sociedade (BRASIL, 2014).
ministração, gestores e outras pessoas,
aplicado na definição da estratégia e atra- Identificação de riscos – processo de bus-
vés de toda a entidade, estruturado para ca, reconhecimento e descrição de riscos;
identificar potenciais eventos que possam envolve a identificação das fontes de risco,
afetar a entidade e gerenciá-los para man- os eventos, suas causas e suas consequên-
tê-los dentro de seu apetite a risco, de cias potenciais (ABNT, 2009), pode envol-
modo a fornecer uma garantia razoável ver análise de dados históricos, análises
quanto à realização dos objetivos da enti- teóricas, opiniões de pessoas informadas
dade (COSO GRC, 2004; INTOSAI, 2007). e de especialistas, e as necessidades das
partes interessadas.
Gestão – estruturas responsáveis pelo pla-
nejamento, execução, controle, ação, en- Indicadores-chaves de desempenho – nú-
fim, pelo manejo dos recursos e poderes co- mero, percentagem ou razão que mede um
locados à disposição de órgãos e entidades aspecto do desempenho na realização de
para a consecução de seus objetivos, com objetivos estratégicos e operacionais re-
vistas ao atendimento das necessidades e levantes para o negócio, relacionados aos
expectativas dos cidadãos e demais partes objetivos-chaves da organização, com o ob-
interessadas (TCU, 2014). jetivo de comparar esta medida com metas
preestabelecidas (TCU, 2010d, adaptado).
Gestão de riscos – atividades coordenadas
para dirigir e controlar uma organização no Indicadores-chaves de risco – número,
que se refere ao risco (ABNT, 2009). percentagem ou razão estabelecido para mo-
nitorar as variações no desempenho em rela-
Gestor – pessoa que ocupa função de gestão ção à meta para o cumprimento de objetivos
em qualquer nível hierárquico da organização. estratégicos e operacionais relevantes para o

84 | Gestão de Riscos - Avaliação da Maturidade


negócio, relacionados aos objetivos-chaves Matriz de planejamento – papel de traba-
da organização (TCU, 2010d, adaptado). lho que organiza e sistematiza o planeja-
mento do trabalho de auditoria e documen-
Macroprocessos – processos mais abran- ta o programa de auditoria, discriminando o
gentes da organização. Representam objetivo de auditoria e as questões de audi-
conjuntos de atividades agregadas em toria formuladas para alcançar tal objetivo;
nível de abstração amplo, que formam a as informações requeridas, as fontes de in-
cadeia de valor de uma organização, ex- formações e os procedimentos de auditoria
plicitando como ela opera para cumprir para responder às questões. (NAT, 94, 96-
sua missão e atender as necessidades de 97, BRASIL, 2011).
suas partes interessadas (BRASIL, 2011).
Ver também Processo. Matriz de risco – matriz gráfica que expri-
me o conjunto de combinações de probabi-
Mapa de processo - representação gráfica lidade e impacto de riscos para classificar os
da sequência de atividades que compõem níveis de risco.
um processo, fornecendo uma visão dos flu-
xos operacionais do trabalho, incluindo, a Medidas de contingência – ações previa-
depender do nível de análise que se deseja mente planejadas que devem ser executa-
realizar, a evidenciação dos agentes envol- das caso um ou mais riscos se concretizem.
vidos, os prazos, o fluxo de documentos, o
processo decisório (BRASIL, 2003). Mitigar risco – ver Resposta a risco.

Matriz de achados – papel de trabalho que Monitoramento – verificação, supervisão,


estrutura o desenvolvimento dos achados, observação crítica ou identificação da situa-
explicitando para cada um a situação en- ção, executadas de forma contínua, a fim de
contrada (ou condição) o critério de audi- identificar mudanças no nível de desempe-
toria, as causas, os efeitos, as evidências de nho requerido ou esperado. Monitoramen-
auditoria, as propostas de encaminhamento to pode ser aplicado a riscos, a controles, à
(BRASIL, 2011). estrutura de gestão de riscos e ao processo
de gestão de riscos.
Matriz de avaliação de riscos – papel de
trabalho que estrutura e sistematiza a iden- Nível de risco – magnitude de um risco ou
tificação de riscos, a análise de riscos e a combinação de riscos, expressa em termos
avaliação de riscos, incluindo a avaliação da combinação das consequências [impac-
de controles internos e outras respostas a to] e de suas probabilidades (ABNT, 2009).
riscos, podendo incluir as decisões sobre o
tratamento de riscos. Objetivos-chaves – os macro-objetivos, ma-

Tribunal de Contas da União | 85


GLOSSÁRIO

croprodutos ou resultados finalísticos que complemento à política de gestão de riscos


geram, preservam e entregam valor público que pode ser aplicado a um determinado
em benefício do conjunto da sociedade ou produto, processo e projeto, em parte ou em
de alguns grupos específicos reconhecidos toda a organização (ABNT, 2009, adaptado).
como destinatários legítimos de bens e ser-
viços públicos (SERRA, 2008). Política de gestão de riscos – documento
que contém a declaração das intenções e
Obrigações de accountability – diretrizes gerais relacionadas à gestão de
ver Accountability pública. riscos e estabelece claramente os objeti-
vos e o comprometimento da organização
Órgão de governança – conselho de admi- em relação à gestão de riscos. Não se trata
nistração, diretoria colegiada ou semelhan- de uma declaração de propósitos genérica,
tes ou ainda órgãos com responsabilidade mas de um documento que, além de decla-
de supervisão geral da direção estratégica rar os princípios, explica porque a gestão
de entidades e das responsabilidades rela- de riscos é adotada, o que se pretende com
cionadas às obrigações de accountability. ela, onde, como e quando ela é aplicada,
quem são os responsáveis em todos os ní-
Parceria - arranjo estabelecido a fim de veis, dentre outros aspectos (ABNT, 2009).
possibilitar um relacionamento colaborati-
vo entre as partes (denominadas parceiras) Processo – conjunto de atividades inter-
visando o alcance de objetivos específicos -relacionadas ou interativas que transfor-
previamente acordados entre eles. mam insumos (entradas) em produtos/
serviços (saídas) com valor agregado. Pro-
Parte interessada (stakeholder) – pes- cessos são geralmente planejados e reali-
soa ou organização que pode afetar, zados de maneira contínua para agregar
ser afetada, ou perceber-se afetada por valor na geração de produtos e serviços.
uma decisão ou atividade da organização Processos podem ser agrupados em ma-
(ABNT, 2009). croprocessos e subdivididos em subpro-
cessos (BRASIL, 2011).
Plano de gestão de riscos – esquema den-
tro da estrutura de gestão de riscos, que Processo de avaliação de riscos – proces-
especifica a abordagem, os componentes so global representado pelo conjunto de
de gestão e os recursos a serem aplicados métodos e técnicas que possibilitam a iden-
para gerenciar riscos, incluindo, tipicamen- tificação de riscos, a análise de riscos e a
te, procedimentos, práticas, atribuição de avaliação de riscos que possam impactar os
responsabilidades, sequência e cronologia objetivos de organizações, programas, pro-
das atividades (ABNT, 2009). Um manual ou jetos e atividades. Envolve a identificação

86 | Gestão de Riscos - Avaliação da Maturidade


das fontes de risco, dos eventos e de sua relacionadas às obrigações de accounta-
probabilidade de ocorrência, de suas causas bility da organização (ISSAI 1003).
e suas consequências potenciais, das áreas
de impacto, das circunstâncias envolvidas, Respostas a risco – opões e ações geren-
inclusive aquelas relativas a cenários alterna- ciais para tratamento de riscos. Inclui evitar o
tivos (ABNT, 2009, adaptado). risco pela decisão de não iniciar ou desconti-
nuar a atividade que dá origem ao risco por-
Processo de gestão de riscos – aplicação que o risco está além do apetite a risco da
sistemática de políticas, procedimentos e organização e outra resposta não é aplicável;
práticas de gestão para as atividades de transferir o risco a outra parte ou comparti-
comunicação, consulta, estabelecimento do lhar o risco com outra parte; aceitar o risco
contexto, e na identificação, análise, avalia- por uma escolha consciente; ou mitigar o
ção, tratamento, monitoramento e análise risco diminuindo sua probabilidade de ocor-
crítica de riscos (ABNT, 2009). Sinônimo de rência ou minimizando suas consequências
gerenciamento de riscos. (INTOSAI, 2007).

Processos de governança – os processos Risco – possibilidade de um evento ocorrer


que integram os mecanismos de liderança, e afetar adversamente a realização de obje-
estratégia e controle e que permitem aos tivos (COSO GRC, 2004); possibilidade de
responsáveis pela governança avaliar, di- algo acontecer e ter impacto nos objetivos,
recionar e monitorar a atuação da gestão sendo medido em termos de consequências
(BRASIL, 2014). e probabilidades (BRASIL, 2010c); efeito da
incerteza nos objetivos (ABNT, 2009).
Responsabilização (accountability) – res-
ponsabilidade de uma organização ou indi- Risco de controle – possibilidade de que
víduo perante suas decisões e atividades e os controles adotados pela administração
prestação de contas a seus órgãos de go- não sejam eficazes para tratar o risco a que
vernança, autoridades legais e, de modo se propõe.
mais amplo, as suas outras partes interes-
sadas no que se refere a essas decisões e Risco de oportunidade – risco associado a
atividades (ABNT, 2010). Ver também aproveitar oportunidades que podem gerar
Accountability pública. benefícios à organização.

Responsáveis pela governança – pesso- Risco estratégico – risco de longo prazo ou


as ou organizações com responsabilidade risco de oportunidade relacionado aos ob-
de supervisão geral da direção estratégi- jetivos estratégicos e às estratégias adota-
ca da entidade e das responsabilidades das para alcançá-los.

Tribunal de Contas da União | 87


GLOSSÁRIO

Risco inerente – o risco intrínseco à natureza gócio, relacionados aos objetivos-cha-


do negócio, do processo ou da atividade, in- ves da organização.
dependentemente dos controles adotados.
Transferir risco – Ver Repostas a riscos.
Risco operacional – risco de perdas resul-
tantes direta ou indiretamente de falha ou Tratamento de riscos – processo de imple-
inadequação de processos internos, pesso- mentar respostas a risco selecionadas. Ver
as e sistemas ou de eventos externos. Repostas a riscos.

Risco residual – o risco retido de forma cons- Valor público – produtos e resultados ge-
ciente ou não pela administração, que rema- rados, preservados ou entregues pelas ati-
nesce mesmo após o tratamento de riscos. vidades de uma organização pública que
representem respostas efetivas e úteis às
Risco significativo – aquele com grande pro- necessidades ou demandas de interesse
babilidade de ocorrer e, se ocorrer, ter um im- público e modifiquem certos aspectos do
pacto relevante nos objetivos (LONGO, 2011). conjunto da sociedade ou de alguns grupos
específicos reconhecidos como destinatá-
Riscos-chaves – riscos estratégicos e ris- rios legítimos de bens e serviços públicos
cos operacionais relevantes para o ne- (SERRA, 2008). g

88 | Gestão de Riscos - Avaliação da Maturidade


REFERÊNCIAS
REFERÊNCIAS

ABNT (ASSOCIAÇÃO BRASILEIRA DE ______. ______ e Controladoria-Geral da


NORMAS TÉCNICAS). NBR ISO 31000: União. Instrução Normativa Conjunta Nº 1,
Gestão de Riscos: Princípios e diretrizes. Rio de 10 de maio de 2016. Dispõe sobre contro-
de Janeiro, 2009. les internos, gestão de riscos e governança
no âmbito do Poder Executivo federal. Bra-
______. ABNT ISO GUIA 73: Gestão de Ris- sília, 2016. Disponível em < http://pesquisa.
cos: Vocabulário, 2009a. in.gov.br/imprensa/jsp/visualiza/index.jsp?-
jornal=1&pagina=14&data=11/05/2016>.
______. ABNT NBR ISO 26000:2010 – Dire- Acesso em: maio 2016.
trizes sobre responsabilidade social. Rio de
Janeiro, 2010. ______. Tribunal de Contas da União.
Técnica de Auditoria Mapa de Processo.
AVALOS, José Miguel Aguilera. Auditoria – Brasília: TCU, Secretaria de Fiscalização
e gestão de riscos; Instituto Chiaventato e Avaliação de Programas de Governo
(org.) – São Paulo : Saraiva, 2009. (Seprog), 2003.

BRASIL. Ministério do Planejamento, Or- _____. _____. Tribunal de Contas da União.


çamento e Gestão. Guia de Orientação Análise_____. Manual de auditoria operacional.
para o Gerenciamento de Riscos. Secreta- Brasília: TCU, 2010. Disponível em: <http://
ria de Gestão Pública. Departamento de www.tcu.gov.br>. Acesso em: março, 2017.
Inovação e Melhoria da Gestão. Gerência
do Programa GESPÚBLICA. Brasília, 2013. _____. _____. Análise SWOT e Diagrama de
Disponível em <http://www.planejamento. Verificação de Risco aplicados em Audito-
gov.br/secretarias/upload/Arquivos/se- ria. Brasília: TCU, Secretaria de Fiscalização
gep/projeto/2013_03_01_Produto_VII_Ris- e Avaliação de Programas de Governo (Se-
co_Oportunidade_PT.pdf>. Acesso em: prog), 2010a. Disponível em: <http://www.
março, 2017. tcu.gov.br>. Acesso em: março, 2017.

90 | Gestão de Riscos - Avaliação da Maturidade


_____. _____. Técnica de pesquisa para Aula 2. Modelos de referência para controle
auditorias. Brasília: TCU, Secretaria de interno. 2. ed. – Brasília: TCU, Instituto Ser-
Fiscalização e Avaliação de Programas zedello Corrêa, 2012.
de Governo (Seprog), 2010b. Disponível
em: <http://www.tcu.gov.br>. Acesso _____. _____. Acórdão nº 2467/2013-TCU-
em: março, 2017. -Plenário. Ata 35, Sessão de 11/09/2013.
Levantamento de auditoria para elaboração
_____. _____. Instrução Normativa de indicador para medir o grau de maturida-
63/2010. Estabelece normas de organi- de de entidades públicas na gestão de ris-
zação e de apresentação dos relatórios cos. Brasília, 2013. Disponível em: <http://
de gestão e das peças complementares www.tcu.gov.br>. Acesso em: março, 2017.
que constituirão os processos de contas
da administração pública federal, para jul- _____. _____. Curso Gestão de Riscos – Prin-
gamento do Tribunal de Contas da União, cípios e Diretrizes. Antonio Alves de Carva-
nos termos do Art. 7º da Lei nº 8.443, de lho Neto. 1. ed. presencial (slides) – Brasília:
1992. – Brasília: TCU, 2010c. Disponível TCU, Instituto Serzedello Corrêa, 2013a.
em: <http://www.tcu.gov.br>. Acesso em:
março, 2017. _____. _____. Técnica de grupo focal para
auditorias. Brasília: TCU, Secretaria de Mé-
_____. _____. Técnica de Indicadores de De- todos Aplicados e Suporte à Auditoria (Se-
sempenho para Auditorias. – Brasília: TCU, aud), 2013b. Disponível em: <http://www.
Segecex, Secretaria de Fiscalização e Ava- tcu.gov.br>. Acesso em: março, 2017.
liação de Programas de Governo (Seprog),
2010d. Disponível em: <http://www.tcu. _____. _____. Resolução-TCU nº 246, de 30 de
gov.br>. Acesso em: março, 2017. novembro de 2011. Altera o Regimento Inter-
no do Tribunal de Contas da União, aprovado
_____. _____. Padrões de Levantamento. pela Resolução TCU nº 155, de 4 de dezembro
Portaria-Segecex 15/2011. – Brasília: TCU, de 2002. Brasília, 2015. Disponível em: <http://
Segecex, Secretaria Adjunta de Planeja- www.tcu.gov.br>. Acesso em: março, 2017.
mento e Procedimentos (Adplan) e Secre-
taria Adjunta de Supervisão e Suporte (Ad- _____. _____. Normas de Auditoria do Tribu-
sup), 2011. Disponível em: <http://www. nal de Contas da União. Revisão Junho 2011.
tcu.gov.br>. Acesso em: março, 2017. Brasília: TCU, 2011. Disponível em: <http://
www.tcu.gov.br>. Acesso em: março, 2017.
_____. _____. Curso Avaliação de Controles
Internos. Conteudistas: Antonio Alves de _____. _____. Regimento Interno do Tribu-
Carvalho Neto, Bruno Medeiros Papariello. nal de Contas da União. Brasília: TCU, 2012.

Tribunal de Contas da União | 91


REFERÊNCIAS

Disponível em: <http://www.tcu.gov.br>. _____. Gerenciamento de Riscos Corporati-


Acesso em: março, 2017. vos: Estrutura Integrada: Sumário Executivo
e Estrutura (COSO GRC, 2004). Tradução:
_____. _____. Referencial básico de governan- PriceWatherhouseCoopers e Instituto dos
ça aplicável a órgãos e entidades da adminis- Auditores Internos do Brasil, São Paulo,
tração pública. Versão 2. - Brasília: TCU, Secre- 2007. Disponível em: <http://www.coso.
taria de Planejamento, Governança e Gestão org/documents/COSO_ERM_Executive-
(Seplan), 2014. Disponível em: <http://www. Summary_Portuguese.pdf>. Acesso em:
tcu.gov.br>. Acesso em: março, 2017. março, 2017.

CANADÁ. Secretaria do Conselho do Te- _____. Enterprise Risk Management: Align


souro do Canadá. Framework for the ma- Risk with Strategy and Performance. COSO,
nagement of risk. Ottawa, 2010a. Dispo- 2016. Disponível em: <http:// http://erm.
nível em: <http://www.tbs-sct.gc.ca/pol/ coso.org/Pages/viewexposuredraft.aspx>.
doc-eng.aspx?id=19422&section=text>. Acesso em: março, 2017.
Acesso em: maio de 2012.
_____. Enterprise Risk Management: Inte-
_____. Secretaria do Conselho do Tesouro grating with Strategy and Performance.
do Canadá. Guide to integrated risk ma- Executive Summary, COSO, 2017. Disponí-
nagement. Ottawa, 2010b. Disponível em: vel em: <https://www.coso.org/Pages/de-
<http://www.tbs-sct.gc.ca/tbs-sct/rm-gr/ fault.aspx>. Acesso em: dezembro, 2017.
guides/girm-ggirtb-eng.asp>. Acesso em:
maio de 2012. DAHMS, T. Risk management and corporate
governance: are they the same? 2008. Dis-
COYLE, G. The Analytic Hierarchy Process. ponível em: <http://www.plumcon.com.au/
Pearson Educational: New York, 2004. PDF/Risk_Gov_1.pdf>. Acesso em: junho
de 2013.
THE COMMITTEE OF SPONSORING OR-
GANIZATIONS OF THE TREADWAY COM- DANTAS, José Alves; RODRIGUES, Fernan-
MISSION (COSO). Controle Interno: Estrutu- da Fernandes; MARCELINO, Gileno Fer-
ra Integrada: Sumário Executivo e Estrutura. nandes; LUSTOSA, Paulo Roberto Barbosa.
Tradução: PriceWatherhouseCoopers e Ins- Custo-benefício do controle: proposta de
tituto dos Auditores Internos do Brasil, São um método para avaliação com base no
Paulo, 2013. Disponível em: <http://www.iia- COSO. Revista de Contabilidade, Gestão e
brasil.org.br/new/2013/downs/coso/COSO_ Governança. 2010.
ICIF_2013_Sumario_Executivo.pdf>. Acesso
em: março, 2017. DE CICCO, Francesco (Rev.). Gestão de Ris-

92 | Gestão de Riscos - Avaliação da Maturidade


cos: Diretrizes para implementação da ISO _____. Subcomitê de Normas de Controle
31000:2009 (Série Risk Management). Risk Interno. Diretrizes para Normas de Contro-
Tecnologia Editora, 2009. le Interno do Setor Público – Informações
Adicionais sobre Gestão de Risco nas Enti-
ESTADOS UNIDOS. General Accounting dades. INTOSAI GOV 9130. Áustria, 2007.
Office (GAO). GAO-01-1008G: Ferramenta Tradução: Antonio Alves de Carvalho Neto.
de gestão e avaliação de controle interno. Brasília, 2013.
Washington, D.C., 2001.
KNIGHT, K. Risk Management: an integral
INSTITUTO DOS AUDITORES INTERNOS component of corporate governance and
(IIA). Normas Internacionais para a Prática good management. ISO Bulletin, p.21-24,
Profissional de Auditoria Interna. Flórida, Out. 2003.
2009. Tradução: Instituto dos Auditores In-
ternos do Brasil. São Paulo, 2009. LONGO, Cláudio Gonçalo. Manual de Audi-
toria e Revisão de Demonstrações Financei-
______. Declaração de Posicionamento do ras. São Paulo: Atlas, 2011.
IIA: O Papel da Auditoria Interna no Geren-
ciamento de Riscos. Flórida, 2009. Tradução: MARTINS, N. C.; SANTOS, L. R.; DIAS FI-
Instituto dos Auditores Internos do Brasil. LHO, J. M. Governança empresarial, ris-
São Paulo, 2009a. cos e controles internos: a emergência de
um novo modelo de controladoria. Revista
_____. Declaração de Posicionamento do Contabilidade & Finanças, São Paulo,n. 34,
IIA: As Três Linhas de Defesa no gerencia- p. 7-22, jan./abr. 2004.
mento eficaz de riscos e controles. Flórida,
2013. Tradução: Instituto dos Auditores In- OCDE (OECD - Organisation for Econo-
ternos do Brasil. São Paulo, 2013. mic Co-operation and Development).
Avaliações da OCDE Sobre Governança
INTOSAI (International Organization of Su- Pública: Avaliação da OCDE sobre o Sis-
preme Audit Institutions). Reporting Stan- tema de Integridade da Administração
dards in Government Auditing (ISSAI 400). Pública Federal Brasileira - Gerencian-
Vienna, 2001. Disponível em: <www.issai. do riscos por uma administração públi-
org>. Acesso em: junho 2015. ca mais íntegra. OECD Publishing, 2011.
Disponível em: <http://www.cgu.gov.br/
_____. Performance Audit Methodology – to assuntos/articulacao-internacional/con-
ISSAI 3000 (ISSAI 3000/Appendix 1, 2004). vencao-da-ocde/arquivos/avaliacaointe-
Viena: Intosai, 2004. Disponível em: <www. gridadebrasileiraocde.pdf/view>. Acesso
issai.org>. Acesso em: junho 2015. em: março, 2017.

Tribunal de Contas da União | 93


REFERÊNCIAS

REINO UNIDO (UK). National Audit Office. _____. _____. Risk management assessment
Focus Groups. How to apply the technique framework: a tool for departments. Londres,
to vfm work. London: NAO, 1997. 2009. Disponível em: <https://www.gov.uk/
government/uploads/system/uploads/ at-
______. ______. Comptroller and Auditor tachment_data/file/191516/Risk_manage-
General. Supporting innovation: Managing ment_assessment_framework.pdf>. Acesso
risk in government departments. Londres, em: maio de 2012.
2000. Disponível em: <http://www.nao.org.
uk/wp-content/uploads/2000/08/9900864. SERRA, Alberto. Modelo aberto de gestão
pdf>. Acesso em: outubro de 2014. para resultados no setor público. tradução
de Ernesto Montes-Bradely y Estayes. – Se-
_____. HM Treasury. Management of Risk cretaria de Estado da Administração e dos
- Principles and Concepts - The Orange Recursos Humanos (SEARH/RN): Natal,
Book. HM Treasury do HM Government, RN, 2008.
2004._______._______. Risk management
assessment framework: a tool for departa- SINEK, Simon. Start with Why: How Great
ments. London, 2009. Disponível em: <ht- Leaders Inspire Everyone to Take Action.
tps://www.gov.uk/government/uploads/sys- Penguin Group: New York, 2011.
tem/uploads/attachment_data/file/191516/
Risk_management_assessment_framework.
pdf>. Acesso em: maio de 2012.

94 | Gestão de Riscos - Avaliação da Maturidade


APÊNDICES
APÊNDICE I
CRITÉRIOS PARA AVALIAÇÃO DA MATURIDADE EM GESTÃO DE RISCOS

DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

1. AMBIENTE
Nesta dimensão, busca-se avaliar as capacidades existentes na organização em termos de liderança,
políticas, estratégias e de preparo das pessoas, incluindo aspectos relacionados com cultura, a
governança de riscos e a consideração do risco na definição da estratégia e dos objetivos em todos os
níveis, para que a gestão de riscos tenha as condições necessárias para prosperar e fornecer segurança
razoável do cumprimento da missão institucional na geração de valor para as partes interessadas.

1.1. Liderança
Nesta seção, busca-se avaliar em que medida os responsáveis pela governança e a alta administração
exercem suas responsabilidades de governança de riscos e cultura, assumindo um compromisso forte e
sustentado e exercendo supervisão para obter comprometimento com a gestão de riscos em todos os níveis
da organização, promovendo-a e dando suporte, de modo que possam ter uma expectativa razoável de
que no cumprimento da sua missão institucional, a organização entende e é capaz de gerenciar os riscos
associados à sua estratégia para atingir os seus objetivos de agregar, preservar e entregar valor às partes
interessadas, tendo o cidadão e a sociedade como vetores principais.

Cultura
1.1.1.A alta administração e os responsáveis pela governança reconhecem IN-MP/CGU Nº
importância da cultura, integridade e valores éticos, e da consciência de 1/2016, Art. 8º, I e
riscos como aspectos-chaves para o reforço da accountability: II; Art. 11, I; Art. 16,
I e Art. 21;
a) fornecendo normas, orientações e supervisionando a inclusão desses
COSO GRC 2004, 2;
aspectos-chaves nos programas de apoio ao desenvolvimento de gestores;
COSO GRC Public
b) reforçando o comprometimento das lideranças com a cultura de gestão Exposure (PE) 2016,
baseada em riscos e com os valores fundamentais da organização; e Princípios 3, 4 e 5;

c) instituindo políticas, programas e medidas definindo padrões de ISO 31000:2009, 3,


comportamento desejáveis, tais como códigos de ética e de conduta, “h” e 4.2;
canais de comunicação para cima e de denúncia, ouvidoria,
OCDE, 2011.
e avaliação da aderência à integridade e aos valores éticos.

96 | Gestão de Riscos - Avaliação da Maturidade


DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

Governança de riscos IN-MP/CGU Nº


1.1.2. Os responsáveis pela governança e a alta administração utilizam 1/2016, Art. 23, II,
instâncias internas (p.ex.: comitês de governança, riscos e controles, Art. 17, II, “a” e “d”;
auditoria, coordenação de gestão de riscos etc.) e outras medidas para
COSO GRC 2004, 10;
apoiar suas responsabilidades de governança de riscos e assegurar que
COSO GRC PE 2016,
a gestão de riscos seja integrada aos processos de gestão, desde o
Princípios 1, e 2;
planejamento estratégico até os projetos e processos de todas as áreas,
funções e atividades relevantes para o alcance dos objetivos-chaves ISO 31000:2009, 3,
da organização. “b”, “c”, “e” e 4.1.

Supervisão da governança e da alta administração


1.1.3. Os responsáveis pela governança e a alta administração supervisionam
a estratégia e exercem suas responsabilidades de governança de riscos,
inclusive mediante:

a) incorporação explícita e monitoramento regular de indicadores-chaves


de risco e indicadores-chaves de desempenho nos seus processos de
governança e gestão; IN-MP/CGU
Nº 1/2016, Art. 16,
parágrafo único; Art.
b) notificação regular e oportuna sobre as exposições da organização a 19, 20 e 23, IX;
riscos, sobre os riscos mais significativos e sobre como a administração
está respondendo a esses riscos;
COSO GRC 2004,
10; COSO GRC PE
2016, Princípios 1,
c) revisão sistemática da visão de portfólio de riscos em contraste com o apeti-
2 e 5;
te a riscos e fornecimento de direção clara para gerenciamento dos riscos;

ISO 31000:2009, 4.2.


d) utilização dos serviços da auditoria interna e de outras instâncias de
asseguração para se certificarem de que a administração tem processos
eficazes de gerenciamento de riscos e controle; e

e) definição do nível de maturidade almejado para a gestão de riscos


e monitoramento do progresso das ações para atingir ou manter-se
no nível definido.

Tribunal de Contas da União | 97


APÊNDICE I

DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS


1.2. Políticas e estratégias
Nesta seção, busca-se avaliar em que medida a organização dispõe de políticas e estratégias de gestão de
riscos definidas, comunicadas e postas em prática, de maneira que o risco seja considerado na definição
da estratégia, dos objetivos e planos em todos os níveis críticos da entidade, e gerenciado nas operações,
funções e atividades relevantes das diversas partes da organização.

Direcionamento estratégico IN-MP/CGU Nº


1.2.1. A alta administração, com a supervisão dos responsáveis pela governança, 1/2016, Art. 2º, II;
estabelece de modo explícito o direcionamento estratégico (objetivos- Art. 14, II; Art. 16, II;
chaves, missão, visão e valores fundamentais da organização), alinhado e Art. 19;
com as finalidades e as competências legais da entidade, traduzindo uma COSO GRC 2004, 3;
expressão inicial do risco aceitável (apetite a risco) para a definição da COSO GRC PE 2016,
estratégia e a fixação de objetivos estratégicos e de negócios, e para o Princípios 1, 3 e 7.
gerenciamento dos riscos relacionados. ISO 31000:2009, 5.3.3.

1.2.2. A alta administração, com a supervisão e a concordância dos responsáveis IN-MP/CGU Nº


1/2016, Art. 2º, II,
pela governança, define, comunica, monitora e revisa o apetite a risco na
e Art. 14, II; Art. 16,
forma de uma expressão ampla, porém suficientemente clara, de quanto II, e V;
risco a organização está disposta a enfrentar na implementação da
COSO GRC 2004, 1,
estratégia para cumprir sua missão institucional e agregar valor para as
2 e 3; COSO GRC PE
partes interessadas, a fim de orientar a definição de objetivos por toda 2016, Princípios 1,
a organização; a seleção de estratégias para realizá-los; a alocação de 7 e 8;
recursos entre as unidades e iniciativas estratégicas; e a identificação e o
ISO 31000:2009, 3,
gerenciamento dos riscos, alinhados com o apetite a risco. “g” e 5.3.3.
Integração da gestão de riscos ao processo de planejamento
1.2.3. A gestão de riscos é integrada ao processo de planejamento estratégico
implementado na organização e aos seus desdobramentos de modo que, IN-MP/CGU Nº
a partir do direcionamento estratégico e do apetite a risco definidos con- 1/2016, Art. 8º,
forme abordado nas questões 1.2.1 e 1.2.2, são definidos: VI; Art. 14, IV; Art.
16, II.
a) os objetivos estratégicos de alto nível alinhados e dando suporte à missão,
à visão e aos propósitos da organização e selecionadas as estratégias para COSO GRC 2004, 3;
atingi-los, considerando as várias alternativas de cenários e os riscos asso- COSO GRC PE 2016,
ciados, de modo a estabelecer uma base consistente para a definição dos Princípios 9, 10 e
objetivos de negócios específicos em todos os níveis da organização; e 11;
b) os objetivos de negócios específicos associados a todas as atividades, em
INTOSAI GOV
todos os níveis, nas categorias operacional, de divulgação (transparência
9130/2007, 1.3 e
e prestação de contas) e de conformidade e as respectivas tolerâncias a
2.2.
risco (ou variações aceitáveis no desempenho), alinhados aos objetivos
estratégicos e ao apetite a risco estabelecidos.

98 | Gestão de Riscos - Avaliação da Maturidade


DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS
1.2.4. A administração define os objetivos mencionados na alínea “b”, acima, IN-MP/CGU Nº
e as respectivas medidas de desempenho (metas, indicadores-chaves 1/2016, Art. 16, II;
de desempenho, indicadores-chaves de risco e variações aceitáveis COSO GRC 2004, 3;
no desempenho), explicitando-os com clareza suficiente, em termos COSO GRC PE 2016,
específicos e mensuráveis, comunicando-os a todas as áreas, funções Princípios 10 e 11;
e atividades relevantes para a realização dos objetivos-chaves da
COSO 2013, Princípio
organização e aos responsáveis em todos os níveis, a fim de permitir
6, atributos “a” e “b”;
a identificação e avaliação dos riscos que possam ter impacto no
desempenho e nos objetivos. INTOSAI GOV 9130, 2.2.

Política de gestão de riscos IN-MP/CGU Nº


1.2.5. A organização dispõe de uma política de gestão de riscos estabelecida 1/2016, Art. 17;
e aprovada pela alta administração, comunicada apropriadamente e ISO 31000:2009,
disponível para acesso a todos, que aborde os seguintes aspectos: 4.3.2.

IN-MP/CGU Nº
a) os princípios e objetivos relevantes da gestão de riscos na organização e 1/2016, Art. 17, I.
as ligações entre os objetivos e políticas da organização com a política de
gestão de riscos; ISO 31000:2009,
4.3.2.

b) as diretrizes para a integração da gestão de riscos a todos os processos IN-MP/CGU Nº


organizacionais, incluindo o planejamento estratégico, os projetos, as 1/2016, Art. 17, II, “a”;
políticas de gestão em todos os níveis da organização e as parcerias com ISO 31000:2009, 3,
outras organizações; “b” e 4.3.4;
IN-MP/CGU Nº
c) a definição clara de responsabilidades, competências e autoridade para 1/2016, Art. 17, II,
gerenciar riscos no âmbito da organização como um todo e em todas as “d” e III;
suas áreas (unidades, departamentos, divisões, processos e atividades), ISO 31000:2009,
incluindo a responsabilidade pela implementação e manutenção do 4.3.3.
processo de gestão de riscos e de asseguração da suficiência, eficácia e COSO GRC 2004, 10;
eficiência de quaisquer controles; COSO GRC PE 2016,
Princípio 5;
IN-MP/CGU Nº
1/2016, Art. 17, II, “b”
d) diretrizes sobre como e com qual periodicidade riscos devem ser
e 18; ISO 31000:2009,
identificados, avaliados, tratados, monitorados e comunicados, através de
4.3.4 e 4.4.2. COSO
um plano de implementação do processo de gestão de riscos, em todos os
GRC 2004, 4 a 9;
níveis, funções e processos relevantes da organização;
COSO GRC PE 2016,
Princípios 12 a 16 e 21.

Tribunal de Contas da União | 99


APÊNDICE I

DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

IN-MP/CGU Nº
1/2016, Art.
17, II, “c”; ISO
e) diretrizes sobre como o desempenho da gestão de riscos, a adequação da
31000:2009, 4.3.2,
estrutura, a aplicação do processo de gestão de riscos e a efetividade da
4.3.3 e 4.5; COSO
política de gestão de riscos serão medidos e reportados; e
GRC 2004, 8 e 9;
COSO GRC PE 2016,
Princípios 20 e 21.

IN-MP/CGU Nº
1/2016, Art. 17,
f) atribuição clara de competências e responsabilidades pelo II, “c” e III; ISO
monitoramento, análise crítica e melhoria contínua da gestão de riscos, 31000:2009, 4.3.3,
bem como diretrizes sobre a forma e a periodicidade como as alterações 4.5 e 4.6. COSO
devem ser efetivadas. GRC 2004, 9; COSO
GRC PE 2016, Princí-
pios 22 e 23.

IN-MP/CGU Nº
Comprometimento da gestão 1/2016, Art. 12
1.2.6. A alta administração e o corpo executivo da gestão (tática e operacional) e 16, § único; Art.
estão completa e diretamente envolvidos em estabelecer e rever a estru- 17, II, “e” e “f”;
tura e o processo de gestão de riscos e controles internos no âmbito de Art. 19 e 20; ISO
suas respectivas áreas de responsabilidade. 31000:2009, 4.2 e
4.3.3.

IN-MP/CGU Nº
1/2016, Art. 17,
Alocação de recursos
II, “f”; Art. 23, II, III
1.2.7. A administração aloca recursos suficientes e apropriados (pessoas, estru-
e IX.
turas, sistemas de TI, programas de treinamento, métodos e ferramentas
para gerenciar riscos) para a gestão de riscos, considerando uma relação
ISO 31000:2009,
equilibrada com o tamanho da organização, a relevância das áreas, fun-
4.3.5.
ções e atividades críticas para a realização dos seus objetivos-chaves,
bem como com a natureza e o nível dos riscos.
COSO GRC PE 2016,
Princípio 2.

100 | Gestão de Riscos - Avaliação da Maturidade


DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

1.3. Pessoas
Nesta seção, busca-se avaliar em que medida as pessoas na organização estão informadas, habilitadas
e autorizadas para exercer seus papéis e suas responsabilidades no gerenciamento de riscos e controles;
entendem esses papéis e os limites de suas responsabilidades, e como os seus cargos se encaixam na
estrutura de gerenciamento de riscos e controle interno da organização.

IN-MP/CGU Nº
Reforço da Accountability
1/2016, Art. 11, IV e
1.3.1. Todo o pessoal na organização, inclusive prestadores de serviços e outras
II; e Art. 16, III a VI;
partes relacionadas, recebe uma mensagem clara da gestão quanto à
importância de se levar a sério suas responsabilidades de gerenciamento INTOSAI GOV
riscos, bem como é orientado e sabe como proceder para encaminhar 9130/2007, 2.7.3.
assuntos relacionados a risco às instâncias pertinentes. Ademais, o pes- ISO 31000:2009, 5.2.
soal designado para atividades de identificação, avaliação e tratamento
COSO GRC 2004, 2, 8 e
de riscos recebe capacitação suficiente para executá-las, inclusive no que
10; COSO GRC PE 2016,
diz respeito à identificação de oportunidades e à inovação.
Princípios 3, 5, 20.

IN-MP/CGU Nº
Estrutura de gerenciamento de riscos e controles
1/2016, Art. 2º,
1.3.2. Os grupos de pessoas que integram as três linhas de defesa na
III; e 3º e 6º; ISO
estrutura de gerenciamento de riscos e controles por toda a organização
31000:2009, 4.3.3.
têm clareza quanto aos seus papéis, entendem os limites de suas
COSO GRC 2004,
responsabilidades e como seus cargos se encaixam na estrutura geral de
10; COSO GRC PE
gestão de riscos e controles da organização, especialmente quanto aos
2016, Princípios 2, 5
seguintes aspectos:
e Apêndice B.

IN-MP/CGU Nº
1/2016, Art. 2º, III;
a) Na primeira linha de defesa, os gestores:
e Art. 3º;
I. têm plena consciência de sua propriedade sobre os riscos, de sua
IIA 2013, As Três
responsabilidade primária pela identificação e gerenciamento dos
Linhas de Defesa no
riscos e pela manutenção de controles internos eficazes; e
gerenciamento eficaz
de riscos e controles.
II. são regularmente capacitados para conduzir o processo de gestão
COSO GRC 2004,
de riscos em suas áreas de responsabilidade e para orientar as suas
10; COSO GRC PE
equipes sobre esse tema.
2016, Princípios 2, 5
e Apêndice B.

Tribunal de Contas da União | 101


APÊNDICE I

DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

b) Na segunda linha de defesa, o pessoal que integra funções de


IN-MP/CGU Nº
coordenação de atividades de gestão de riscos e/ou de gerenciamento de
1/2016, Art. 2º, III;
riscos específicos por toda a organização:
e Art. 6º;
I. apoia e facilita os gestores no estabelecimento de processos de
gerenciamento de riscos que sejam eficazes em suas áreas de IIA 2013, As Três
responsabilidade; Linhas de Defesa
II. fornece metodologias e ferramentas a todas as áreas, por toda a no gerenciamento
organização, com a finalidade de identificar e avaliar riscos; eficaz de riscos e
controles.
III. define, orienta e monitora funções e responsabilidades pela gestão de
riscos em todas as áreas, por toda a organização;
COSO GRC 2004,
IV. estabelece uma linguagem comum de gestão de riscos, incluindo 10;
medidas comuns de probabilidade, impacto e categorias de riscos;
V. orienta a integração do gerenciamento de riscos nos processos COSO GRC PE 2016,
organizacionais e de gestão, e promovem competência para suportá-la; Princípios 2, 5 e
VI. comunica ao dirigente máximo e aos gestores executivos o andamento do Apêndice B.
gerenciamento de riscos em todas as áreas, por toda a organização.

IN-MP/CGU Nº
c) Na terceira linha de defesa, o pessoal que integra a auditoria interna,
1/2016, Art. 2º, III;
especialmente o dirigente dessa função:
IIA 2009, O papel da
I. tem conhecimento dos papéis fundamentais que a função de audi- Auditoria Interna no
toria interna deve assumir em relação ao gerenciamento de riscos, gerenciamento de
dos que não deve assumir e dos que pode assumir com salvaguar- riscos corporativo;
das à independência, previstos na Declaração de Posicionamento IIA 2013, As Três
do IIA: “O papel da Auditoria Interna no gerenciamento eficaz de Linhas de Defesa no
riscos corporativo”, e de fato exerce seus papéis em conformidade gerenciamento eficaz
com essas orientações; de riscos e controles;

II. tem compreensão clara da estratégia da organização e de como ela COSO GRC 2004,
é executada, incluindo objetivos, metas, riscos associados e como 10; COSO GRC PE
esses riscos são gerenciados, e alinha as atividades da auditoria 2016, Princípios 2, 5
interna com as prioridades da organização; e Apêndice B.
IIA IPPF Norma
III. detém as competências necessárias para utilizar uma aborda- 2010, 2100, 2110 e
gem sistemática e disciplinada baseada no risco, para avaliar e 2210.
melhorar a eficácia dos processos de gerenciamento de riscos,
RES CNJ 171/2013,
controle e governança.
Art. 10 e 12.

102 | Gestão de Riscos - Avaliação da Maturidade


DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

2. PROCESSOS
Nesta dimensão, examinam-se os processos de gestão de riscos adotados pela gestão, procurando ava-
liar em que medida a organização dispõe de um modelo de processo formal, com padrões e critérios
definidos para a identificação, a análise e a avaliação de riscos; para a seleção e a implementação de
respostas aos riscos avaliados; para o monitoramento de riscos e controles; e para a comunicação sobre
riscos com partes interessadas, internas e externas.

2.1. Identificação e análise de riscos


Nesta seção, busca-se avaliar em que medida as atividades de identificação e análise de riscos são
aplicadas de forma consistente às operações, funções e atividades relevantes da organização (unidades,
departamentos, divisões, processos e atividades que são críticos para a realização dos objetivos-chaves
da organização), de modo a priorizar os riscos significativos identificados para as atividades subsequen-
tes de avaliação e resposta a riscos.

Estabelecimento do contexto ISO 31000:2009,


2.1.1. O processo de identificação de riscos é precedido de uma etapa de 5.3.
estabelecimento do contexto envolvendo o entendimento, por parte de
todos os participantes do processo, da organização, dos seus objetivos- COSO GRC 2004, 4;
chaves e do ambiente no qual eles são perseguidos, com o fim de
obter uma visão abrangente dos fatores internos e externos que podem COSO GRC PE 2016,
influenciar a capacidade da organização de atingir seus objetivos, incluindo: Princípio 7.
IN-MP/CGU Nº
1/2016, Art. 8º, VI;
Art. 16, II;
a. a identificação dos objetivos-chaves da atividade, do processo ou
do projeto objeto da identificação e análise de riscos é realizada ISO 31000:2009,
considerando o contexto dos objetivos-chaves da organização como um 5.3.3, “a” e “b”;
todo, de modo a assegurar que os riscos significativos do objeto sejam
apropriadamente identificados; COSO GRC 2004, 3;

COSO GRC PE 2016,


Princípio 10.
IN-MP/CGU Nº
1/2016, Art. 22;
b. a identificação das partes interessadas (internas e externas), bem como
a identificação e a apreciação das suas necessidades, expectativas
ISO 31000:2009,
legítimas e preocupações, de modo a incluir essas partes interessadas
5.3.2 e 5.3.3;
em cada etapa do processo de gestão de riscos, por meio de
COSO GRC 2004, 3;
comunicação e consulta; e
COSO GRC PE 2016,
1, item 1.

Tribunal de Contas da União | 103


APÊNDICE I

DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

IN-MP/CGU Nº
c. a comunicação e consulta com partes interessadas (internas e 1/2016, Art. 22;
externas) para assegurar que as suas visões e percepções, incluindo
necessidades, suposições, conceitos e preocupações sejam ISO 31000:2009,
identificadas, registradas e levadas em consideração no processo de 5.2.
gestão de riscos; COSO GRC PE 2016,
Princípio 20.

Documentação do estabelecimento do contexto


2.1.2. A documentação da etapa de estabelecimento do contexto inclui pelo
menos os seguintes elementos essenciais, para viabilizar um processo de
avaliação de riscos consistente:

a. a descrição concisa dos objetivos-chaves e dos fatores críticos para


que se tenha êxito (ou fatores críticos para o sucesso) e uma análise
dos fatores do ambiente interno e externo (por exemplo, análise SWOT); ISO 31000:2009,
5.3.4, 5.3.5 e 5.7.
b. a análise de partes interessadas e seus interesses (por exemplo, análise
de stakeholder, análise RECI, matriz de responsabilidades); e

c. os critérios com base nos quais os riscos serão analisados, avaliados e


priorizados (como serão definidos a probabilidade e o impacto; como será
determinado se o nível de risco é tolerável ou aceitável; quais os critérios de
priorização para análise, avaliação e tratamento dos riscos identificados).

Identificação e análise dos riscos


2.1.3. Os processos de identificação e análise de riscos envolvem pessoas
e utilizam técnicas e ferramentas que asseguram a identificação
abrangente e a avaliação consistente dos riscos, notadamente quanto
aos seguintes aspectos:

a. são envolvidas pessoas com conhecimento adequado, bem como os ISO 31000:2009,
gestores executivos das respectivas áreas; 5.4.2 e A.3.2.

b. são utilizadas técnicas e ferramentas adequadas aos objetivos e tipos ISO 31000:2009,
de risco; 5.4.2.

c. o processo de identificação de riscos considera explicitamente a ISO 31000:2009,


possibilidade de fraudes, burla de controles e outros atos impróprios, 5.4.2;
além dos riscos inerentes aos objetivos de desempenho, divulgação
(transparência e prestação de contas) e de conformidade com leis COSO 2013,
e regulamentos; Princípio 8.

104 | Gestão de Riscos - Avaliação da Maturidade


DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

d. o processo de identificação de riscos produz uma lista abrangente IN-MP/CGU Nº


de riscos, incluindo causas, fontes e eventos que possam ter um 1/2016, Art. 16, III;
impacto na consecução dos objetivos identificados na etapa de ISO 31000:2009,
estabelecimento do contexto; 5.4.2.
IN-MP/CGU Nº
e. a seleção de iniciativas estratégicas, novos projetos e atividades
1/2016, Art. 14, IV;
também têm os riscos identificados e analisados, incorporando-se ao
ISO 31000:2009, 3,
processo de gestão de riscos; e
“b”.
IN-MP/CGU Nº
f. os riscos identificados são analisados em termos de probabilidade de
1/2016, Art. 16, IV;
ocorrência e de impacto nos objetivos, como base para a avaliação e
ISO 31000:2009,
tomada de decisões sobre as respostas para o tratamento dos riscos.
5.4.3.
Documentação da identificação e análise de riscos
2.1.4. No registro de riscos, a documentação da identificação e análise de riscos
contém elementos suficientes para apoiar o adequado gerenciamento dos
riscos, incluindo pelo menos:
a. o registro dos riscos identificados e analisados em sistema, planilha
ou matriz de avaliação de riscos, descrevendo os componentes de cada
risco separadamente com, pelo menos, suas causas, o evento e as
consequências e/ou impactos nos objetivos identificados na etapa de
estabelecimento do contexto;
b. o escopo do processo, da atividade, da iniciativa estratégica ou do
projeto coberto pela identificação e análise de riscos; ISO 31000:2009,
5.4.2, 5.4.3 e 5.7.
c. os participantes das atividades de identificação e análise;
d. a abordagem ou o método de identificação e análise utilizado, as
especificações utilizadas para as classificações de probabilidade e
impacto e as fontes de informação consultadas;
e. a probabilidade de ocorrência de cada evento, a severidade ou
magnitude do impacto nos objetivos e a sua descrição, bem como
considerações quanto à análise desses elementos;
f. os níveis de risco inerente resultantes da combinação de probabilidade
e impacto, além de outros fatores que a entidade considera para
determinar o nível de risco;
g. a descrição dos controles existentes e as considerações quanto à sua
eficácia e confiabilidade; e ISO 31000:2009,
5.5.1
h. o risco residual.

Tribunal de Contas da União | 105


APÊNDICE I

DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

2.2. Avaliação e Resposta a riscos


Nesta seção, busca-se avaliar em que medida as atividades de avaliação e resposta a riscos são
aplicadas de forma consistente para assegurar que sejam tomadas decisões conscientes, razoáveis e
efetivas para o tratamento dos riscos identificados como significativos, e para reforçar a responsabilidade
das pessoas designadas para implementar e reportar as ações de tratamento.

Critérios para priorização de riscos IN-MP/CGU Nº


2.2.1. Os critérios estabelecidos para priorização de riscos levam em conta, por 1/2016, Art. 16, V;
exemplo, a significância ou os níveis e tipos de risco, os limites de apetite
a risco, as tolerâncias a risco ou variações aceitáveis no desempenho, os ISO 31000:2009,
níveis recomendados de atenção, critérios de comunicação a instâncias 5.4.4;
competentes, o tempo de resposta requerido, revelando-se adequados
para orientar decisões seguras quanto a: COSO GRC 2004, 6;
a. se um determinado risco precisa de tratamento e a prioridade para isso;
b. se uma atividade deve ser realizada, reduzida ou descontinuada; e COSO GRC PE 2016,
c. se controles devem ser implementados, modificados ou apenas mantidos. Princípio 14.

IN-MP/CGU Nº
1/2016, Art. 14, III;
Avaliação e seleção das respostas a riscos
2.2.2. A avaliação e a seleção das respostas a serem adotadas para reduzir a
ISO 31000:2009,
exposição aos riscos identificados considera a relação custo-benefício
5.5.2;
na decisão de implementar atividades de controle ou outras ações e
medidas, além de controles internos, para mitigar os riscos.
COSO GRC PE 2016,
Princípio 15.

2.2.3.Todos os responsáveis pelo tratamento de riscos são envolvidos no IN-MP/CGU Nº


processo de seleção das opções de resposta e na elaboração dos planos 1/2016, Art. 20;
de tratamento, bem como são formalmente comunicados das ações
de tratamento decididas, para garantir que sejam adequadamente ISO 31000:2009,
compreendidas, se comprometam e sejam responsabilizados por elas. 5.5.2 e A.3.2;

Planos e medidas de contingência


2.2.4. Todas as áreas, funções e atividades relevantes (unidades, IN-MP/CGU Nº
departamentos, divisões, processos, projetos) para a realização dos 1/2016, Art. 16, VI;
objetivos-chaves da organização têm identificados os elementos críticos
de sua atuação e têm definidos planos e medidas de contingência ISO 31000:2009,
formais e documentados para garantir a recuperação e a continuidade 5.5.3.
dos seus serviços em casos de desastres.

106 | Gestão de Riscos - Avaliação da Maturidade


DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

Documentação da avaliação e seleção de respostas a riscos


2.2.5. A documentação da avaliação e seleção de respostas aos riscos inclui:

a. o plano de tratamento de riscos, preferencialmente integrado ao registro


de riscos da organização, identificando claramente os riscos que reque-
rem tratamento e suas respectivas classificações (de probabilidade, im-
pacto, níveis de risco etc.);

b. a ordem de prioridade para cada tratamento;

c. as respostas a riscos selecionadas e as razões para a seleção das opções ISO 31000:2009,
de tratamento, incluindo a justificativa de custo-benefício; 5.5.3 e 5.7.

d. as ações de tratamento, os recursos requeridos, o cronograma e os bene-


fícios esperados;

e. as medidas de desempenho e os requisitos para o reporte de informações


relacionadas ao tratamento dos riscos, e as formas de monitoramento da
sua implementação; e

f. os responsáveis pela aprovação e pela implementação do plano de trata-


mento de riscos, com autoridade suficiente para gerenciá-lo.

2.3. Monitoramento e comunicação


Nesta seção, busca-se avaliar em que medida as atividades de monitoramento e comunicação estão
estabelecidas e são aplicadas de forma consistente na organização, para garantir que a gestão de riscos
e os controles sejam eficazes e eficientes no desenho e na operação.

IN-MP/CGU Nº
Informação e comunicação
1/2016, Art. 16, VII;
2.3.1. As atividades de informação e comunicação estão estabelecidas em
diretrizes e protocolos efetivamente aplicados durante o processo de
ISO 31000:2009,
gerenciamento de riscos:
5.2 e A.3.4;
a. diretrizes e protocolos estão estabelecidos para viabilizar o compartilha-
mento de informações sobre riscos e a comunicação clara, transparente,
COSO GRC 2004, 8;
tempestiva, relevante e recíproca entre pessoas e grupos de profissionais
no âmbito da organização, para que se mantenham informados e habilita-
COSO GRC PE 2016,
dos para exercer suas responsabilidades no gerenciamento de riscos; e
Princípio 20.

b. há efetiva comunicação e consulta às partes interessadas internas e ex- ISO 31000:2009,


ternas durante todas as fases do processo de gestão de riscos. 5.2 e A.3.4.

Tribunal de Contas da União | 107


APÊNDICE I

DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS


Sistema de informação
2.3.2. A gestão de riscos é apoiada por um registro de riscos ou sistema de
informação que:
a. apoia a gestão de riscos da organização e facilita a comunicação entre ISO 31000:2009,
pessoas e grupos de profissionais com responsabilidades sobre o proces- 5.7.
so de gestão de riscos, permitindo uma visão integrada das atividades de
identificação, análise, avaliação, tratamento e monitoramento de riscos,
incluindo a sua documentação; e
b. é mantido atualizado pelas diversas pessoas e funções que têm responsa-
bilidades pela gestão de riscos em todas as áreas da organização, tanto
em função das decisões e ações implementadas em todas as etapas do ISO 31000:2009,
processo de gestão de riscos, quanto pelas atividades de monitoramento e 5.7 e 5.6 (final).
correção de deficiências (tratadas a seguir), pelo menos quanto aos seus
resultados e com referências para a documentação original completa.
Monitoramento contínuo e autoavaliações
2.3.3. Em todos os níveis da organização, os gestores que têm propriedade
sobre riscos (primeira linha de defesa) monitoram o alcance de objetivos,
riscos e controles chaves em suas respectivas áreas de responsabilidade:
a. de modo contínuo, ou pelo menos frequente, por meio de indicadores-
chaves de risco, indicadores-chaves de desempenho e verificações IN-MP/CGU Nº
rotineiras, para manter riscos e resultados dentro das tolerâncias a riscos 1/2016, Art. 11, V;
definidas ou variações aceitáveis no desempenho; Art. 16, VIII;

b. por meio de autoavaliações periódicas de riscos e controles (Control ISO 31000:2009,


and Risk Self Assessment – CRSA), que constam de um ciclo de revisão 5.6;
periódica estabelecido; e
c. a execução e os resultados desses monitoramentos são documentados e COSO 2013, Princí-
reportados às instâncias apropriados da administração e da governança. pios 16 e 17;

2.3.4. As funções que supervisionam riscos ou que coordenam as atividades COSO GRC 2004, 9;
de gestão de riscos (comitê de governança, riscos e controles; comitê de
auditoria ou grupos equivalentes da segunda linha de defesa): COSO GRC PE 2016,
Princípios 21/23.
a. exercem uma supervisão efetiva dos processos de gerenciamento
de riscos, inclusive das atividades de monitoramento contínuo e
autoavaliações da primeira linha de defesa; e

b. fornecem orientação e facilitação na condução das atividades de monito-


ramento contínuo e autoavaliações da primeira linha de defesa, mantém
sua documentação e comunica os seus resultados às instâncias apropria-
dos da administração e da governança.

108 | Gestão de Riscos - Avaliação da Maturidade


DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS
Monitoramento periódico e avaliações independentes
2.3.5. A função de auditoria interna exerce o seu papel de auxiliar a organização IIA IPPF – Definição
a realizar seus objetivos a partir da aplicação de uma abordagem da atividade de Audi-
sistemática e disciplinada para avaliar e melhorar a eficácia dos toria Interna.
processos de gerenciamento de riscos, controle e governança:
a. estabelece planos anuais ou plurianuais baseados em riscos, de modo IIA IPPF Norma
a alinhar as atividades da auditoria interna com as prioridades da 2010, 2100 e 2110.
organização e garantir que os seus recursos são alocados em áreas
de maior risco, para avaliar e melhorar a eficácia dos processos de RES CNJ 171/2013,
gerenciamento de riscos, controle e governança; Art. 10 e 12.
IIA IPPF Norma 2201
b. utiliza abordagem baseada em risco ao definir o escopo e planejar a natu-
e 2210.
reza, época e extensão dos procedimentos de auditoria em seus trabalhos,
incluindo a identificação e análise dos riscos e o exame de como eles são
RES CNJ 171/2013,
gerenciados pela gestão da área responsável; e
Art. 24.
c. fornece asseguração aos órgãos de governança e à alta administração, bem IIA 2009, O papel da
como aos órgãos de controle e regulamentação, de que os processos de gestão Auditoria Interna no
de riscos e controle operam de maneira eficaz e que os riscos significativos são gerenciamento de
gerenciados adequadamente em todos os níveis da organização. riscos corporativo.
2.3.6. Há planos e as medidas de contingência definidos para os elementos
críticos da atuação da entidade, em todos as áreas, funções e atividades ISO 31000:2009,
relevantes para o alcance dos objetivos-chave da organização e estes são 5.6.
periodicamente testados e revisados.
Monitoramento de mudanças significativas COSO 2013,
2.3.7. Estão estabelecidos e em funcionamento procedimentos e protocolos Princípio 9;
para monitorar e comunicar mudanças significativas nas condições que COSO GRC 2004, 9;
possam alterar o nível de exposição a riscos e ter impactos significativos COSO GRC PE 2016,
na estratégia e nos objetivos da organização. Princípio 22.
IN-MP/CGU Nº
Correção de deficiências e melhoria contínua 1/2016, Art. 8º, XV;
2.3.8. Os resultados das atividades de monitoramento são utilizados para as
ISO 31000:2009,
tomadas de medidas necessárias à correção de deficiências e à melhoria
4.5, 4.6 e A.3.1;
contínua do desempenho da gestão de riscos, incluindo, por exemplo:
COSO 2013,
a. comunicação às instâncias apropriados da administração e da governança
Princípio 17;
com autoridade e responsabilidade para adotar as medidas necessárias;
COSO GRC 2004, 9;
b. elaboração e devido acompanhamento de planos de ação para corrigir as
deficiências identificadas e melhorar o desempenho da gestão de riscos. COSO GRC PE 2016,
Princípio 23.

Tribunal de Contas da União | 109


APÊNDICE I

DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

3. PARCERIAS
Nesta dimensão, examinam-se os aspectos relacionados à gestão de riscos no âmbito de políticas de
gestão compartilhadas (quando o alcance de objetivos comuns de um setor estatal ou de uma política
pública envolve parcerias com outras organizações públicas ou privadas), procurando avaliar em que
medida a organização estabelece arranjos com clareza sobre quais riscos serão gerenciados e por quem,
e como se darão as trocas de informações sobre o assunto, de modo a assegurar que haja um entendi-
mento comum sobre os riscos e o seu gerenciamento.

3.1. Gestão de riscos em parcerias


Nesta seção, busca-se avaliar em que medida a organização adota um conjunto de práticas essenciais
de gestão de riscos para ter segurança razoável de que os riscos no âmbito das parcerias serão adequa-
damente gerenciados e os objetivos alcançados.

Avaliação da capacidade de gestão de riscos das entidades parceiras


3.1.1. O compartilhamento dos riscos é precedido de avaliação fundamentada
ISO 31000:2009,
e documentada da capacidade das potenciais organizações parceiras
4.3.3 e A.3.3;
para gerenciar os principais riscos relacionados a cada objetivo, meta ou
resultado.

Definição de responsabilidades, informação e comunicação


IN-MP/CGU Nº
3.1.2. São designados responsáveis com autoridade e recursos para tomar e
1/2016, Art. 20 e
implementar decisões relacionadas ao gerenciamento dos principais
16, VII;
riscos relacionados a cada objetivo, meta ou resultado esperado das
políticas de gestão compartilhadas por meio de parcerias, e são definidas
ISO 31000:2009,
em quais condições e para quem cada responsável deve fornecer
4.3.3 e A.3.2.
informações.

Processo de gestão de riscos em parcerias


3.1.3. O processo de gestão de riscos é aplicado para identificar, avaliar, ISO 31000:2009,
gerenciar e comunicar riscos relacionados a cada objetivo, meta ou 4.4.2;
resultado pretendido das políticas de gestão compartilhadas.

3.1.4. Pessoas de todas as áreas, funções ou setores das organizações


parceiras com envolvimento na parceria e outras partes interessadas no ISO 31000:2009,
seu objeto participam do processo de identificação e avaliação dos riscos 5.4.2 e A.3.2.
relacionados a cada objetivo, meta ou resultado esperado das parcerias.

3.1.5. Um registro de riscos único é elaborado na identificação e avaliação dos


ISO 31000:2009,
riscos e é atualizado conjuntamente pelas organizações parceiras em
5.7 e 5.6 (final).
função das atividades de tratamento e monitoramento de riscos.

110 | Gestão de Riscos - Avaliação da Maturidade


DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS
IN-MP/CGU Nº
1/2016, Art. 16,
3.1.6. Há informação regular e confiável para permitir que cada organização VII;ISO 31000:2009,
parceira monitore os riscos e o desempenho em relação a cada objetivo, 5.2 e A.3.4;
meta ou resultado esperado.
COSO GRC PE 2016,
Princípio 20.
3.2. Planos e medidas de contingência
Nesta seção, busca-se avaliar em que medida a organização estabelece, em conjunto com as entidades
parceiras, planos e medidas de contingência para garantir a recuperação e a continuidade da prestação
de serviços em caso incidentes.
Planos e medidas de contingência
3.2.1. As organizações parceiras definem planos e medidas de contingência IN-MP/CGU Nº
formais e documentados para garantir a recuperação e a continuidade dos 1/2016, Art. 16, VI;
serviços em casos de desastres ou para minimizar efeitos adversos sobre
o fornecimento de serviços ao público quando uma ou outra parte falhar. ISO 31000:2009,
3.2.2. Os planos e medidas de contingência são periodicamente testados 5.6.
e revisados.
4. RESULTADOS
Nesta dimensão, examinam-se os efeitos das práticas de gestão de riscos, procurando avaliar em que
medida a gestão de riscos tem sido eficaz para a melhoria dos processos de governança e gestão
e os resultados da gestão de riscos têm contribuído para o alcance dos objetivos relacionados à
eficiência das operações, à qualidade de bens e serviços, à transparência e à prestação de contas e ao
cumprimento de leis e regulamentos.

4.1. Melhoria dos processos de governança


Nesta seção, busca-se avaliar em que medida a organização integra a gestão de riscos em seus
processos de governança e gestão e isso tem sido eficaz para a sua melhoria.

IN-MP/CGU Nº
1/2016, Art. 8º,
Integração da gestão de riscos aos processos organizacionais II; Arts. 19, 20, 21,
4.1.1. Os responsáveis pela governança e a alta administração sabem até que parágrafo único, 22
ponto a administração estabeleceu uma gestão de riscos eficaz, integrada e 23;
e coordenada por todas as áreas, funções e atividades relevantes e
críticas para a realização dos objetivos-chaves da organização, tendo ISO 31000:2009,
consciência do nível de maturidade atual e do progresso das ações em 4.3.4 e A.3.5;
curso para atingir ao nível almejado. COSO GRC 2004, 10.
COSO GRC PE 2016,
Princípio 1.

Tribunal de Contas da União | 111


APÊNDICE I

DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

IN-MP/CGU Nº
1/2016, Art. 22;
4.1.2. Os objetivos-chaves, que traduzem o conjunto de valores a serem gerados,
preservados e/ou entregues à sociedade estão identificados e refletidos
ISO 31000:2009, 3
na cadeia de valor, na missão e visão e da organização e nos seus valores
“a” e 5.3.1;
fundamentais, formando a base para a definição da estratégia e a fixação
COSO GRC
de objetivos estratégicos e de negócios.
2004/2016,
Premissa.

4.1.3. Os objetivos estratégicos e de negócios estão estabelecidos, alinhados IN-MP/CGU Nº


com o direcionamento estratégico (item anterior), juntamente com as 1/2016, Art. 16, II;
medidas de desempenho (metas, indicadores-chaves de desempenho, ISO 31000:2009,
indicadores-chaves de risco e variações aceitáveis no desempenho), 4.2, itens 3 e 4;
permitindo medir o progresso e monitorar o desempenho de todas as COSO GRC 2004,
áreas, funções e atividades relevantes da organização para a realização 3. COSO GRC PE
dos seus objetivos-chaves. 2016, Dimensão 2.

IN-MP/CGU Nº
1/2016, Art. 20;
4.1.4. Estão identificados, avaliados e sob tratamento e monitoramento
os principais riscos relacionados a cada objetivo, meta ou
ISO 31000:2009,
resultado chave pretendido de todas as áreas, funções e atividades
A.2 e A.3.2.
relevantes para a realização dos objetivos-chaves da organização,
com o desempenho sendo comunicado aos níveis apropriados da
COSO GRC 2004, 4;
administração e da governança.
COSO GRC PE 2016,
Princípios 12 a 16.

112 | Gestão de Riscos - Avaliação da Maturidade


DIMENSÕES DO MODELO DE AVALIAÇÃO E PRÁTICAS RELACIONADAS FONTES DOS CRITÉRIOS

4.2. Resultados-chaves da gestão de riscos


Nesta seção, busca-se avaliar em que medida os resultados da gestão de riscos têm contribuído para
o alcance dos objetivos relacionados à eficiência das operações, à qualidade de bens e serviços, à
transparência e à prestação de contas e ao cumprimento de leis e regulamentos.

Entendimento dos objetivos, riscos, papéis e responsabilidades


4.2.1. Os responsáveis pela governança, a administração e as pessoas
responsáveis em todos os níveis têm um entendimento atual, correto ISO 31000:2009,
e abrangente dos objetivos sob a sua gestão, de seus papéis e A.2.
responsabilidades, e sabem em que medida os resultados de cada área
ou pessoa para atingir os objetivos-chave envolvem riscos.

Garantia proporcionada pela gestão de riscos


COSO GRC 2004, 1,
4.2.2. Os responsáveis pela governança e a administração têm uma garantia
Anexo 1.1.
razoável, proporcionada pela gestão de riscos, que:
a. entendem até que ponto os objetivos estratégicos estão sendo alcança-
dos na realização da missão e dos objetivos-chaves da organização;
b. entendem até que ponto os objetivos operacionais de eficiência e eficá-
cia das operações, de qualidade de bens e serviços estão sendo alcança-
dos; COSO GRC 2004, 1,
Anexo 1.1.
c. a comunicação de informações por meio de relatórios, de mecanismos de
transparência e prestação de contas é confiável;

d. as leis e os regulamentos aplicáveis estão sendo cumpridos.

Eficácia da gestão de riscos


4.2.3. Os riscos da organização estão dentro dos seus critérios de risco, vale
dizer, dentro do apetite a risco definido e das variações aceitáveis ISO 31000:2009,
no desempenho ou tolerâncias a risco estabelecidas, conforme a A.2.
documentação resultante da aplicação do processo de gestão de risco,
atualizada pelas atividades de monitoramento.

Tribunal de Contas da União | 113


APÊNDICE II
MATRIZ DE PLANEJAMENTO

Objetivo da auditoria: Avaliar a maturidade da gestão de riscos e identificar os aspectos que


necessitam ser aperfeiçoados.

1. AMBIENTE
Nesta dimensão, o objetivo da equipe de auditoria é avaliar as capacidades existentes na organização,
em termos de liderança, políticas & estratégias e preparo das pessoas, incluindo aspectos relacionados
com a cultura, a governança de riscos e a consideração do risco na definição da estratégia e dos
objetivos em todos os níveis, para que a gestão de riscos tenha as condições necessárias para prosperar
e fornecer segurança razoável do cumprimento da missão institucional na geração de valor para as
partes interessadas.

A análise das subquestões 1.1.1 a 1.1.3


deve permitir à equipe concluir se os
responsáveis pela governança e a alta
administração assumem um compromisso forte
e sustentado e exercem supervisão para obter
1.1. Liderança6 comprometimento com a gestão de riscos em
Em que medida os responsáveis pela todos os níveis da organização, promovendo-a
governança e a alta administração exercem e dando suporte, de modo que possam ter uma
suas responsabilidades de governança de expectativa razoável de que no cumprimento
riscos e cultura? da missão institucional, a organização entende
e é capaz de gerenciar os riscos associados à
sua estratégia para atingir seus objetivos de
gerar valor para as partes interessadas, tendo o
cidadão e a sociedade como vetores principais.
______
6 Quando a questão de auditoria se desdobrar em subquestões, como neste
caso, a sua conclusão (o que a análise vai permitir dizer) é obtida mediante
avaliação conjunta das evidências obtidas na execução dos procedimentos
de análise das subquestões que a compõe. O nível de maturidade (ou pontu-
ação) correspondente à questão será calculado conforme orientações cons-
tantes do tópico Determinação do nível de maturidade.

114 | Gestão de Riscos - Avaliação da Maturidade


Cultura
1.1.1. A alta administração e os responsáveis pela governança reconhecem a importância
QUESTÃO
da cultura, da integridade, dos valores éticos e da consciência de riscos como
aspectos-chaves para o reforço da accountability?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as

PROCEDIMENTOS
orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se a alta administração e os responsáveis pela governança fornecem normas,


orientações e supervisionam as questões afetas a cultura, integridade, valores éticos
e consciência de riscos.

Se as questões relacionadas a cultura, integridade, valores éticos e consciência de riscos


O QUE A integram o conteúdo de cursos e programas voltados para o desenvolvimento de gestores.
ANÁLISE VAI
PERMITIR DIZER Se a alta administração e os responsáveis pela governança reforçam o comprometimento
(CONCLUSÕES das lideranças com a cultura de gestão baseada em riscos e com os valores fundamentais
A CHEGAR) da organização.

Se estão instituídos programas, políticas ou outras medidas que definem os padrões


de comportamento desejáveis, tais como códigos de ética e de conduta, canais de
denúncia e de comunicação para cima, ouvidoria, avaliações de aderência aos padrões de
integridade e valores éticos.

Tribunal de Contas da União | 115


APÊNDICE II

Governança de riscos
1.1.2. Existem estruturas e processos definidos para apoiar as responsabilidades de
QUESTÃO
governança de riscos e assegurar que a gestão de riscos seja integrada aos
processos de gestão?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as

PROCEDIMENTOS
orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se existem instâncias internas de apoio à governança de riscos, tais como comitês


de governança, riscos e controles; auditoria interna; coordenação central da gestão
corporativa de riscos.
O QUE A
ANÁLISE VAI Se as instâncias internas de apoio à governança de riscos exercem suas atribuições
PERMITIR DIZER mediante uma abordagem planejada, sistemática e disciplinada.
(CONCLUSÕES
A CHEGAR) Se a gestão de riscos é integrada aos processos de gestão, desde o planejamento
estratégico até os projetos e processos de todas as áreas, funções e atividades7
relevantes para o alcance dos objetivos-chaves da organização.
______
7 Áreas (por exemplo: unidades, departamentos, divisões), funções (por exemplo: finanças, aquisições, contabilidade,
gestão de pessoas, TI), atividades (por exemplo: processos, projetos, sistemas).

116 | Gestão de Riscos - Avaliação da Maturidade


Supervisão da Governança e da alta administração
QUESTÃO 1.1.3. Os responsáveis pela governança e a alta administração supervisionam a
estratégia e exercem suas responsabilidades de governança de riscos?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se os processos de governança e gestão incorporam explicitamente indicadores-chaves


de risco e indicadores-chaves de desempenho, monitorados regularmente.

Se o órgão de governança e a alta administração são notificados de modo regular e


oportuno sobre as exposições da organização a riscos, sobre os riscos mais significativos
e sobre como a administração está respondendo a esses riscos.
O QUE A
ANÁLISE VAI
Se o órgão de governança faz uma revisão sistemática da visão de portfólio dos riscos em
PERMITIR DIZER
(CONCLUSÕES
contraste com o apetite a riscos, fornecendo direção clara para gerenciamento dos riscos.
A CHEGAR)
Se o órgão de governança e a alta administração utilizam os serviços da auditoria interna
e de outras instâncias de asseguração para se certificarem de que a administração tem
processos eficazes de gerenciamento de riscos e controles.

Se o órgão de governança definiu um nível de maturidade almejado para a gestão de


riscos e monitora o progresso das ações para atingir ou manter-se no nível definido.

Tribunal de Contas da União | 117


APÊNDICE II

A análise das subquestões 1.2.1 a 1.2.7 deve


permitir à equipe concluir se a organização dispõe
de políticas e estratégias de gestão de riscos
1.2. – Políticas e estratégias
definidas, comunicadas e postas em prática, de
Em que medida a organização dispõe de políticas
maneira que o risco seja considerado na definição
e estratégias de gestão de riscos definidas,
da estratégia, dos objetivos e planos em todos
comunicadas e postas em prática?
os níveis críticos da entidade, e gerenciado nas
operações, funções e atividades relevantes das
diversas partes da organização.

Direcionamento estratégico
QUESTÃO 1.2.1. A alta administração, com a supervisão dos responsáveis pela governança,
estabelece de modo explícito o direcionamento estratégico?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


PROCEDIMENTOS
DE COLETA orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se alta administração, com a supervisão dos responsáveis pela governança, estabelece de


modo explícito o direcionamento estratégico traduzido nos objetivos-chaves, na missão,
na visão e valores fundamentais da organização.
O QUE A
ANÁLISE VAI Se o direcionamento estratégico é alinhado com as finalidades e competências legais
PERMITIR DIZER da entidade.
(CONCLUSÕES
A CHEGAR) Se o direcionamento estratégico fornece uma base suficiente para a definição da
estratégia e a fixação dos objetivos estratégicos e de negócios, traduzindo uma
expressão inicial do risco aceitável (apetite a risco) para o gerenciamento
dos riscos relacionados.

118 | Gestão de Riscos - Avaliação da Maturidade


1.2.2. A alta administração, com a supervisão e a concordância dos responsáveis pela
QUESTÃO
governança, define, comunica, monitora e revisa o apetite a risco?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as orientações

PROCEDIMENTOS
constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se a alta administração, com a supervisão e a concordância do órgão de governança,


define, comunica, monitora e revisa o apetite a risco na forma de uma expressão ampla,
porém suficientemente clara, de quanto risco a organização está disposta a enfrentar
O QUE A na implementação da estratégia para cumprir sua missão institucional e agregar valor
ANÁLISE VAI
para as partes interessadas.
PERMITIR DIZER
(CONCLUSÕES

A CHEGAR) Se a expressão do apetite a risco fornece uma base consistente para orientar a
definição de objetivos por toda a organização; a seleção de estratégias para realizá-los;
a alocação de recursos entre as unidades e iniciativas estratégicas; e a identificação e
o gerenciamento dos riscos, alinhados com o apetite a risco.

Tribunal de Contas da União | 119


APÊNDICE II

Integração da gestão de riscos ao processo de planejamento


QUESTÃO 1.2.3. A gestão de riscos é integrada ao processo de planejamento estratégico
implementado na organização e aos seus desdobramentos?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as

PROCEDIMENTOS
orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se os objetivos estratégicos de alto nível são alinhados e dão suporte à missão, à


visão e aos propósitos da organização, e se são estabelecidos em consistência com o
direcionamento estratégico e o apetite a risco definidos (subquestões 1.2.1 e 1.2.2), de
modo a fornecer uma base consistente para a definição dos objetivos de negócios em
O QUE A todos os níveis da organização.
ANÁLISE VAI
PERMITIR DIZER Se são consideradas as várias alternativas de cenários e os riscos associados na
(CONCLUSÕES definição dos objetivos estratégicos e na seleção das estratégias para atingi-los.
A CHEGAR)
Se os objetivos de negócios específicos associados a todas as atividades, em todos os
níveis, nas categorias operacional, de divulgação (transparência e prestação de contas)
e de conformidade e as respectivas tolerâncias a risco (ou variações aceitáveis no
desempenho) são definidos alinhados aos objetivos estratégicos e ao apetite a risco.

120 | Gestão de Riscos - Avaliação da Maturidade


1.2.4. A administração define e comunica os objetivos e as respectivas medidas de
QUESTÃO
desempenho em termos específicos e mensuráveis?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se a administração define os objetivos de negócios de todas as áreas, funções e


atividades relevantes para a realização dos objetivos-chaves da organização,
explicitando-os com clareza suficiente, em termos específicos e mensuráveis.
Se a administração define as medidas de desempenho (metas, indicadores-chaves de
O QUE A desempenho, indicadores-chaves de risco e variações aceitáveis no desempenho) para
ANÁLISE VAI todos os objetivos definidos.
PERMITIR DIZER
(CONCLUSÕES Se os objetivos e as medidas de desempenho são comunicados aos responsáveis, em
A CHEGAR) todos os níveis, de todas as áreas, funções e atividades relevantes para a realização dos
objetivos-chaves da organização
Se o modo como os objetivos são definidos, explicitados e comunicados permite a
identificação e avaliação dos riscos que possam ter impacto no desempenho e no alcance
dos objetivos.

Tribunal de Contas da União | 121


APÊNDICE II

Política de gestão de riscos


1.2.5. A organização dispõe de uma política de gestão de riscos estabelecida e aprovada
QUESTÃO
pela alta administração, apropriadamente comunicada, abordando todos os
aspectos relevantes?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.

PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

122 | Gestão de Riscos - Avaliação da Maturidade


Se a alta administração aprovou a política de gestão de riscos e assumiu a
liderança no compromisso com a sua implementação.

Se a política de gestão de riscos é apropriadamente comunicada e está disponível


para acesso a todos, dentro e fora da organização.

Se a política de gestão de riscos estabelece os princípios e objetivos relevantes


da gestão de riscos na organização e as ligações entre os objetivos e políticas da
organização com a política de gestão de riscos.

Se a política de gestão de riscos estabelece as diretrizes para a integração da


gestão de riscos a todos os processos organizacionais, incluindo o planejamento
estratégico, os projetos, as políticas de gestão em todos os níveis da organização e
as parcerias com outras organizações.
O QUE A Se a política de gestão de riscos contém uma definição clara de responsabilidades,
ANÁLISE VAI
competências e autoridade para gerenciar riscos no âmbito da organização como
PERMITIR DIZER
(CONCLUSÕES
um todo e em todas as suas áreas (unidades, departamentos, divisões, processos
A CHEGAR) e atividades), incluindo a implementação e manutenção do processo de gestão de
riscos e a asseguração da suficiência, eficácia e eficiência de quaisquer controles.

Se a política de gestão de riscos estabelece diretrizes sobre como e com qual


periodicidade riscos devem ser identificados, avaliados, tratados, monitorados e
comunicados, por meio de um plano de implementação do processo de gestão de
riscos, em todos os níveis, funções e processos relevantes da organização.

Se a política de gestão de riscos estabelece diretrizes sobre como o desempenho da


gestão de riscos, a adequação da estrutura, a aplicação do processo de gestão de
riscos e a efetividade da política de gestão de riscos, serão medidos e reportados.

Se a política de gestão de riscos estabelece atribuição clara de competências


e responsabilidades pelo monitoramento, análise crítica e melhoria contínua da
gestão de riscos, bem como diretrizes sobre a forma e a periodicidade como as
alterações devem ser efetivadas.

Tribunal de Contas da União | 123


APÊNDICE II

Comprometimento da gestão
QUESTÃO
1.2.6. Toda a gestão da organização é comprometida com a gestão de riscos?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
PROCEDIMENTOS
DE COLETA orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se a alta administração e o corpo executivo da gestão (tática e operacional)


ANÁLISE VAI
estão completa e diretamente envolvidos em estabelecer e rever a estrutura e o
PERMITIR DIZER
(CONCLUSÕES
processo de gestão de riscos e controles internos no âmbito de suas respectivas
A CHEGAR) áreas de responsabilidade.

Alocação de recursos
QUESTÃO
1.2.7. A administração aloca recursos suficientes e apropriados para a gestão riscos?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
PROCEDIMENTOS
DE COLETA orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se a administração aloca recursos suficientes e apropriados (pessoas, estruturas,


ANÁLISE VAI sistemas de TI, métodos, treinamento e ferramentas) para a gestão de riscos,
PERMITIR DIZER considerando uma relação equilibrada com o tamanho da organização, a relevância das
(CONCLUSÕES áreas, funções e atividades críticas para a realização dos seus objetivos-chaves, bem
A CHEGAR) como com a natureza e o nível dos riscos.

124 | Gestão de Riscos - Avaliação da Maturidade


A análise das subquestões 1.3.1 a 1.3.2 deve
permitir à equipe concluir se as pessoas na
1.3. – Pessoas organização estão informadas, habilitadas e
Em que medida as pessoas na organização autorizadas para exercer os seus papéis e as suas
entendem seus papéis e responsabilidades responsabilidades no gerenciamento de riscos e
relacionados à gestão de riscos e estão controles; entendem esses papéis e os limites de
preparadas exercê-los? suas responsabilidades, e como os seus cargos se
encaixam na estrutura de gerenciamento de riscos
e controle interno da organização.

Reforço da accountability
1.3.1. A gestão transmite uma mensagem clara quanto à importância de se levar a sério
QUESTÃO
as responsabilidades de gerenciamento riscos e o pessoal recebe orientação e
capacitação suficiente para exercer essas responsabilidades?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as

PROCEDIMENTOS orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.


DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se todo o pessoal na organização, inclusive prestadores de serviços e outras partes


relacionadas, recebe uma mensagem clara da gestão quanto à importância de cumprir
O QUE A suas responsabilidades de gerenciamento riscos, bem como é orientado e sabe como
ANÁLISE VAI
proceder para encaminhar assuntos relacionados a risco às instâncias pertinentes.
PERMITIR DIZER
(CONCLUSÕES
A CHEGAR) Se o pessoal designado para atividades de identificação, avaliação e tratamento de
riscos recebe capacitação suficiente para executá-las, inclusive no que diz respeito à
identificação de oportunidades e à inovação.

Tribunal de Contas da União | 125


APÊNDICE II

Estrutura de gerenciamento de riscos e controles


1.3.2. Os grupos de pessoas que integram as três linhas de defesa na estrutura de
gerenciamento de riscos e controles por toda a organização têm clareza quanto
QUESTÃO
aos seus papéis, entendem os limites de suas responsabilidades e como
seus cargos se encaixam na estrutura geral de gestão de riscos e controles
da organização?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.

PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se os gestores, que integram a primeira linha de defesa:

i. têm plena consciência de sua propriedade sobre os riscos, de sua


responsabilidade primária pela identificação e gerenciamento dos riscos e pela
manutenção de controles internos eficazes; e
O QUE A
ANÁLISE VAI ii. são regularmente capacitados para conduzir o processo de gestão de riscos em
PERMITIR DIZER suas áreas de responsabilidade e para orientar as suas equipes sobre esse tema.
(CONCLUSÕES
A CHEGAR) Se o pessoal da segunda linha de defesa, que integra funções de coordenação de
atividades de gestão de riscos e/ou de gerenciamento de riscos específicos por toda
a organização:

i. apoia e facilita os gestores no estabelecimento de processos de gerenciamento


de riscos que sejam eficazes em suas áreas de responsabilidade;

126 | Gestão de Riscos - Avaliação da Maturidade


ii. fornece metodologias e ferramentas a todas as áreas, por toda a organização,
com a finalidade de identificar e avaliar riscos;

iii. define, orienta e monitora funções e responsabilidades pela gestão de riscos em


todas as áreas, por toda a organização;

iv. estabelece uma linguagem comum de gestão de riscos, incluindo medidas


comuns de probabilidade, impacto e categorias de riscos;

v. orienta a integração do gerenciamento de riscos nos processos organizacionais


e de gestão, e promovem competência para suportá-la;

CONTINUAÇÃO vi. comunica ao dirigente máximo e aos gestores executivos o andamento do


gerenciamento de riscos em todas as áreas, por toda a organização.

O QUE A Se o pessoal da auditoria interna, que integra a terceira linha de defesa,


ANÁLISE VAI especialmente o dirigente dessa função:
PERMITIR DIZER
i. tem conhecimento dos papéis fundamentais que a função de auditoria interna
(CONCLUSÕES
deve assumir em relação ao gerenciamento de riscos, dos que não deve
A CHEGAR) assumir e dos que pode assumir com salvaguardas à independência, conforme
previsto na Declaração de Posicionamento do IIA: “O papel da Auditoria
Interna no gerenciamento eficaz de riscos corporativo”, e de fato os exerce em
conformidade.

ii. tem compreensão clara da estratégia da organização e de como ela é


executada, incluindo objetivos, metas, riscos associados e como esses riscos
são gerenciados, e alinha as atividades da auditoria interna com essas
prioridades da organização;

iii. detém as competências necessárias para utilizar uma abordagem sistemática e


disciplinada baseada no risco, para avaliar e melhorar a eficácia dos processos
de gerenciamento de riscos, controle e governança.

Tribunal de Contas da União | 127


APÊNDICE II

2. PROCESSOS
Nesta dimensão, o objetivo da equipe de auditoria é examinar os processos de gestão de riscos adotados
pela gestão, procurando avaliar em que medida a organização dispõe de um modelo de processo formal,
com padrões e critérios definidos para a identificação, a análise e a avaliação de riscos; para a seleção e
a implementação de respostas aos riscos avaliados; para o monitoramento de riscos e controles; e para a
comunicação sobre riscos com partes interessadas, internas e externas.

A análise das subquestões 2.1.1 a 2.1.4 deve


2.1. – Identificação e análise de riscos
permitir à equipe concluir se a identificação e
Em que medida as atividades de identificação
análise de riscos é realizada de forma consistente
e análise de riscos são aplicadas de forma
em relação a todas operações, funções e
consistente a todas operações, funções e
atividades relevantes para a realização dos
atividades relevantes da organização (unidades,
objetivos-chaves da organização, de modo a
departamentos, divisões, processos e atividades
priorizar os riscos significativos identificados
que são críticos para a realização dos objetivos-
para as atividades subsequentes de avaliação e
chaves da organização)?
resposta a riscos.

Estabelecimento do contexto
QUESTÃO
2.1.1. A identificação de riscos é precedida de uma etapa de estabelecimento do contexto?

INFORMAÇÕES
REQUERIDAS
FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
PROCEDIMENTOS
DE COLETA orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se previamente ao processo de identificação de riscos, todos os participantes desse


ANÁLISE VAI processo obtêm entendimento da organização e dos seus objetivos-chaves, bem
PERMITIR DIZER como do ambiente no qual esses objetivos são buscados, a fim de obter uma visão
(CONCLUSÕES abrangente dos fatores internos e externos que podem influenciar a capacidade da
A CHEGAR) organização para atingir seus objetivos.

128 | Gestão de Riscos - Avaliação da Maturidade


Se a identificação dos objetivos-chaves da atividade, do processo ou do projeto objeto
da identificação e análise de riscos é realizada considerando o contexto dos objetivos-
chaves da organização como um todo, de modo a assegurar que os riscos significativos
CONTINUAÇÃO do objeto sejam apropriadamente identificados.

Se é realizada a identificação das partes interessadas (internas e externas), bem


O QUE A como a identificação e a apreciação das suas necessidades, expectativas legítimas
ANÁLISE VAI e preocupações, de modo a incluir essas partes interessadas em cada etapa do
PERMITIR DIZER processo de gestão de riscos, por meio de comunicação e consulta.
(CONCLUSÕES
A CHEGAR) Se é realizada comunicação e consulta com partes interessadas (internas e externas)
para assegurar que as suas visões e percepções, incluindo necessidades, suposições,
conceitos e preocupações sejam identificadas, registradas e levadas em consideração
no processo de gestão de riscos.

Tribunal de Contas da União | 129


APÊNDICE II

Documentação do estabelecimento do contexto


QUESTÃO 2.1.2. A documentação da etapa de estabelecimento do contexto inclui elementos
essenciais para viabilizar um processo de avaliação de riscos consistente?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se a documentação da etapa de estabelecimento do contexto inclui pelo menos:

i. a descrição concisa dos objetivos-chaves e dos fatores críticos para que se tenha
êxito (ou fatores críticos para o sucesso) e uma análise dos fatores do ambiente
O QUE A interno e externo (por exemplo, análise SWOT);
ANÁLISE VAI
PERMITIR DIZER ii. a análise de partes interessadas e seus interesses (por exemplo, análise de
(CONCLUSÕES stakeholder, análise RECI, matriz de responsabilidades);
A CHEGAR)
iii. os critérios com base nos quais os riscos serão analisados, avaliados e
priorizados (como serão definidos a probabilidade e o impacto; como será
determinado se o nível de risco é tolerável ou aceitável; quais os critérios de
priorização para análise, avaliação e tratamento dos riscos identificados).

130 | Gestão de Riscos - Avaliação da Maturidade


Identificação e análise dos riscos
2.1.3. Os processos de identificação e análise de riscos envolvem pessoas e utilizam
QUESTÃO
técnicas e ferramentas que asseguram a identificação abrangente e a avaliação
consistente dos riscos?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se nos processos de identificação de riscos são envolvidas pessoas com


conhecimento adequado, bem como os gestores das áreas.
Se são utilizadas técnicas e ferramentas adequadas aos objetivos e tipos de riscos.
Se o processo de identificação de riscos considera explicitamente a possibilidade de
O QUE A fraudes, burla de controles e outros atos impróprios, além dos riscos inerentes aos
ANÁLISE VAI objetivos de desempenho, divulgação (transparência e prestação de contas) e de
PERMITIR DIZER conformidade com leis e regulamentos.
(CONCLUSÕES Se o processo de identificação de riscos produz uma lista abrangente de riscos,
A CHEGAR)
incluindo causas, fontes e eventos que possam ter um impacto na consecução
daqueles objetivos identificados na etapa de estabelecimento do contexto.
Se a seleção de iniciativas estratégicas, novos projetos e atividades também têm os
riscos identificados e analisados, incorporando-se ao processo de gestão de riscos.
Se são analisados o impacto e a probabilidade dos riscos.

Tribunal de Contas da União | 131


APÊNDICE II

Documentação da identificação e análise dos riscos


2.1.4. No registro de riscos (sistema, planilhas ou matrizes de avaliação de riscos), a
QUESTÃO
documentação da identificação e análise dos riscos contém elementos suficientes
para apoiar um adequado gerenciamento dos riscos?

INFORMAÇÕES
REQUERIDAS
FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
PROCEDIMENTOS
DE COLETA orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE DADOS
PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se há registro dos riscos identificados e analisados em sistema, planilhas ou


matrizes de avaliação de riscos, descrevendo os componentes de cada risco
separadamente com, pelo menos, suas causas, o evento e as consequências e/ou
impactos nos objetivos identificados na etapa de estabelecimento do contexto.

Se no registro de riscos da organização, a documentação das atividades de


O QUE A identificação e análise de riscos inclui pelo menos:
ANÁLISE VAI
PERMITIR DIZER
(CONCLUSÕES
i. o escopo do processo, da atividade, da iniciativa estratégica ou do projeto
A CHEGAR) coberto pela identificação e análise;

ii. os participantes das atividades de identificação e análise de riscos;

iii. a abordagem ou o método de identificação e análise utilizado, as


especificações utilizadas para as classificações de probabilidade e impacto e
as fontes de informação consultadas;

132 | Gestão de Riscos - Avaliação da Maturidade


iv. a probabilidade de ocorrência de cada evento, a severidade ou magnitude do
impacto nos objetivos e a sua descrição, bem como considerações quanto à
CONTINUAÇÃO análise desses elementos;

v. os níveis de risco inerente resultantes da combinação de probabilidade e


O QUE A impacto, além de outros fatores que a entidade considera para determinar o
ANÁLISE VAI nível de risco;
PERMITIR DIZER
(CONCLUSÕES vi. a descrição dos controles existentes, as considerações quanto à sua eficácia e
A CHEGAR) confiabilidade; e

vii. o risco residual.

A análise das subquestões 2.2.1 a 2.2.5 deve


permitir à equipe concluir se a avaliação
de riscos e a seleção de respostas aos
2.2. – Avaliação e resposta a riscos
riscos identificados e analisados como
Em que medida as atividades de avaliação
significativos é realizada de forma
e resposta a riscos são aplicadas de forma
consistente, para assegurar que sejam
consistente aos riscos identificados e
tomadas decisões conscientes, razoáveis
analisados como significativos?
e efetivas para o tratamento dos riscos
identificados como significativos, e para
reforçar a responsabilidade das pessoas
designadas para implementar e reportar as
ações de tratamento.

Tribunal de Contas da União | 133


APÊNDICE II

Critérios para priorização de riscos


QUESTÃO 2.2.1. Os critérios estabelecidos para priorização de riscos são adequados para
orientar decisões seguras por toda a organização?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se existem critérios estabelecidos para orientar as decisões sobre riscos em relação


a todas as operações, funções e atividades relevantes da organização.

Se os critérios estabelecidos levam em conta fatores como a significância ou


os níveis e tipos de risco, os limites de apetite a risco, as tolerâncias a risco ou
O QUE A variações aceitáveis no desempenho, os níveis recomendados de atenção, critérios de
ANÁLISE VAI comunicação a instâncias competentes, o tempo de resposta requerido.
PERMITIR DIZER
(CONCLUSÕES Se os critérios estabelecidos são adequados para orientar decisões quanto a se:
A CHEGAR)
i. um determinado risco precisa de tratamento e a prioridade para isso;

ii. uma atividade deve ser realizada, reduzida ou descontinuada;

iii. controles devem ser implementados, modificados ou apenas mantidos.

134 | Gestão de Riscos - Avaliação da Maturidade


Avaliação e seleção das respostas a riscos
QUESTÃO 2.2.2. A seleção de respostas para tratar riscos considera todas as opções de
tratamento e o seu custo-benefício?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se a avaliação e a seleção das respostas a serem adotadas para reduzir a


ANÁLISE VAI
exposição aos riscos identificados considera a relação custo-benefício na decisão
PERMITIR DIZER
(CONCLUSÕES
de implementar atividades de controle ou outras ações e medidas, além de
A CHEGAR) controles internos, para mitigar os riscos.

Tribunal de Contas da União | 135


APÊNDICE II

2.2.3. Os responsáveis pelo tratamento de riscos são envolvidos no processo de


QUESTÃO avaliação e seleção das respostas e são formalmente comunicados das ações de
tratamento decididas?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se todos os responsáveis pelo tratamento de riscos são envolvidos no processo


ANÁLISE VAI de seleção das opções de resposta e na elaboração dos planos de tratamento,
PERMITIR DIZER bem como são formalmente comunicados das ações de tratamento decididas para
(CONCLUSÕES garantir que sejam adequadamente compreendidas, se comprometam e sejam
A CHEGAR) responsabilizados por elas.

136 | Gestão de Riscos - Avaliação da Maturidade


Planos e medidas de contingência
QUESTÃO 2.2.4. Os elementos críticos da atuação da organização estão identificados e têm
definidos planos e medidas de contingência?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se todas as áreas, funções e atividades relevantes para a realização dos objetivos-
ANÁLISE VAI
chaves da organização têm identificados os elementos críticos de sua atuação e têm
PERMITIR DIZER
(CONCLUSÕES
definidos planos e medidas de contingência formais e documentados para garantir a
A CHEGAR) recuperação e a continuidade dos seus serviços em casos de desastres.

Tribunal de Contas da União | 137


APÊNDICE II

Documentação da avaliação e seleção das respostas a riscos


2.2.5. A documentação da avaliação e seleção de respostas a riscos inclui
QUESTÃO
elementos suficientes para permitir o gerenciamento adequado da implementação
das respostas?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se a documentação da avaliação e seleção de respostas aos riscos inclui


pelo menos:

i. o plano de tratamento de riscos, preferencialmente integrado ao registro de


riscos, identificando claramente os riscos que requerem tratamento, suas
respectivas classificações (probabilidade, impacto, níveis de risco etc.), a ordem
O QUE A de prioridade para cada tratamento;
ANÁLISE VAI
PERMITIR DIZER ii. as respostas a riscos selecionadas e as razões para a seleção, incluindo
(CONCLUSÕES justificativa de custo-benefício; as ações propostas, os recursos requeridos, o
A CHEGAR) cronograma e os benefícios esperados;

iii. as medidas de desempenho e os requisitos para o reporte de informações relacionadas


ao tratamento dos riscos, e as formas de monitoramento da sua implementação;

iv. a identificação dos responsáveis pela aprovação e pela implementação de cada


ação do plano de tratamento, com autoridade suficiente para gerenciá-las.

138 | Gestão de Riscos - Avaliação da Maturidade


A análise das subquestões 2.3.1 a 2.3.8 deve
2.3. – Monitoramento e comunicação permitir à equipe concluir se as atividades
Em que medida as atividades de de monitoramento e comunicação estão
monitoramento e comunicação estão estabelecidas e são aplicadas de forma
estabelecidas e são aplicadas de forma consistente, para garantir que a gestão de riscos
consistente na organização? e os controles sejam eficazes e eficientes no
desenho e na operação.

Informação e comunicação
2.3.1. Diretrizes e protocolos de informação e comunicação estão estabelecidos
QUESTÃO
e são efetivamente aplicados em todas as fases do processo de gestão
de riscos?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se diretrizes e protocolos estão estabelecidos para viabilizar o compartilhamento de


informações sobre riscos e a comunicação clara, transparente, tempestiva, relevante
O QUE A e recíproca entre pessoas e grupos de profissionais no âmbito da organização, para
ANÁLISE VAI
que se mantenham informados e habilitados para exercer suas responsabilidades no
PERMITIR DIZER
(CONCLUSÕES gerenciamento de riscos.
A CHEGAR)
Se há efetiva comunicação e consulta às partes interessadas internas e externas
durante todas as fases do processo de gestão de riscos.

Tribunal de Contas da União | 139


APÊNDICE II

Sistema de informação
QUESTÃO 2.3.2. A gestão de riscos é apoiada por um registro de riscos ou sistema de
informação efetivo e atualizado?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


PROCEDIMENTOS orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se há um registro de riscos ou sistema de informação apoia a gestão de riscos


da organização e facilita a comunicação entre pessoas e grupos de profissionais
com responsabilidades sobre o processo de gestão de riscos, permitindo uma
visão integrada das atividades de identificação, análise, avaliação, tratamento e
O QUE A monitoramento de riscos, incluindo a sua documentação;
ANÁLISE VAI
PERMITIR DIZER Se o registro de riscos ou sistema de informação é mantido atualizado pelas
(CONCLUSÕES diversas pessoas e funções que têm responsabilidades pela gestão de riscos
A CHEGAR) em todas as áreas da organização, tanto em função das decisões e ações
implementadas em todas as etapas do processo de gestão de riscos, quanto pelas
atividades de monitoramento e correção de deficiências (tratadas na sequência),
pelo menos quanto aos seus resultados e com referências para a documentação
original completa.

140 | Gestão de Riscos - Avaliação da Maturidade


Monitoramento contínuo e autoavaliações
2.3.3. Em todos os níveis da organização, os gestores que têm propriedade sobre
QUESTÃO
riscos (primeira linha de defesa) monitoram o alcance de objetivos, riscos e
controles chaves em suas respectivas áreas de responsabilidade?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se os gestores com propriedade sobre os riscos e como primeira linha de defesa


monitoram o alcance de objetivos, riscos e controles chaves em suas respectivas
áreas de responsabilidade:

i. de modo contínuo, ou pelo menos frequente, por meio de indicadores-chaves


O QUE A de risco, indicadores-chaves de desempenho e verificações rotineiras, para
ANÁLISE VAI manter riscos e resultados dentro das tolerâncias a riscos definidas ou
PERMITIR DIZER variações aceitáveis no desempenho;
(CONCLUSÕES
A CHEGAR) ii. por meio de autoavaliações periódicas de riscos e controles (Control and
Risk Self Assessment – CRSA), que constam de um ciclo de revisão periódica
estabelecido; e

iii. a execução e os resultados desses monitoramentos são documentados e


reportados às instâncias apropriados da administração e da governança.

Tribunal de Contas da União | 141


APÊNDICE II

Monitoramento contínuo e autoavaliações (Continuação).


2.3.4. As funções que supervisionam riscos ou que coordenam as atividades
QUESTÃO de gestão de riscos (comitê de governança, riscos e controles; comitê de
auditoria ou grupos equivalentes da segunda linha de defesa) exercem
suas atribuições de modo efetivo?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS DE
do Roteiro.
COLETA
DE DADOS

PROCEDIMENTOS DE
ANÁLISE
DE DADOS

Se as funções que supervisionam riscos ou coordenam atividades de gestão


de riscos exercem uma supervisão efetiva dos processos de gerenciamento de
riscos, inclusive das atividades de monitoramento contínuo e autoavaliações da
O QUE A ANÁLISE primeira linha de defesa.
VAI PERMITIR DIZER
(CONCLUSÕES
A CHEGAR) Se essas funções fornecem orientação e facilitação para a condução das
atividades de monitoramento contínuo e autoavaliações da primeira linha
de defesa, mantém a sua documentação e comunica os seus resultados às
instâncias apropriadas da administração e da governança.

142 | Gestão de Riscos - Avaliação da Maturidade


Monitoramento periódico e avaliações independentes
2.3.5. A função de auditoria interna auxilia a organização a realizar seus
QUESTÃO objetivos aplicando abordagem sistemática e disciplinada para avaliar e
melhorar a eficácia dos processos de gerenciamento de riscos, controle
e governança?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO Estes campos devem ser preenchidos pela equipe de auditoria, seguindo
as orientações constantes do tópico Elaboração da Matriz de Planejamento
do Roteiro.
PROCEDIMENTOS DE
COLETA
DE DADOS

PROCEDIMENTOS DE
ANÁLISE
DE DADOS

Se a função de auditoria interna estabelece planos anuais ou plurianuais


baseados em riscos, de modo a alinhar as atividades da auditoria interna com as
prioridades da organização e garantir que os seus recursos são alocados em áreas
de maior risco, para avaliar e melhorar a eficácia dos processos de gerenciamento
de riscos, controle e governança.
O QUE A ANÁLISE
Se a função de auditoria interna utiliza abordagem baseada em risco ao definir o
VAI PERMITIR DIZER
escopo e planejar a natureza, época e extensão dos procedimentos de auditoria
(CONCLUSÕES
A CHEGAR) em seus trabalhos, o que implica a identificação e análise dos riscos e o exame
de como eles são gerenciados pela gestão da área responsável.
Se a função de auditoria interna fornece asseguração aos órgãos de governança e à
alta administração, bem como aos órgãos de controle e regulamentação, de que os
processos de gestão de riscos e controle operam de maneira eficaz e que os riscos
significativos são gerenciados adequadamente em todos os níveis da organização.

Tribunal de Contas da União | 143


APÊNDICE II

2.3.6. Há planos e medidas de contingência definidos para os elementos críticos da


QUESTÃO
atuação da organização e estes são periodicamente testados e revisados?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se os planos e as medidas de contingência definidos para os elementos críticos


O QUE A
ANÁLISE VAI da atuação da entidade, em todas as áreas, funções e atividades relevantes para a
PERMITIR DIZER realização dos objetivos-chaves da organização
(CONCLUSÕES
Se os planos e as medidas de contingência são periodicamente testados
A CHEGAR)
e revisados.

144 | Gestão de Riscos - Avaliação da Maturidade


Monitoramento de mudanças significativas
QUESTÃO 2.3.7. A organização monitora as mudanças que podem aumentar sua exposição a
riscos ter impacto nos seus objetivos?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se existem procedimentos e protocolos estabelecidos e em funcionamento para


ANÁLISE VAI
monitorar e comunicar mudanças significativas nas condições que possam alterar
PERMITIR DIZER
(CONCLUSÕES
o nível de exposição a riscos e ter impactos significativos na estratégia e nos
A CHEGAR) objetivos da organização.

Tribunal de Contas da União | 145


APÊNDICE II

Correção de deficiências e melhoria contínua


2.3.8. São tomadas as medidas necessárias para a correção de deficiências e
QUESTÃO
a melhoria contínua do desempenho da gestão de riscos em função dos
resultados das atividades de monitoramento?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se os resultados das atividades de monitoramento são comunicados às instâncias


O QUE A apropriados da administração e da governança com autoridade e responsabilidade
ANÁLISE VAI para adotar as medidas necessárias.
PERMITIR DIZER
(CONCLUSÕES Se são elaborados e devidamente acompanhados planos de ação para corrigir
A CHEGAR) as deficiências identificadas nas atividades de monitoramento e para melhorar o
desempenho da gestão de riscos.

146 | Gestão de Riscos - Avaliação da Maturidade


3. PARCERIAS
Nesta dimensão, o objetivo da equipe de auditoria é examinar os aspectos relacionados à gestão de
riscos no âmbito de políticas de gestão compartilhadas (quando o alcance de objetivos comuns de um
setor estatal ou de uma política pública envolve parcerias com outras organizações públicas ou priva-
das), procurando avaliar em que medida a organização estabelece arranjos com clareza sobre quais
riscos serão gerenciados e por quem, e como se darão as trocas de informações sobre o assunto, de
modo a assegurar que haja um entendimento comum sobre os riscos e o seu gerenciamento.

A análise das subquestões 3.1.1 a 3.1.6 deve


3.1. – Gestão de riscos em parcerias
permitir à equipe concluir se a organização adota
Em que medida a organização estabelece ar-
um conjunto de práticas essenciais de gestão de
ranjos com clareza para assegurar que haja um
riscos para ter segurança razoável de que os riscos
entendimento comum sobre os riscos e o seu
no âmbito das parcerias serão gerenciados adequa-
gerenciamento no âmbito das parcerias?
damente e os objetivos alcançados.

Avaliação da capacidade de gestão de riscos das entidades parceiras


3.1.1. A capacidade das potenciais organizações parceiras para gerenciar os
QUESTÃO
riscos das políticas de gestão compartilhadas é avaliada antes da
realização das parcerias?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS
DE COLETA do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se o compartilhamento dos riscos com potenciais organizações parceiras


ANÁLISE VAI
é precedido de avaliação fundamentada e documentada da capacidade da
PERMITIR DIZER
(CONCLUSÕES
organização para gerenciar os principais riscos relacionados a cada objetivo,
A CHEGAR) meta ou resultado das políticas de gestão compartilhadas.

Tribunal de Contas da União | 147


APÊNDICE II

Definição de responsabilidades, informação e comunicação


3.1.2. Existe clara e adequada designação de responsáveis pelo gerenciamento
QUESTÃO
de riscos nas parcerias e de protocolos de informação e comunicação
entre eles?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS
DE COLETA do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se são designados responsáveis com autoridade e recursos para tomar e implementar de-
ANÁLISE VAI cisões relacionadas ao gerenciamento dos principais riscos relacionados a cada objetivo,
PERMITIR DIZER meta ou resultado esperado das políticas de gestão compartilhadas por meio de parcerias.
(CONCLUSÕES Se são definidas em quais condições e para quem cada responsável deve fornecer
A CHEGAR)
informações relacionadas a risco e desempenho.

148 | Gestão de Riscos - Avaliação da Maturidade


Definição de responsabilidades, informação e comunicação
3.1.2. Existe clara e adequada designação de responsáveis pelo gerenciamento
QUESTÃO
de riscos nas parcerias e de protocolos de informação e comunicação
entre eles?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


PROCEDIMENTOS orientações constantes do tópico Elaboração da Matriz de Planejamento
DE COLETA do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se são designados responsáveis com autoridade e recursos para tomar e implementar de-
ANÁLISE VAI cisões relacionadas ao gerenciamento dos principais riscos relacionados a cada objetivo,
PERMITIR DIZER meta ou resultado esperado das políticas de gestão compartilhadas por meio de parcerias.
(CONCLUSÕES Se são definidas em quais condições e para quem cada responsável deve fornecer
A CHEGAR)
informações relacionadas a risco e desempenho.

Tribunal de Contas da União | 149


APÊNDICE II

Processo de gestão de riscos em parcerias


QUESTÃO
3.1.3. O processo de gestão de riscos é aplicado no âmbito das parcerias?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS
DE COLETA do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A
ANÁLISE VAI Se o processo de gestão de riscos é aplicado para identificar, avaliar, gerenciar e
PERMITIR DIZER comunicar riscos relacionados a cada objetivo, meta ou resultado pretendido das
(CONCLUSÕES políticas de gestão compartilhadas.
A CHEGAR)

150 | Gestão de Riscos - Avaliação da Maturidade


3.1.4. A identificação e avaliação de riscos em parcerias envolve as pessoas
QUESTÃO
apropriadas das organizações parceiras e outras partes interessadas?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS
DE COLETA do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se pessoas de todas as áreas, funções ou setores com envolvimento na parceria,


ANÁLISE VAI
de ambas organizações parceiras, e outras partes interessadas no seu objeto
PERMITIR DIZER
(CONCLUSÕES
participam do processo de identificação e avaliação dos riscos relacionados a cada
A CHEGAR) objetivo, meta ou resultado esperado das parcerias.

Tribunal de Contas da União | 151


APÊNDICE II

3.1.5. A gestão de riscos nas parcerias é apoiada por um registro de riscos único ou
QUESTÃO
sistema de informação efetivo e atualizado?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS
DE COLETA do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A
ANÁLISE VAI Se um registro de riscos único é elaborado na identificação e avaliação dos riscos e
PERMITIR DIZER é atualizado conjuntamente pelas organizações parceiras em função das atividades
(CONCLUSÕES de tratamento e monitoramento de riscos.
A CHEGAR)

152 | Gestão de Riscos - Avaliação da Maturidade


3.1.6. Os riscos e o desempenho das parecerias são monitorados mediante troca
QUESTÃO
regular de informação confiável?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS
DE COLETA do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A
ANÁLISE VAI Se há informação regular e confiável para permitir que cada organização parceira
PERMITIR DIZER monitore os riscos e o desempenho em relação a cada objetivo, meta ou resultado
(CONCLUSÕES esperado das parcerias.
A CHEGAR)

Tribunal de Contas da União | 153


APÊNDICE II

A análise da subquestão 3.2.1 deve permitir à


3.2. – Planos de medidas de contingência
equipe concluir se a organização estabelece, em
Em que medida são estabelecidos planos ou
conjunto com as entidades parceiras, planos e
medidas de contingência para garantir a re-
medidas de contingência para garantir a recupe-
cuperação e a continuidade dos serviços no
ração e a continuidade da prestação de serviços
âmbito das parecerias realizadas?
em caso de incidentes.

Planos e medidas de contingência


QUESTÃO 3.2.1. São definidos planos e medidas de contingência no âmbito das parcerias,
periodicamente testados e revisados?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS do Roteiro.
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se as organizações parceiras definem planos e medidas de contingência formais e


O QUE A documentados para garantir a recuperação e a continuidade dos serviços, em casos
ANÁLISE VAI
de desastres, ou para minimizar efeitos adversos sobre o fornecimento de serviços ao
PERMITIR DIZER
(CONCLUSÕES
público, quando uma ou outra parte falhar.
A CHEGAR)
Se os planos e as medidas de contingência são periodicamente testados e revisados.

154 | Gestão de Riscos - Avaliação da Maturidade


4. RESULTADOS
Nesta dimensão, o objetivo da equipe de auditoria é examinar os efeitos das práticas de gestão de riscos,
procurando avaliar em que medida a gestão de riscos tem sido eficaz para a melhoria dos processos de
governança e gestão e os resultados da gestão de riscos têm contribuído para os objetivos relacionados à
eficiência das operações, à qualidade de bens e serviços, à transparência e à prestação de contas e ao
cumprimento de leis e regulamentos.

4.1. – Melhoria dos processos de governança A análise das subquestões 4.1.1 a 4.1.4 deve
e gestão permitir à equipe concluir se a organização
Em que medida a gestão de riscos tem sido integra a gestão de riscos em seus processos de
eficaz para a melhoria dos processos de governança e gestão e isso tem sido eficaz para a
governança e gestão? sua melhoria.

Integração da gestão de riscos aos processos organizacionais


QUESTÃO 4.1.1. Os responsáveis pela governança e a alta administração têm consciência do
estágio atual da gestão de riscos na organização?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS
DE COLETA do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se os responsáveis pela governança e a alta administração sabem até que ponto
ANÁLISE VAI a administração estabeleceu uma gestão de riscos eficaz, integrada e coordenada
PERMITIR DIZER por todas as áreas, funções e atividades relevantes para a realização dos objetivos-
(CONCLUSÕES chaves da organização, tendo consciência do nível de maturidade atual e do
A CHEGAR) progresso das ações em curso para atingir o nível almejado.

Tribunal de Contas da União | 155


APÊNDICE II

4.1.2. Os objetivos-chaves da organização estão identificados e refletidos na


QUESTÃO sua cadeia de valor e nos seus demais instrumentos de direcionamento e
comunicação da estratégia?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento

PROCEDIMENTOS do Roteiro.
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se os objetivos-chaves, que traduzem o conjunto de valores a serem gerados,


ANÁLISE VAI preservados e/ou entregues à sociedade estão identificados e refletidos
PERMITIR DIZER na cadeia de valor, na missão e visão e da organização e nos seus valores
(CONCLUSÕES fundamentais, formando a base para a definição da estratégia e a fixação de
A CHEGAR) objetivos estratégicos e de negócios.

156 | Gestão de Riscos - Avaliação da Maturidade


4.1.3. Os objetivos estratégicos e de negócios estão estabelecidos juntamente
QUESTÃO
com as respectivas medidas de desempenho?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento
do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se os objetivos estratégicos e de negócios estão estabelecidos, alinhados com


O QUE A o direcionamento estratégico (questão anterior), com as respectivas medidas de
ANÁLISE VAI
desempenho (metas, indicadores-chaves de desempenho, indicadores-chaves de risco
PERMITIR DIZER
(CONCLUSÕES e variações aceitáveis no desempenho), permitindo medir o progresso e monitorar o
A CHEGAR) desempenho de todas as áreas, funções e atividades relevantes da organização para a
realização dos seus objetivos-chaves.

Tribunal de Contas da União | 157


APÊNDICE II

4.1.4. Os principais riscos relacionados a cada objetivo, meta ou resultado


QUESTÃO chave pretendido estão identificados e incorporados ao processo de
gerenciamento de riscos?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO

Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as


orientações constantes do tópico Elaboração da Matriz de Planejamento

PROCEDIMENTOS
do Roteiro.
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se estão identificados, avaliados e sob tratamento e monitoramento os principais


ANÁLISE VAI riscos relacionados a cada objetivo, meta ou resultado chave pretendido de todas
PERMITIR DIZER as áreas, funções e atividades relevantes para a realização dos objetivos-chaves
(CONCLUSÕES da organização, com o desempenho sendo comunicado aos níveis apropriados da
A CHEGAR) administração e da governança.

158 | Gestão de Riscos - Avaliação da Maturidade


A análise das subquestões 4.2.1 a 4.2.3 deve
permitir à equipe concluir se os resultados
4.2. – Resultados-Chaves da gestão de riscos
da gestão de riscos têm contribuído para o
Em que medida os resultados da gestão de
alcance dos objetivos relacionados à eficiência
riscos têm contribuído para o alcance dos
das operações, à qualidade de bens e serviços,
objetivos da organização?
à transparência e à prestação de contas e ao
cumprimento de leis e regulamentos.

Entendimento dos objetivos, riscos, papéis e responsabilidades


QUESTÃO 4.2.1. Uma consciência sobre riscos, objetivos, resultados, papéis e
responsabilidades está disseminada por todos os níveis da organização?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS
DE COLETA do Roteiro.
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se os responsáveis pela governança, a administração e as pessoas responsáveis


ANÁLISE VAI
em todos os níveis têm um entendimento atual, correto e abrangente dos objetivos
PERMITIR DIZER
(CONCLUSÕES
sob a sua gestão, de seus papéis e responsabilidades, e sabem em que medida os
A CHEGAR) resultados de cada área ou pessoa para atingir os objetivos-chave envolvem riscos.

Tribunal de Contas da União | 159


APÊNDICE II

Garantia proporcionada pela gestão de riscos


4.2.2. Os responsáveis pela governança e a administração têm uma garantia
QUESTÃO
razoável, proporcionada pela gestão de riscos, do cumprimento dos
objetivos da organização?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento
do Roteiro.
PROCEDIMENTOS
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

Se os responsáveis pela governança e a administração, com base nas informações


resultantes da gestão de riscos, têm garantia razoável de que:
i. entendem até que ponto os objetivos estratégicos estão sendo
O QUE A alcançados na realização da missão e dos objetivos-chaves da
ANÁLISE VAI organização;
PERMITIR DIZER
(CONCLUSÕES
ii. entendem até que ponto os objetivos operacionais de eficiência e eficácia das
A CHEGAR) operações, de qualidade de bens e serviços estão sendo alcançados;
iii. a comunicação de informações por meio de relatórios, de mecanismos de
transparência e prestação de contas é confiável;
iv. as leis e os regulamentos aplicáveis estão sendo cumpridos.

160 | Gestão de Riscos - Avaliação da Maturidade


Eficácia da gestão de riscos
QUESTÃO
4.2.3. Os riscos da organização estão dentro dos seus critérios de risco?

INFORMAÇÕES
REQUERIDAS

FONTES DE
INFORMAÇÃO
Estes campos devem ser preenchidos pela equipe de auditoria, seguindo as
orientações constantes do tópico Elaboração da Matriz de Planejamento
PROCEDIMENTOS do Roteiro.
DE COLETA
DE DADOS

PROCEDIMENTOS
DE ANÁLISE
DE DADOS

O QUE A Se, de acordo com a documentação resultante do processo de gestão de riscos e os


ANÁLISE VAI critérios de risco definidos pela alta administração com a supervisão e concordância
PERMITIR DIZER dos responsáveis pela governança, (apetite a risco, tolerâncias a risco ou variações
(CONCLUSÕES aceitáveis no desempenho), os riscos da organização estão dentro dos seus critérios
A CHEGAR) de risco.

Elaborado por: / /

Revisado por: / /

Supervisionado por: / /

Tribunal de Contas da União | 161


Responsabilidade pelo Conteúdo
• Secretaria de Métodos e Suporte ao Controle Externo (Semec)

Responsabilidade Editorial
• Secretaria-Geral da Presidência (Segepres)
• Secretaria de Comunicação (Secom)
• Núcleo de Criação e Editoração (NCE)

Projeto Gráfico, Diagramação e Capa


• Núcleo de Criação e Editoração (NCE)

Fotos
• Istock

TRIBUNAL DE CONTAS DA UNIÃO


Secretaria de Métodos e Suporte ao Controle Externo (Semec)
SAFS Qd 4 Lote 1 - Anexo III - sala 419
CEP: 70.042-900 - Brasília – DF
Tel: (61) 3316-7902
semec@tcu.gov.br

Impresso pela Sesap/Segedam


Missão
Aprimorar a Administração Pública em benefício da
sociedade por meio do controle externo.

Visão
Ser referência na promoção de uma Administração
Pública efetiva, ética, ágil e responsável.

www.tcu.gov.br

Você também pode gostar