Framework Gestao Riscos Estrategicos MCTIC

Framework de Gestão de Riscos
Estratégicos do Ministério da Ciência,

Tecnologia, Inovações e
Comunicações
(FGRE - MCTIC)
Versão 1.0.10
Sumário
Sumário 2
Siglas 7
Glossário 8
1 Introdução 13
1.1 Objetivo 14
1.2 Escopo e abrangência 14
1.3 Frequência 15
2 Sistema de Gestão de Riscos Estratégicos do MCTIC 16
2.1 Instâncias, Papéis, Atores e Competências 16
2.1.1 Governança Estratégica 16
2.2.1.1 Conselho de Governança Ministerial 16
2.2.1.1.1 Comitê de Governança, Integridade, Gestão de Riscos e
Controles Internos do MCTIC 16
2.2.1.1.2 Secretaria Executiva do COGIR-MCTIC 17
2.2.2 Direção Executiva 17
2.2.2.1 Gabinentes de Secretários de Estado 18
2.2.2.2 Gabinentes dos Dirigentes de Unidades Organizacionais Externas 18
2.2.2.3 Secretarias Executivas dos Arranjos Executivos Específicos 18
2.2.3 Linhas de Defesa 18
2.2.3.1 3º Linha de Defesa 18
2.2.3.1.1 Assessoria Especial de Controle Interno 18
2.2.3.2.1 Núcleo de Gestão de Riscos Estratégicos 19
2.2.3.3.1 Unidades Setoriais de Governança e Gestão de Riscos (USGs)
20
2.2.5 Auditoria Externa 20
2.1 Artefatos do Framework 21
2.1.1 Planos 21
2.1.1.1 Plano de Gestão de Riscos Estratégicos do MCTIC 21
2.1.1.3 Plano de Respostas aos Riscos Estratégicos 22
2.1.2 Relatórios 22
2
2.1.2.1 Relatório de Avaliação da Gestão de Riscos Estratégicos do
MCTIC 22
2.1.2.2 Relatório de Avaliação da Gestão de Riscos Estratégicos Setorial
22
3. Processo 23
3.1 Entendimento do Contexto 27
3.2 Identificação de Riscos 28
3.3 Análise de Riscos 30
3.4 Avaliação de Riscos 32
3.5 Definição de Respostas aos Riscos 34
3.6 Controle de Riscos 35
3.7 Comunicação 37
3.8 Monitoramento 38
4. Integrações 39
4.1 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Institucionais 40
4.1.1 Ministério 40
4.1.1.1 Mapa Estratégico 40
4.1.1.1.1 Integração em tempo de Elaboração 41
4.1.1.1.2 Integração em tempo de Monitoramento 43
4.1.1.1.3 Integração em tempo de Avaliação e Revisão 44
4.1.1.2 Painéis de Contribuição 44
4.1.1.3 Esforços e Potfólios de Esforços Estratégicos 47
4.1.2 Unidades Vinculadas 50
4.2 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Setoriais 51
4.3 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Temáticos 54
5. Anexos 57
3
5.1 Fundamentos 57
5.1.1 Doutrina de Gestão de Riscos 57
5.1.1.1 Committee of Sponsoring Organizations of the Treadway Commission
(COSO) 57
COSO IC (COSO I) 57
COSO ERM (COSO II) 58
COSO ERM (COSO 2017) 60
5.1.1.2 ABNT NBR ISO 31000 62
Figura 18: Perspectiva de sistema (ISO, 2009). 62
5.1.2 Referencial do Governo Federal para a Gestão de Riscos 66
5.1.2.1 Política de Governança do Governo Federal (Decreto nº 9.203/17) 66
5.1.2.2 Controle Interno, Gestão de Riscos e Governança no âmbito do Poder
Executivo Federal (Instrução Normativa Conjunta Ministério do Planejamento
e Controladoria-Geral da União - MP/CGU Nº 01/16) 68
5.1.2.3 Política de Gestão de Integridade, de Riscos e Controles Internos no
Ministério da Ciência, Tecnologia, Inovações e Comunicações (Portaria
MCTIC Nº 1.740/18) 71
5.1.3 Benchmarks 75
5.1.3.1 Tribunal de Contas da União - TCU 75
5.1.3.2 Controladoria-Geral da União - CGU 76
5.1.3.3 Ministério da Economia - ME 77
5.1.4 Tendências em Gestão de Riscos e Riscos Estratégicos 77
5.1.4.1 Harvard Business School 78
Managing Risks: A New Framework 78
5.1.4.2 Strategic Risk Management Lab, Kellstadt Graduate School of Business,
DePaul University, Chicago 78
What Is Strategic Risk Management? 78
5.1.4.3 Edinburgh Business School, Heriot-Watt University 78
Module 4 - Strategic Risk, Strategic Risk Management 78
5.1.4.4 Banco Central do Brasil 78
Integration of Risk Management Into Strategic Planning: A New
Comprehensive Approach 78
6. Referências 79
4
Siglas
APF: Administração Pública Federal.
CGGR: Coordenação Geral de Gestão de Riscos Corporativos.
CIG: Comitê Interministerial de Governança.
CIG-ORGÃO: Comitê interno de Governança do órgão.
COGRC: Comitê de Governança, Riscos e Controle.
COGIR-MCTIC: Comitê de Governança, Integridade, Gestão de Riscos e Controles Internos do
Ministério da Ciência, Tecnologia, Inovações e Comunicações.
CTIC: Ciência, Tecnologia, Inovação e Comunicações.
DEPLE: Departamento de Planejamento Estratégico.
ENDES: Estratégia Nacional de Desenvolvimento Econômico e Social.
FGRE-MCTIC: Framework de Gestão de Riscos Estratégicos do Ministério da Ciência, Tecnologia,
Inovações e Comunicações.
GR: Gestão de Riscos.
GRC: Gestão de Riscos Corporativos.
GRE: Gestão de Riscos Estratégicos.
MCTIC: Ministério da Ciência, Tecnologia, Inovações e Comunicações.
NGRE-MCTIC: Núcleo de Gestão de Riscos do Ministério da Ciência, Tecnologia, Inovações e
Comunicações.
ODS: Objetivos de Desenvolvimento Sustentável.
PEI: Planejamento estratégico institucional.
PEI-MCTIC: Planejamento estratégico institucional do Ministério da Ciência, Tecnologia, Inovações e
Comunicações.
PGIRC-MCTIC: Política de Integridade, Riscos e Controles Internos do Ministério da Ciência,
Tecnologia, Inovações e Comunicações.
PLANO DE GRE DO MCTIC: Plano de Gestão de Riscos Estratégicos do Ministério da Ciência,
Tecnologia, Inovações e Comunicações.
PLANO DE RESPOSTAS: Plano de Respostas aos Riscos Estratégicos.
PG-APF: Política de Governança da Administração Pública Federal Direta, Autárquica e Fundacional.
RELATÓRIO DE ACOMPANHAMENTO: Relatório de Acompanhamento da Gestão de Riscos
Estratégicos do Ministério da Ciência, Tecnologia, Inovações e Comunicações ou Setorial.
RELATÓRIO DE ACOMPANHAMENTO DO MCTIC: Relatório de Acompanhamento da Gestão de Riscos
Estratégicos do Ministério da Ciência, Tecnologia, Inovações e Comunicações.
RELATÓRIO DE ACOMPANHAMENTO SETORIAL: Relatório de Acompanhamento da Gestão de Riscos
Estratégicos Setorial.
SEPLA: Secretaria de Planejamento, Cooperação, Projetos e Controle
SGRCI: Sistema de Gestão de Riscos e Controles Internos.
SGIRC-MCTIC: Sistema de Governança, Integridade, Gestão de Riscos e Controles Internos do
Ministério da Ciência, Tecnologia, Inovações e Comunicações.
PPA: Plano Plurianual.
USG: Unidade Setorial de Governança.
5
Glossário
Análise de Cenários: técnica utilizada como suporte a processos de planejamento de longo prazo,
centrada na construção de imagens de futuro condicionadas e fundamentadas em jogos coerentes de
hipóteses sobre os prováveis comportamentos das variáveis determinantes do objeto de
planejamento (GODET, 1983).
Apetite ao risco: quantidade de riscos em nível amplo que uma organização está disposta a aceitar
na busca de seus objetivos (INTOSAI, 2007); quantidade e tipos de riscos que uma organização está
preparada para buscar, reter ou assumir (ABNT, 2009).
Categoria de riscos: conjunto de riscos que possuem determinado atributo comum, que pode dizer
respeito: às funções, princípios ou responsabilidades afetadas pelas potenciais consequências dos
riscos - operações, comunicação, integridade, conformidade e proteção de ativos (COSO, 2004); aos
contextos de execução onde se originam as causas dos riscos - atividades, processos e projetos
(ABNT, 2018); ou qual perspectiva do(s) objetivo( s) da organização pode ser impactada pelos riscos -
validade estratégica ou capacidade de execução da estratégia pela organização (COSO, 2017).
Compromisso de gestão de riscos estratégicos: meta definida no plano de gestão de riscos
estratégicos do MCTIC quanto a aplicação do processo de GRE a um planejamento estratégico de uma
unidade organizacional da Rede MCTIC.
Consequência: resultado de um evento que afeta positiva ou negativamente os objetivos da
organização (TCU, 2018).
Controles internos: estruturas, normas, processos e outros mecanismos aplicados no âmbito de uma
organização para tratar os riscos que podem impactar um ou mais dos seus objetivos (COUTINHO,
2014).
Esforço: processo, programa ou projeto necessário para o alcance de um ou mais objetivos de uma
organização.
Esforço estratégico: esforço que suporta um ou mais objetivos estratégicos de uma organização, seja
diretamente ou por meio de um portfólio de esforços estratégicos.
Esforço operacional: esforço que não suporta nenhum objetivo estratégico de uma organização, seja
diretamente ou por meio de um portfólio de esforços estratégicos.
Estratégia do Ministério da Ciência, Tecnologia, Inovações e Comunicações: integração dos
planejamentos estratégicos existentes no âmbito da Rede MCTIC, que determina como o ministério
pretende cumprir as competências e missões atribuídas a si pela Constituição Federal e por outros
normativos federais, garantindo o alinhamento de sua atuação com as diretrizes e prioridades do
governo federal, definidas na Estratégia Nacional de Desenvolvimento Econômico e Social e no Plano
Plurianual.
6
Evento: um incidente ou uma ocorrência de fontes internas ou externas à organização, que podem
impactar a implementação da estratégia e a realização de objetivos de modo negativo, positivo ou
ambos (INTOSAI, 2007).
Framework: estrutura de suporte teórico, conceitual e metodológico em torno da qual um
assunto/temática pode ser construído/desenvolvido.
Gestão de integridade: medidas adotadas por uma organização para prevenir possíveis desvios de
conduta de seus membros no âmbito das atividades envolvidas na realização dos seus objetivos (PR,
2017).
Gestão de riscos: processo que compreende a identificação, análise, avaliação e controle das
ameaças e oportunidades que podem impactar os objetivos de uma organização.
Gestão de riscos estratégicos: processo de gestão de riscos a plicado aos riscos estratégicos.
Governança: estruturas, papéis e processos implantados e atribuídos para dirigir, administrar,
monitorar e informar as atividades da organização com o intuito de garantir que seus objetivos sejam
realizados (PR, 2017).
Instância de execução de processo de gestão de riscos estratégicos: aplicação do processo de gestão
de riscos estratégicos a um planejamento estratégico n
o âmbito de uma unidade organizacional da
Rede MCTIC.
Limite de tolerância aos riscos: representa o nível de criticidade limite a ser considerado na avaliação
dos riscos - superior ou inferior, a depender do viés do risco.
Limite de tolerância aos riscos estratégicos: representa o nível de criticidade limite a ser considerado
na avaliação dos riscos estratégicos - superior ou inferior, a depender do viés do risco estratégico
envolvido.
Meta de resultado: uma quantificação para um determinado intervalo de tempo, dos resultados
esperados como consequência direta da realização bem sucedida de um o bjetivo, portfólio ou
esforço.
Nível de criticidade: magnitude de um risco, expressa em termos da combinação da probabilidade de
ocorrência e do impacto estimado (ABNT, 2009).
Objetivo: uma posição a ser alcançada por uma organização em um intervalo de tempo, observável e
mensurável por meio de uma ou mais metas de resultado. No âmbito de uma organização pode ser
desdobrado diretamente em um ou mais portfólios de esforços, esforços e/ou outros objetivos e
assim sucessivamente.
Objetivo estratégico: uma posição estratégica a ser alcançada por uma organização em um intervalo
de tempo, ou seja, um objetivo que configura a estratégia da organização, que p
ode ser desdobrado
diretamente em um ou mais objetivos operacionais, portfólios de esforços estratégicos, esforços
estratégicos e/ou outros objetivos estratégicos, e assim sucessivamente.
7
Objetivo Operacional: uma posição a ser alcançada por uma organização em um intervalo de tempo.
Pode ser desdobrado diretamente em um ou mais portfólios de esforços operacionais, esforços
operacionais e/ou outros objetivos operacionais, e assim sucessivamente.
Objetivo estratégico de suporte: objetivo estratégico que é desdobrado a partir de outro objetivo
estratégico e portanto suporta a sua realização.
Objetivo estratégico objeto: objetivo estratégico alvo de uma instância de execução do processo de
gestão de riscos estratégicos no âmbito de uma unidade setorial de governança.
Oportunidade: possibilidade de que um evento afete positivamente o alcance de objetivos (TCU,
2018).
Organização: órgão público, setor ou rede.
Planejamento estratégico: produto do processo decisório que a partir da missão, visão de futuro
e/ou valores - institucionais, setoriais ou temáticas -, previamente estabelecidas por colegiado,
dirigente máximo ou legislação, estabelece e desdobra diretamente este referencial estratégico em
um ou mais objetivos operacionais, portfólios de esforços estratégicos, esforços estratégicos e/ou
objetivos estratégicos, e assim sucessivamente até alcançar seu último nível.
Plano de Gestão de Riscos Estratégicos do Ministério da Ciência, Tecnologia, Inovações e
Comunicações: artefato do framework que orienta a implantação, execução, desenvolvimento e
aprimoramento da gestão de riscos estratégicos em toda sua Rede.
Plano de Respostas aos Riscos Estratégicos: artefato do framework que orienta os esforços de
respostas aos riscos estratégicos de um planejamento estratégico.
Política: curso geral ou princípio de ação adotado ou proposto em relação a determinada questão ou
problema a ser enfrentado por uma organização.
Portfólio de Esforços: esforços selecionados e planejados pela organização para em conjunto
suportarem um ou mais objetivos.
Portfólio de Esforços Estratégicos: esforços selecionados e planejados pela organização para em
conjunto suportarem um ou mais objetivos estratégicos.
Portfólio de Esforços Operacionais: esforços selecionados e planejados pela organização para em
conjunto suportarem um ou mais objetivos operacionais.
Processo: conjunto de atividades inter-relacionadas ou interativas que transformam insumos
(entradas) em produtos/serviços (saídas) com valor agregado. São geralmente planejados e
realizados de maneira contínua para agregar valor na geração de produtos e serviços. Podem ser
agrupados em macroprocessos e subdivididos em subprocessos (TCU, 2018).
o âmbito de uma
Processo de gestão de riscos: processo especializado na gestão de riscos n
organização.
8
Processo de gestão de riscos estratégicos: processo de gestão de riscos adaptado e aplicado ao
subconjunto de riscos estratégicos.
Proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o
risco no âmbito de uma organização.
Relacionamento de suporte: relacionamento entre um objetivo estratégico, objetivo operacional,
u esforço estratégico e um objetivo estratégico, em que o objetivo,
portfólio de esforços estratégicos o
portfólio ou esforço suporta a realização do objetivo estratégico, ou seja, em que o alcance de ao
menos uma meta de resultado do objetivo, portfólio ou esforço suporta o alcance de ao menos uma
meta de resultado do objetivo estratégico.
Micro-relacionamento de suporte: relacionamento entre uma meta de resultado de um objetivo
estratégico, objetivo operacional, portfólio de esforços estratégicos o u esforço estratégico e uma
meta de resultado de um objetivo estratégico, em que a meta de resultado do objetivo, portfólio ou
esforço suporta a realização da meta de resultado do objetivo estratégico.
Relatório de acompanhamento da gestão de riscos estratégicos do Ministério da Ciência,
Tecnologia, Inovações e Comunicações: artefato do framework que registra e relata o andamento da
implantação e da execução da gestão de riscos estratégicos no âmbito da Rede MCTIC, tendo como
referência o Plano de Gestão de Riscos Estratégicos do MCTIC.
Relatório de acompanhamento da gestão de riscos estratégicos setorial: artefato do framework que
registra e relata o andamento da implantação e da execução da gestão de riscos estratégicos no
âmbito da unidade organizacional, tendo como referência seus compromissos de GRE, estabelecidos
no Plano de Gestão de Riscos Estratégicos do MCTIC.
Risco: incerteza, de origem interna ou externa, no âmbito da área de atuação de uma organização
que, caso se concretize, pode impactar um ou mais de seus objetivos.
Risco-chave: são riscos que, em função do impacto potencial, devem ser conhecidos pela alta
administração (TCU, 2018).
Riscos estratégicos: riscos relacionados às incertezas inerentes às escolhas envolvidas na construção
dos planejamentos estratégicos de uma organização, que se dão nos ciclos sucessivos de definição e
desdobramento de objetivos estratégicos em um ou mais objetivos estratégicos, objetivos
operacionais, portfólios de esforços estratégicos e /ou esforços estratégicos, até alcançar seus últimos
níveis.
Risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais
que poderiam reduzir a sua probabilidade ou impacto (TCU, 2018).
Risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais
para o tratamento do(s) risco(s) inerente(s) correspondentes (TCU, 2018).
9
Unidade organizacional: Secretaria, unidade de pesquisa ou outro tipo de unidade vinculada ao
MCTIC.
Unidade vinculada: agências, empresas públicas, institutos nacionais de ciência e tecnologia (INCT’s),
organizações sociais e unidades de pesquisa que, juntamente com as secretarias, compõem a Rede
MCTIC.
Validade estratégica: avaliação de um objetivo estratégico, grafo estratégico, planejamento
estratégico ou estratégia de uma organização quanto a seu alinhamento, pertinência e equilíbrio
estratégico, visando detectar e comunicar a necessidade de revisão do mesmo sob pena de sua
execução bem sucedida pela organização não levar a mesma ao destino desejado.
10
1. Introdução
O presente documento apresenta o Framework de Gestão de Riscos Estratégicos do
Ministério da Ciência, Tecnologia, Inovações e Comunicações (FGRE-MCTIC).
O MCTIC coordena a Rede MCTIC, que tem como membros as suas unidades organizacionais.
Esta rede possui um direcionamento para o cumprimento das competências e missões atribuídas ao
ministério pela Constituição Federal e por outros normativos federais, que deve ser refletido nos
planejamentos estratégicos existentes no âmbito desta Rede, que configuram a estratégia do MCTIC,
garantindo o alinhamento das atuações dos seus membros com as diretrizes e prioridades do
governo federal, definidas na ENDES e no PPA.
A estratégia do MCTIC depende de fatores internos e externos que são fontes de incertezas.
Algumas destas incertezas são classificadas como riscos que podem impactar o alcance das metas de
resultado dos objetivos estratégicos estabelecidos na estratégia do MCTIC. Estes riscos podem estar
relacionados a validade da estratégia ou a capacidade da organização para executá-la.
Os riscos estratégicos, foco deste framework, são aqueles que podem impactar a validade de
um ou mais objetivos estratégicos no âmbito da Rede MCTIC. Eles estão relacionados às incertezas
1
inerentes às escolhas que definem a estratégia do MCTIC , que se dão pela definição e integração2
dos planejamentos estratégicos existentes na Rede MCTIC. O processo de gestão dos riscos
estratégicos deve estar integrado aos processos de planejamento e gestão estratégica do MCTIC e
todos os membros de sua Rede.
Os demais riscos — operacionais, conformidade, comunicação, proteção de ativos, entre
outros —, são aqueles que podem potencializar ou comprometer a execução bem sucedida pela
organização da estratégia do MCTIC, no entanto, não são foco deste framework. Eles estão
relacionados às incertezas inerentes ao alcance das metas de resultado operacionais, de
conformidade, de comunicação, de proteção de ativos, entre outras, no âmbito dos objetivos e
esforços correspondentes. Estes riscos deverão ser foco de futuras expansões da GR no MCTIC.
Neste contexto, a Coordenação Geral de Gestão de Riscos Corporativos (CGGR) do
Departamento de Planejamento Estratégico (DEPLE) da Secretaria de Planejamento, Cooperação,
Projetos e Controle (SEPLA) deste Ministério apresenta o FGRE-MCTIC como documento de
referência para implantação, execução e melhoria contínua do Sistema de Gestão de Riscos
Estratégicos do MCTIC (SGRE-MCTIC) e do respectivo Processo de Gestão de Riscos Estratégicos em
toda a Rede MCTIC.
1
São exemplos de planejamentos estratégicos no âmbito do MCTIC e sua Rede: planejamento estratégico institucional do
ministério, planejamentos estratégicos institucionais das suas unidades de pesquisa e demais unidades vinculadas, política
nacional de inovação, estratégia nacional de ciência, tecnologia e inovação, estratégia nacional de transformação digital,
plano nacional de IoT, entre outros.
2
A relação de causa e efeito entre um objetivo estratégico, objetivo operacional, portfólio de esforços estratégicos ou
esforço estratégico e um objetivo estratégico é chamada de relacionamentos de suporte.
11
1.1 Objetivo
O FRGE-MCTIC tem como objetivo estabelecer um modelo referencial e orientar o
planejamento e implantação da gestão de riscos estratégicos (GRE) nas unidades organizacionais do
3
MCTIC que formam a sua Rede. Este modelo visa propor um sistema e processo de gestão integrada
de riscos estratégicos, que são aqueles que podem potencializar ou comprometer a validade da
estratégia do MCTIC, de modo a fortalecer a gestão estratégica institucional, setorial e temática,
contribuindo assim para que o ministério cumpra de forma otimizada às competências e missões
atribuídas a si pela Constituição Federal e por outros normativos federais, garantindo o alinhamento
de sua atuação, e dos membros de sua rede, com as diretrizes e prioridades do governo federal.
1.2 Escopo e abrangência

● Na dimensão organizacional: as unidades organizacionais do MCTIC que formam a
sua Rede;
● Na dimensão de contexto: o planejamento e a gestão estratégica institucional,
setorial e temática;
● Na dimensão técnica: os riscos estratégicos, que não contemplarão outras categorias
de riscos, tais como, operacionais, conformidade, integridade, ética, transparência e
proteção de ativos.
1.3 Justificativa
Riscos estratégicos são uma categoria muito específica, em relação às demais, pois, são
complexos e pouco previsíveis e preveníveis, geralmente associados a eventos externos à
organização e que, portanto, estão fora de sua área de influência ou controle. Nem sempre são
indesejados, pois, a decisão de se conviver ou não com estes riscos pode estar diretamente
relacionada com as decisões envolvidas no desenho da estratégia e, consequemente, na escolha dos
caminhos para a criação ou manutenção de valor pela organização. Os riscos estratégicos podem
impactar as relações de causa e efeito adotadas como premissas em tempo de desenho da estratégia
da organização (KAPLAN and MIKES, 2012).
Por serem complexos e pouco previsíveis e preveníveis, os riscos estratégicos usualmente se
materializam lentamente e silenciosamente, dificultando a detecção dos eventos de origem e,
eventualmente, limitando a janela de tempo para reação. Devido a relação com as decisões
3
Que permita uma integração tanto horizontal, entre os riscos estratégicos identificados nas unidades organizacionais,
como vertical, entre os riscos estratégicos e demais categorias de riscos corporativos.
12
estratégicas de longo prazo da organização, os riscos estratégicos podem gerar consequências de
longa duração e difícil reversão. Finalmente, por estarem diretamente relacionados com as premissas
de causa e efeito embutidas no desenho da estratégia da organização, os riscos estratégicos podem
se desencadear em cascata, sucessivamente, por todos as camadas, elementos e níveis da estratégia
da organização, com potencial de inviabilizá-la como um todo, no limite, ameaçando a própria
existência da organização.
Um estudo de Deloitte (2012) em relação às maiores organizações globais, no período de
2003 a 2012, aponta que 73% das causas principais de perdas drásticas foram derivadas de riscos
estratégicos, seguidos por riscos financeiros (17%) e operacionais (10%). Entretanto, o que vemos na
maioria das organizações é um modelo de GR mais focado nos riscos financeiros, operacionais, legais
e de conformidade.
O MCTIC é o órgão do governo federal responsável pelas políticas públicas de CTIC, que
usualmente são expressadas por meio de ciclos sucessivos de definição e desdobramento de
objetivos estratégicos e m outros objetivos estratégicos, objetivos operacionais, portfólios de esforços
estratégicos e/ou esforços estratégicos, que são cercados de múltiplas fontes e fatores de incertezas,
no âmbito dos diversos planejamentos estratégicos existentes na sua Rede, que podem se
materializar ao longo do tempo gerando impactos positivos ou negativos.
Dessa forma, o desenho de um framework e a implantação de um sistema de gestão de riscos
estratégico (SGRE) e do processo de gestão de riscos estratégicos no âmbito da Rede MCTIC faz-se
oportuna e necessária, pois dará mais coesão, robustez e adaptabilidade à estratégia do MCTIC, por
meio da gestão do riscos estratégicos r elacionados aos seus objetivos estratégicos, considerando os
relacionamentos de suporte inter e intra planejamentos estratégicos, aumentando as chances de que
o ministério cumpra de forma otimizada as competências e missões atribuídas a si pela Constituição
Federal e por outros normativos federais, garantindo o alinhamento de sua atuação, e dos membros
de sua rede, com as diretrizes e prioridades do governo federal, definidas na ENDES e PPA.
A longo prazo, a GRE deve contribuir para o aumento da resiliência do MCTIC, aumentando
gradativamente suas capacidades para antecipar e responder às mudanças externas, que podem
afetar o desempenho da organização e exigir mudanças na sua estratégia (COSO, 2017).
1.3 Frequência
A frequência de execução do processo de GRE, e de suas atividades, n o âmbito de cada
unidade organizacional e seus planejamentos estratégicos, deve ser suficiente para atender os ciclos
de avaliação dos planejamentos estratégicos correspondentes, de modo que as atividades de GRE
possam se integrar e contribuir harmonicamente com as atividades de elaboração, monitoramento,
avaliação e revisão destes planejamentos.
O ritmo de expansão do SGRE-MCTIC e consequentemente da sua cobertura aos
planejamentos estratégicos que compõem a estratégia do MCTIC será estabelecido no plano que
orientará a implementação da GRE no MCTIC e sua Rede. Este plano deverá ter a sua execução
13
monitorada continuamente e relatada semestralmente e ser avaliado, e eventualmente revisado,
anualmente.
14
2. Sistema de Gestão de Riscos Estratégicos do MCTIC
O Sistema de Gestão de Riscos Estratégicos do MCTIC (SGRE-MCTIC) estrutura, coordena e
disciplina a gestão de riscos estratégicos (GRE) no âmbito do MCTIC e sua Rede, de modo que a GRE
funcione de forma integrada, consistente e harmônica.
O SGRE-MCTIC é parte do Sistema de Governança, Integridade, Gestão de Riscos e Controles
Internos do MCTIC (SGIRC-MCTIC), definido pela Política de Integridade, Riscos e Controles Internos
do MCTIC. (PGIRC-MCTIC), institucionalizada pela Portaria MCTIC n° 1.740/18.
Dessa forma, os papéis e responsabilidades do SGRE-MCTIC são aqueles já existentes no
SGIRC-MCTIC, com eventuais extensões para o atendimento de questões específicas da GRE.
2.1 Instâncias, Papéis, Atores e Competências

O SGRE-MCTIC é organizado em instâncias, que são estruturadas por um ou mais papéis, que
são exercidos por um ou mais atores do MCTIC, que possuem competências específicas relacionadas
a GRE no MCTIC. As instâncias do SGRE-MCTIC refletem às instâncias de GR preconizadas pela COSO
(2015), quais sejam: conselhos de governança, direção executiva, auditoria externa e linhas de
defesa.
2.1.1 Governança Estratégica

Esta instância concentra amplos poderes de decisão, fiscalização e intervenção na
organização e está institucionalmente ligada ao arranjo de governança análogo da casa civil que
possui abrangência em todo o governo federal.
2.2.1.1 Conselho de Governança Ministerial

Este papel representa o principal conselho de governança, que deve estar institucionalmente
ligada ao arranjo de governança análogo da casa civil que possui abrangência em todo o governo
federal.
2.2.1.1.1 Comitê de Governança, Integridade, Gestão de Riscos e Controles Internos do MCTIC
O Comitê de Governança, Integridade, Gestão de Riscos e Controles Internos do Ministério da
Ciência, Tecnologia, Inovações e Comunicações (COGIR-MCTIC) exerce o papel de Conselho de
Governança Ministerial. As responsabilidades do COGIR-MCTIC no SGRE-MCTIC são especializações
das suas responsabilidades originais (ver item 5.1.2) definidas pela PGIRC-MCTIC, com os seguintes
destaques:
15
● Aprovar o FGRE-MCTIC e determinar a sua implementação e execução do SGRE-MCTIC;
● CTIC
Aprovar e determinar a execução do Plano de Gestão de Riscos Estratégicos do M
(PLANO DE GRE DO MCTIC);
● Aprovar a autorizar a divulgação das publicações do Relatório de Acompanhamento da
Gestão de Riscos Estratégicos do M CTIC (RELATÓRIO DE ACOMPANHAMENTO DO
MCTIC);
● Acompanhar o portfólio de riscos estratégicos chaves do MCTIC e tomar decisões
considerando as informações produzidas pelo SGRE-MCTIC;
2.2.1.1.1.1 Secretaria Executiva do COGIR-MCTIC
As responsabilidades da Secretaria Executiva do COGIR-MCTIC no SGRE-MCTIC são
especializações das suas responsabilidades originais (ver item 5.1.2) definidas pela PGIRC-MCTIC, com
os seguintes destaques:
● Avaliar, emitir parecer para o COGIR-MCTIC e divulgar o FGRE-MCTIC;
● Avaliar, emitir parecer para o COGIR-MCTIC, divulgar e garantir a execução do Plano de
Gestão de Riscos Estratégicos do M CTIC (PLANO DE GRE DO MCTIC) e dos Planos de
Respostas aos Riscos Estratégicos (PLANOS DE RESPOSTAS);
● Avaliar, emitir parecer para o COGIR-MCTIC, divulgar e garantir os encaminhamentos dos
achados das publicações dos Relatórios de Acompanhamento da Gestão de Riscos
Estratégicos (RELATÓRIOS DE ACOMPANHAMENTO) do M CTIC e de suas unidades
organizacionais;
● Emitir parecer para o COGIR-MCTIC sobre a situação do portfólio de riscos estratégicos
chaves do MCTIC.
2.2.2 Direção Executiva
É a instância composta pelos papéis e respectivos atores responsáveis pelo desdobramento e
implementação das políticas estabelecidas pelo Conselho de Governança. A Alta Gestão do MCTIC é
composta por 3 papéis: gabinetes de secretários de estado, gabinetes de dirigentes de unidades
organizacionais externas e as secretarias executivas de arranjos executivos específicos.
São responsabilidades da direção executiva do MCTIC:
● Patrocinar a disseminação do FGRE-MCTIC e da GRE na unidade organizacional;

● Patrocinar a definição ou revisão dos compromissos de GRE da unidade organizacional no
PLANO DE GRE DO MCTIC;
● Patrocinar a construção e a execução dos Planos de Respostas aos Riscos Estratégicos
(PLANOS DE RESPOSTAS) dos planejamentos estratégicos que compõem a estratégia do
MCTIC;
16
● Patrocinar a construção e analisar as publicações do Relatório de Acompanhamento da
Gestão de Riscos Estratégicos Setorial (RELATÓRIO DE ACOMPANHAMENTO SETORIAL) da
unidade organizacional;
2.2.2.1 Gabinentes de Secretários de Estado
São os gabinetes dos secretários responsáveis pelas Secretarias do MCTIC, ou seja, os
gabinetes dos titulares das SECEX, SEMPI, SEFAE, entre outros titulares.
2.2.2.2 Gabinentes dos Dirigentes de Unidades Organizacionais Externas
São os gabinetes dos dirigentes máximos das unidades de pesquisa, autarquias, agências,
empresas e demais tipos de unidades vinculadas em âmbito federal que são membros da Rede
MCTIC, ou seja, os gabinetes dos titulares do CEMADEN, INSA, Correios, CNPQ, CGEE, entre outros
titulares.
2.2.2.3 Secretarias Executivas dos Arranjos Executivos Específicos
São as secretarias executivas dos comitês, conselhos, grupos de trabalho ou outros tipos de
arranjos executivos criados e formalizados institucionalmente pelo MCTIC, internamente ou no
âmbito federal, competentes para desdobrar e implementar uma ou mais das políticas estabelecidas
pelo conselho de governança, ou parte de um delas.
2.2.3 Linhas de Defesa

2.2.3.1 3º Linha de Defesa
É a instância composta pelos papéis e respectivos atores responsáveis pela auditoria
interna do SGRE-MCTIC. No MCTIC o papel/ator que compõe esta instância é a Assessoria Especial de
Controle Interno (AECI).
2.2.3.1.1 Assessoria Especial de Controle Interno
São competências da AECIno SGRE-MCTIC:

● Determinar às unidades organizacionais a definição ou a revisão no PLANO DE GRE DO
MCTIC dos seus respectivos compromissos com o SGRE-MCTIC;
● Avaliar, aprovar e determinar às unidades organizacionais o cumprimento dos seus
respectivos compromissos com o SGRE-MCTIC estabelecidos no PLANO DE GRE DO
MCTIC;
● Determinar às unidades organizacionais a construção ou revisão dos Planos de Respostas
aos Riscos Estratégicos (PLANOS DE RESPOSTAS) dos planejamentos estratégicos sob suas
respectivas responsabilidades, tendo como referência os seus compromissos de GRE,
estabelecidos no PLANO DE GRE DO MCTIC vigente;
● Avaliar, aprovar e determinar às unidades organizacionais a execução dos seus
respectivos Planos de Respostas aos Riscos Estratégicos ( PLANOS DE RESPOSTAS), tendo
17
como referência os seus compromissos de GRE, estabelecidos no PLANO DE GRE DO
MCTIC vigente;
● Determinar às unidades organizacionais a construção, analisar e aprovar as publicações
do Relatório de Acompanhamento da Gestão de Riscos Estratégicos Setorial (RELATÓRIO
DE ACOMPANHAMENTO SETORIAL) das unidades organizacionais;

É a instância composta pelos papéis e respectivos atores responsáveis pela orquestração do
SGRE-MCTIC e integração das demais instâncias que compõem o sistema. No MCTIC este instância é
composta por 1 papel, o Núcleo de Gestão de Riscos Estratégicos, exercido pela Coordenação Geral
de Gestão de Riscos Corporativos (CGGR), do DEPLE/SEPLA.
2.2.3.2.1 Núcleo de Gestão de Riscos Estratégicos

O NGRE-MCTIC tem responsabilidades técnicas no âmbito do SGRE-MCTIC, exercida pela
CGGR/DEPLE/SEPLA, quais sejam:
● Elaborar, submeter a SE-COGIR-MCTIC e disseminar tempestivamente para todas as
R do MCTIC;
partes interessadas o FGRE-MCTIC, compatível com a metodologia de G
● Suportar tecnicamente a AECI na construção e monitoramento da execução do Plano de
Gestão de Riscos Estratégicos do MCTIC (PLANO DE GRE DO MCTIC);
● Suportar tecnicamente às unidades organizacionais na definição ou revisão e no
cumprimento dos seus respectivos compromissos com o SGRE-MCTIC, estabelecidos
PLANO DE GRE DO MCTIC;
● Suportar tecnicamente a AECI na aprovação e no monitoramento do cumprimento dos
compromissos das unidades organizacionais com o SGRE-MCTIC, estabelecidos PLANO DE
GRE DO MCTIC;
● Suportar tecnicamente às unidades organizacionais na construção das suas publicações
do RELATÓRIO DE ACOMPANHAMENTO SETORIAL;
● Suportar tecnicamente a AECI na análise das publicações produzidas pelas unidades
organizacionais do RELATÓRIO DE ACOMPANHAMENTO SETORIAL;
● Suportar tecnicamente a AECI na construção do RELATÓRIO DE ACOMPANHAMENTO DO
MCTIC a ser realizada a partir da análise das publicações de RELATÓRIO DE
ACOMPANHAMENTO SETORIAL produzidas pelas unidades organizacionais;
● Apoiar tecnicamente as unidades organizacionais nas etapas do processo de GRE;
● Capacitar as unidades organizacionais e demais partes interessadas no FGRE-MCTIC.
18
É a instância do SGRE-MCTIC composta pelos papéis e respectivos atores responsáveis pela
implementação e execução do sistema e das respostas aos riscos estratégicos no âmbito de suas
unidades organizacionais. No MCTIC este instância é composta pelo papel de unidade setorial de
governança (USG), exercido por grupos formados no âmbito de cada uma das unidades
organizacionais do MCTIC, sejam elas secretarias, unidades organizacionais externas ou arranjos
executivos específicos.
2.2.3.3.1 Unidades Setoriais de Governança e Gestão de Riscos (USGs)
As responsabilidades das USGs na G RE no M CTIC são especializações das suas
responsabilidades originais (ver item 5.1.2), definidas pelo PGIRC-MCTIC, com os seguintes
destaques:
● Definir ou revisar no PLANO DE GRE DO MCTIC, supervisionado pela AECI e com o suporte
técnico do NGRE-MCTIC, os seus compromissos com o SGRE-MCTIC;
● Construir ou revisar, supervisionado pela AECI e com o suporte técnico do NGRE-MCTIC,
os PLANO DE RESPOSTAS dos planejamentos estratégicos sob a responsabilidade da sua
unidade organizacional, em alinhamento com o P LANO DE GRE DO MCTIC;
● Liderar a produção e submeter a AECI para avaliação, periodicamente, com o suporte
técnico do NGRE-MCTIC, as suas publicações do RELATÓRIO DE ACOMPANHAMENTO
SETORIAL, tendo como referência os seus compromissos com o SGRE-MCTIC
estabelecidos no PLANO DE GRE DO MCTIC vigente;
● Liderar e executar as etapas do processo de GRE, incluindo a implementação e operação
dos controles internos, para os planejamentos estratégicos sob sua responsabilidade, com
o suporte técnico do NGRE-MCTIC;
● Produzir as publicações do RELATÓRIO DE ACOMPANHAMENTO SETORIAL da sua unidade
organizacional, supervisionado pela AECI e com o suporte técnico do NGRE-MCTIC, tendo
como referência os compromissos da unidade organizacional estabelecidos no PLANO
DE GRE DO MCTIC;
2.2.5 Auditoria Externa
Esta instância é compostas pelos papéis e respectivos atores responsáveis pela auditoria
externa do sistema de gestão de riscos (SGR). No MCTIC estes papéis correspondem aos orgãos de
controle externo federal e o orgão de controle interno do governo federal, exercidos pelo TCU e pela
CGU, respectivamente, responsáveis pela auditoria externa do SGRE-MCTIC.
19
Figura 1: Estrutura de governança da GRE no MCTIC (elaboração CGGR, 2020).
2.1 Artefatos do Framework

O framework define artefatos que suportam o funcionamento do SGRE-MCTIC.
2.1.1 Planos
Os planos são artefatos que definem, institucionalizam e comunicam “como”, “o que” e
“quando” a GRE será implementada e executada no âmbito do MCTIC e sua Rede como um todo e de
cada unidade organizacional individualmente, como também quanto a implementação e execução
das respostas aos riscos estratégicos no âmbito cada planejamento estratégico.
2.1.1.1 Plano de Gestão de Riscos Estratégicos do MCTIC

rienta a implantação, execução e melhoria contínua da gestão
Este artefato do framework o
de riscos estratégicos no MCTIC e em toda sua Rede. O Plano de Gestão de Riscos Estratégicos do
MCTIC ( PLANO DE GRE DO MCTIC) define quais planejamentos estratégicos, de quais unidades
organizacionais do MCTIC, s erão objeto da GRE e quando e como isto ocorrerá, por meio das
seguintes definições:
● Riscos estratégicos chaves;

● Linha do tempo da implantação do SGRE-MCTIC;
● Critérios globais e setoriais de avaliação de riscos estratégicos;
● Oportunidades de melhoria no SGRE-MCTIC priorizadas;
20
● Indicadores de desempenho globais e setoriais do SGRE-MCTIC;
● Responsáveis setoriais pela GRE;
● entre outras.
O PLANO DE GRE DO MCTIC deve ser reavaliado, e eventualmente revisado, anualmente,

suportado pelas informações contidas nas publicações do RELATÓRIO DE AVALIAÇÃO DO MCTIC e do
RELATÓRIO DE AVALIAÇÃO SETORIAL recentes, que deverão ser produzido semestralmente.
2.1.1.3 Plano de Respostas aos Riscos Estratégicos

Este plano é o artefato do framework que orienta os esforços de respostas aos riscos
estratégicos de um planejamento estratégico do MCTIC, por meio das seguintes definições:
● Riscos estratégicos identificados para cada objetivo estratégico;

● Medidas de resposta e respectivos controles internos;
● Responsáveis pelos riscos estratégicos e medidas de resposta correspondentes;
● entre outras.
2.1.2 Relatórios
Os relatórios são artefatos do framework que tem como objetivo registrar e relatar
periodicamente, por meio de publicações distintas, o progresso, tanto da implementação e execução
do GRE, como da implementação e execução das respostas aos riscos estratégicos, tanto no âmbito
do MCTIC e sua Rede como também de cada uma de suas unidades organizacionais.
2.1.2.1 Relatório de Acompanhamento da Gestão de Riscos Estratégicos do MCTIC

Este relatório é um artefato do framework que registra e relata o andamento da
implementação e da execução da gestão de riscos estratégicos no âmbito da Rede MCTIC,
periodicamente, por meio de publicações específicas para cada ciclo de avaliação, tendo como
referência o PLANO DE GRE DO MCTIC, com destaque para as seguintes informações:
● Apuração dos indicadores de desempenho globais e setoriais do SGRE-MCTIC;

● Situação dos riscos estratégicos chaves previamente estabelecidos;
● Oportunidades de melhoria no SGRE-MCTIC;
● entre outras.
2.1.2.2 Relatório de Acompanhamento da Gestão de Riscos Estratégicos Setorial

Este relatório é um artefato do framework que registra e relata o andamento da
implementação e da execução da gestão de riscos estratégicos no âmbito de uma unidade
a Rede MCTIC, periodicamente, por meio de publicações específicas para cada ciclo
organizacional d
21
de avaliação, tendo como referência os compromissos de GRE da unidade correspondente,
estabelecidos no PLANO DE GRE DO MCTIC vigente, com destaque para as seguintes informações:
● Situação dos riscos estratégicos da u reviamente identificados;

nidade organizacional p
● Apuração dos indicadores de desempenho do SGRE-MCTIC no âmbito da unidade
organizacional;
● As oportunidade de melhoria setoriais no SGRE-MCTIC no âmbito da unidade
organizacional;
● entre outras.
22
3. Processo
O processo de gestão de riscos estratégicos ( GRE) do MCTIC será implantado e executado no

âmbito de cada uma de suas unidades organizacionais, pela USG correspondente, aplicado a um ou
mais planejamentos estratégicos, e seus respectivos objetivos estratégicos, sob a responsabilidade da
unidade, tendo como referência os seus compromissos de GRE estabelecidos no PLANO DE GRE DO
MCTIC vigente.
Os objetivos estratégicos que compõem um planejamento estratégico selecionado para ser
alvo do processo de GRE, serão objetos de uma instância de execução do processo de GRE, como
ilustram a Figura 2 e a Figura 3.
23
Figura 2: Processo de GRE no âmbito de cada USG no MCTIC ( elaboração CGGR, 2020).
24
Figura 3: Objetivos estratégicos, micro-relacionamentos de suporte e riscos estratégicos (elaboração CGGR,
2020).
Os riscos estratégicos relacionados a um planejamento estratégico serão geridos por uma

instância de execução do processo de G RE setorial c orrespondente, no âmbito da USG. Este processo
será executado por um time de GRE, formado exclusivamente com esta finalidade. Este time poderá
ser composto também por integrantes de outras USGs.
O time de GRE será composto:

● Por um gestor de riscos estratégicos (líder do time) membro da USG responsável pelo
planejamento estratégico objeto;
● Por outros membros da USG responsável pelo planejamento estratégico objeto;
● Por membros de outras USGs responsáveis pelos objetivos estratégicos, objetivos
operacionais, portfólios de esforços estratégicos e ou esforços estratégicos q ue
compõem o planejamento estratégico objeto.
25
A responsabilidade pela gestão dos riscos estratégicos dos objetivos estratégicos deste
planejamento estratégico poderá, em casos específicos, ser designada diretamente pelo
COGIR-MCTIC a uma USG Específica.
Figura 4: Etapas do processo de G

RE de referência.
O planejamento da aplicação do processo de GRE setorial aos planejamentos estratégicos sob

a responsabilidade de uma unidade organizacional será definido no PLANO DE GRE DO MCTIC.
26
3.1 Entendimento do Contexto
A primeira etapa do processo de GRE consiste em selecionar o planejamento estratégico, e
seus objetivos estratégicos, que serão objetos do processo; designar os responsáveis pela sua
execução; compreender o ambiente interno e externo no qual o planejamento estratégico
selecionado, e os seus objetivos estratégicos, encontram-se inseridos; definir os critérios de avaliação
de riscos estratégicos a serem adotados; e estabelecer os prazos e as frequências de execução do
processo e de suas atividades; tendo como referência o PLANO DE GRE DO MCTIC vigente, incluindo
os compromissos de GRE desta unidade organizacional, estabelecidos neste plano.
O estabelecimento do contexto deve seguir os seguintes passos:

● O gestor da USG seleciona o planejamento estratégico;
● O gestor da USG seleciona os objetivos estratégicos objetos;
● O gestor da USG associa este planejamento estratégico um gestor de riscos estratégicos
dessa unidade;
● Para cada objetivo estratégico objeto do planejamento estratégico:
○ o gestor de riscos estratégicos identifica os objetivos estratégicos de suporte que
contribuem com a realização do objetivo estratégico objeto;
● O gestor de riscos estratégicos seleciona os membros e cria o time que realizará a
RE;
execução da instância do processo de G
RE:
O time de G
● Para cada objetivo estratégico objeto do planejamento estratégico:
● Identifica as metas de resultado do o
bjetivo estratégico objeto;
● Identifica as metas de resultado dos o
bjetivos estratégicos, objetivos operacionais,
portfólios de esforços estratégicos e ou esforços estratégicos que s uportam o
objetivo estratégico objeto;
● Identifica os micro-relacionamentos de suporte entre as metas de resultado dos
objetivos estratégicos, objetivos operacionais, portfólios de esforços estratégicos e
27
ou esforços estratégicos que suportam o objetivo estratégico objeto as metas de
resultado do o
bjetivo estratégico objeto (como ilustra a Figura 5).
● Para cada micro-relacionamento de suporte identificado, o time deverá:
○ Mapear os principais fatores internos e externos que podem influenciar a
capacidade de suporte da meta de resultado do objetivo estratégico,
objetivo operacional, portfólio de esforços estratégicos ou esforço
estratégico, que suporta o objetivo estratégico objeto, à meta de resultado
do objetivo estratégico objeto.
Figura 5: Relacionamentos entre objetivos estratégicos de suporte e objetivo estratégico objeto (elaboração
CGGR, 2020).
3.2 Identificação de Riscos
Esta etapa do processo de GRE compreende o reconhecimento e a descrição dos riscos

estratégicos do planejamento estratégico s elecionado, relacionados aos seus objetivos estratégicos,
28
envolvendo a identificação de possíveis fontes de riscos, tendo como referência o PLANO DE GRE DO
MCTIC vigente.
A identificação dos riscos estratégicos deve seguir os seguintes passos (como ilustrado na Figura
6):
● Para cada objetivo estratégico do planejamento estratégico:
○ A partir das metas de resultado identificadas para o objetivo estratégico objeto, para cada
uma destas metas de resultado, o time deverá:
■ A partir dos micro-relacionamentos de suporte à esta meta de resultado, para cada
um destes, o time deverá:
● Descrever com clareza o micro-relacionamento de suporte, incluindo a
intensidade esperada do suporte do mesmo à meta de resultado do
objetivo estratégico objeto;
● Identificar as possíveis fontes e fatores de incerteza que podem impactar a
efetividade do micro-relacionamento de suporte;
● Listar os eventos que possam vir a ter impacto, negativo ou positivo, na
efetividade do micro-relacionamento de suporte e consequentemente na
validade do o
bjetivo estratégico objeto;
● Descrever como cada risco estratégico pode impactar a meta de resultado
do objetivo estratégico objeto, caso se materialize.
29
Figura 6: Metas de resultado x micro-relacionamentos de suporte x riscos estratégicos (elaboração
CGGR, 2020).
A identificação dos riscos estratégicos deve ser realizada em oficinas, envolvendo os

membros dos times de GRE correspondentes. Nestas oficinas devem ser utilizadas
técnicas/ferramentas que permitam a coleta do maior número de riscos estratégicos, tais como
análise de cenários, SWOT, brainstorming, brainwriting, entrevistas, visitas técnicas, pesquisas, entre
outras.
A SEPLA, por meio da CGGR/DEPLE, oferecerá a capacitação e o suporte técnico necessários
para que as unidades organizacionais do MCTIC possam planejar e executar as oficinas de GRE, com a
aplicação da(s) técnica(s)/ferramenta(s) pertinente(s). O suporte da SEPLA deve ser considerado nos
compromissos de GRE estabelecidos no PLANO DE GRE DO MCTIC.
São dicas que facilitam a identificação de riscos estratégicos:

● Responder à pergunta-chave: o que pode comprometer a efetividade de um
relacionamento de suporte em relação a realização do objetivo estratégico objeto?
30
● Considerar as principais fontes de riscos estratégicos que podem impactar a efetividade do
relacionamento de suporte - exemplos: política nacional e internacional, economia
nacional e internacional, ciência e tecnologia nacional e internacional, entre outros.
3.3 Análise de Riscos
A análise do risco estratégico envolve a compreensão da sua probabilidade de ocorrência e

impacto e, a partir desta, a determinação do seu nível de criticidade, c om base nos critérios de análise
de riscos estratégicos estabelecidos previamente no PLANO DE GRE DO MCTIC.
A análise dos riscos estratégicos deve seguir os seguintes passos:

● Para cada risco estratégico identificado, com o suporte da matriz probabilidade x impacto
(ver Figura 7):
● Estimar a probabilidade de ocorrência do risco estratégico;
● Estimar o impacto potencial do risco estratégico sobre a meta de resultado do
objetivo estratégico objeto correspondente;
● Definir o nível de criticidade do risco estratégico com base na matriz probabilidade
x impacto .
As informações produzidas ao longo da execução desta etapa devem ser refletidas

continuamente e tempestivamente no PLANO DE RESPOSTAS correspondente.
A matriz probabilidade x impacto define o nível de criticidade dos riscos estratégicos a

partir da combinação das estimativas de probabilidade de materialização e impacto potencial. A
estimativa da probabilidade de materialização é a chance de o evento ocorrer dentro do período
previsto para a efetivação do micro-relacionamento de suporte em questão. O impacto potencial é
o resultado caso o evento ocorra. Os critérios de análise podem variar de acordo com o objetivo
estratégico objeto. Geralmente, utilizam-se escalas quali/quantitativas de probabilidade e de
impacto com amplitude de até cinco níveis:
31
Escala de probabilidade (1 a 5):
1 - Raro: acontece apenas em situações excepcionais, não há histórico conhecido do evento ou
indícios que sinalizem sua ocorrência.;
2 - Pouco provável: o histórico conhecido aponta para baixa frequência de ocorrência no prazo
associado ao objetivo estratégico;
3 - Provável: repete-se com frequência razoável no prazo associado ao objetivo estratégico ou há
indícios que possa ocorrer nesse horizonte;
4 - Muito provável: repete-se com elevada frequência no prazo associado ao objetivo estratégico
ou há muitos indícios que ocorrerá nesse horizonte;
5 - Praticamente certo: ocorrência quase garantida no prazo associado ao objetivo estratégico.
Escala de impacto (1 a 5):

1 - Muito baixo: compromete minimamente o atingimento do objetivo estratégico; para fins
práticos, não altera o alcance do objetivo estratégico/meta de resultado;
2 - Baixo: compromete em alguma medida o alcance do objetivo estratégico, mas não impede o
alcance da maior parte do objetivo estratégico/ meta de resultado;
3 - Médio: compromete razoavelmente o alcance do objetivo estratégico/ meta de resultado;
4 - Alto: compromete a maior parte do atingimento do objetivo estratégico/ m
eta de resultado;
5 - Muito alto: compromete totalmente ou quase totalmente o atingimento do objetivo
estratégico/ meta de resultado.
32
Figura 7: Matriz probabilidade x impacto (TCU, 2018).
3.4 Avaliação de Riscos
A avaliação de riscos estratégicos envolve a comparação dos níveis de criticidade dos riscos
estratégicos identificados e analisados com o limite de tolerância aos riscos estratégicos aplicável aos
objetivos estratégicos do planejamento estratégico selecionados, objetos do processo de GRE, com
base nos critérios de avaliação de riscos estratégicos estabelecidos previamente no PLANO DE GRE
DO MCTIC, a fim de determinar se estes riscos estratégicos são aceitáveis.
33
Figura 8: Matriz de tolerância aos riscos estratégicos (TCU, 2018).
LIMITES DE EXPOSIÇÃO AO RISCO

Riscos acima do limite de exposição, não toleráveis: faixa vermelha
Riscos com necessidade de monitoramento: faixa amarela
Riscos que podem ser aceitos: faixa verde
Para cada risco estratégico identificado e analisado:

● Comparar o nível de criticidade e stimado para o risco estratégico com o limite de
tolerância aos riscos estratégicos aplicável ao objetivo estratégico objeto
correspondente, com o suporte da matriz de tolerância aos riscos estratégicos (ver
Figura 8);
● Classificar o risco estratégico quanto a sua aceitabilidade - aceitar, mitigar,
transferir ou evitar, com o suporte da matriz de resposta a riscos estratégicos
(Figura 9).

34
3.5 Definição de Respostas aos Riscos
os
Compreende o planejamento e a realização de ações para modificar4 os níveis criticidade d
riscos estratégicos identificados, analisados e avaliados previamente com base nos critérios de
respostas aos riscos estratégicos definidos no PLANO DE GRE DO MCTIC.
A definição de respostas aos riscos estratégicos deve seguir os seguintes passos:

● Com base na classificação dos riscos estratégicos (quanto a aceitabilidade)
realizada na etapa de avaliação de riscos estratégicos, agrupar os mesmos em
grupos - por tipo de resposta: aceitar, mitigar, transferir ou evitar;
● Para cada grupo:
○ Para cada risco estratégico:
■ identificar medidas de resposta candidatas;
■ fazer análise de custo x benefício das medidas de resposta
candidatas;
■ selecionar a medida de resposta com melhor custo x benefício;
■ detalhar a medida de resposta proposta, incluindo possíveis
requisitos temporais, entre outros.

4
Os níveis de criticidade dos riscos estratégicos podem ser modificados por meio de medidas de resposta que
mitiguem, transfiram ou evitem os mesmo.
35
Figura 9: Matriz de respostas aos riscos estratégicos (TCU, 2018).
3.6 Controle de Riscos

Etapa em que são propostos, escolhidos, planejados, implantados e operados os controles
internos da gestão, com base nas diretrizes para controles dos riscos estratégicos estabelecidas no
PLANO DE GRE DO MCTIC, que garantirão a efetividade das medidas de resposta aos riscos
estratégicos definidas para os riscos estratégicos dos objetivos estratégicos do planejamento
estratégico selecionado, objetos do processo de GRE (ver Figura 10).
O controle dos riscos deve seguir os seguintes passos:

● Para cada risco estratégico
36
○ Para cada medida de resposta definida para o risco estratégico:
■ Identificar os controles candidatos;
■ Avaliar a viabilidade da implantação dos controles candidatos
(custo-benefício, viabilidade técnica, tempestividade, efeitos
colaterais do tratamento, etc.);
■ Selecionar os controles candidatos eleitos;
■ Planejar a implantação e operação dos controles candidatos
eleitos;
■ Operar os controles candidatos.

Figura 10: micro-relacionamentos de suporte x riscos estratégicos x medidas de resposta (elaboração

CGGR, 2020).
37
3.7 Comunicação
Esta etapa ocorre paralelamente, transversalmente e continuamente às outras etapas do
processo de G RE. A comunicação busca garantir a informação, integração, colaboração e
alinhamento entre todas as instâncias e atores envolvidos com a GRE na Rede MCTIC, e é suportada
pelos artefatos do FGRE-MCTIC.
Comunicar os riscos estratégicos de um planejamento estratégico envolve a consulta e a

disponibilização de informações5 contínuas à todas as partes interessadas, ao longo das etapas da
execução do processo de GRE da qual seus objetivos estratégicos são objetos, em alinhamento com
o PLANO DE GRE DO MCTIC e o PLANO DE RESPOSTAS c orrespondente, e deve seguir os seguintes
passos:
● Identificar todas as partes interessadas no âmbito dos objetivos estratégicos
objetos, que compõem o planejamento estratégico selecionado;
● Organizar as partes interessadas em grupos;
● Para cada grupo de partes interessadas, com base no PLANO DE GRE DO MCTICL e
no PLANO DE RESPOSTAS correspondente, seguir os seguintes passos:
○ planejar as interações de consulta e disponibilização de informações;
○ executar as interações de consulta e disponibilização de informações,
sempre que possível por meio dos artefatos de G R da unidade
organizacional correspondente;
○ processar os feedbacks das interações de consulta e disponibilização de
informações.
As informações produzidas nestes passos devem ser refletidas continuamente e

tempestivamente no PLANO DE RESPOSTAS e no RELATÓRIO DE ACOMPANHAMENTO SETORIAL
correspondentes.
5
Informações relativas aos risco estratégicos e sua estratégia de tratamento para todos aqueles que possam
influenciar ou ser influenciados por esse risco estratégico. Podemos dividir esse fluxo de comunicação em duas
direções: vertical e horizontal. A comunicação vertical pode ser no sentido da base para a cúpula ou vice-versa,
proporcionando que à alta administração da organização seja informada sobre o S GRE e os riscos estratégicos
dos objetivos estratégicos que permeiam a organização, e que os servidores tenham ciência dos principais riscos
estratégicos que afetam os objetivos estratégicos da sua organização. Por sua vez, a comunicação horizontal é
importante para que os riscos estratégicos de um planejamento estratégico que envolva diferentes unidades
organizacionais sejam conhecidos igualmente por todos os que trabalham para a realização deste planejamento
estratégico.
38
Comunicar a realização da G RE n
o âmbito de uma unidade organizacional do MCTIC
envolve a consulta e a disponibilização de informações contínuas à todas as partes interessadas, ao
longo das etapas da execução do processo de G RE em alinhamento com o PLANO DE GRE DO
MCTIC e o PLANO DE RESPOSTAS c orrespondente, e deve seguir os seguintes passos:
● Identificar todas as partes interessadas;
● Organizar as partes interessadas em grupos;
● Para cada grupo de partes interessadas, com base no PLANO DE GRE DO MCTICL e
no PLANO DE RESPOSTAS c orrespondente, seguir os seguintes passos:
○ planejar as interações de consulta e disponibilização de informações;
○ executar as interações de consulta e disponibilização de informações,
sempre que possível por meio dos artefatos de G RE da unidade
organizacional correspondente;
○ processar os feedbacks das interações de consulta e disponibilização de
informações.
As informações produzidas nestes passos devem ser refletidas continuamente e

tempestivamente no PLANO DE GRE DO MCTIC, no PLANO DE RESPOSTAS correspondente e no
relatório de acompanhamento da gestão de riscos estratégicos setorial (RELATÓRIO DE
ACOMPANHAMENTO SETORIAL) da unidade organizacional.
3.8 Monitoramento
Esta etapa, assim como a etapa comunicação, ocorre paralelamente, transversalmente e
continuamente às outras etapas do processo de G RE, e m cada USG, e busca garantir a bom
funcionamento do SGRE-MCTIC e das respostas aos riscos estratégicos estabelecidas em cada
unidade, com base no PLANO DE GRE do MCTICL e no PLANO DE RESPOSTAS correspondente; a
identificação e execução de oportunidades de melhoria contínua, tanto no SGRE-MCTIC como nas
respostas ao riscos estabelecidas no âmbito da unidade; e a geração tempestiva das informações que
irão compor o RELATÓRIO DE ACOMPANHAMENTO SETORIAL da unidade e consequentemente o
RELATÓRIO DE ACOMPANHAMENTO DO MCTIC.
O monitoramento do SGRE-MCTIC é coordenado pela AECI, com o suporte técnico do
NGRE-MCTIC e com o apoio da alta gestão, tendo como referência o PLANO DE GRE DO MCTIC
vigente. O Monitoramento é executado continuamente e relatado periodicamente pelas unidades
39
organizacionais da Rede MCTIC, p
or meio de suas respectivas USGs, e avaliado estrategicamente
periodicamente pelo COGIR-MCTIC.
Garantir o bom funcionamento das respostas aos riscos estratégicos, já estabelecidas, para
os riscos estratégicos do planejamento estratégico selecionado compreende monitorar tanto a
implementação e a execução das respostas aos riscos estratégicos como dos respectivos controles
internos de gestão e deve seguir os seguintes passos:
● Para cada risco estratégico
○ Atualizar no RELATÓRIO DE ACOMPANHAMENTO SETORIAL a situação
atual e o histórico do risco estratégico, incluindo eventuais eventos e
impactos detectados e as medidas de resposta eventualmente acionadas;
○ Para cada medida de resposta selecionada
■ Comparar o progresso da implantação da medida de resposta com
o planejamento definido no PLANO DE RESPOSTAS
correspondente;
■ Registrar o progresso da implantação da medida de resposta no
RELATÓRIO DE ACOMPANHAMENTO SETORIAL;
■ Caso a medida de resposta tenha sido implementada e esteja em
execução
● Atualizar no RELATÓRIO DE ACOMPANHAMENTO
SETORIAL a situação atual e o histórico da medida de
resposta, incluindo eventuais eventos e impactos
detectados no seu âmbito e os controles internos de
gestão que foram eventualmente acionados;
40
4. Integrações
Devido a natureza dos riscos estratégicos, que são aqueles que podem impactar a validade d
a
estratégia de uma organização, o êxito da implantação e execução da gestão de riscos estratégicos
(GRE) no âmbito da Rede MCTIC dependerá da boa integração deste processo com as atividades de
elaboração, monitoramento e avaliação e revisão dos planejamentos estratégicos que compõem a
estratégia do MCTIC. Quanto antes no ciclo de vida de determinado planejamento estratégico a GRE
for integrada, mais esta poderá agregar ao mesmo.
Inicialmente, é necessário que o líder de GRE da unidade setorial de governança (USG) da
unidade organizacional esteja definido e que este atribua à responsabilidade pela gestão dos riscos
estratégicos relacionados aos objetivos estratégicos que configuram o planejamento estratégico em
questão a um dos seus membros.
Ao longo da etapa de elaboração de um planejamento estratégico é fundamental que ao
menos o gestor de riscos estratégicos designado esteja completamente envolvido para que os riscos
estratégicos possam ser identificados e pré-avaliados em paralelo com a definição e o
desdobramento dos objetivos estratégicos, permitindo que estas informações sejam consideradas
nas decisões necessárias neste etapa a serem tomadas pelos responsáveis pela elaboração do
planejamento estratégico.
Tomadas todas às decisões quanto à definição e desdobramento dos objetivos estratégicos
do planejamento estratégico cabe ao gestor de riscos estratégicos designado, eventualmente já
acompanhado de um time de GRE, refinar a lista de riscos estratégicos identificados e suas
respectivas avaliações, avançando para a definição das respostas a estes riscos estratégicos. Estas
informações farão parte do conjunto de artefatos que configuram o planejamento estratégico em
questão. Antes do início da execução do planejamento estratégico é importante que estejam
definidos no âmbito do time de GRE os responsáveis pelo implementação e operação de todas as
medidas de resposta estabelecidas e seus respectivos controles internos de gestão. Estas pessoas
serão responsáveis pelo monitoramento dos riscos estratégicos correspondentes.
4.1 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Institucionais

Os planejamentos estratégicos institucionais ( PEIs) incluem o PEI do MCTIC (PEI-MCTIC), os
PEIs de suas unidades de pesquisa e os PEIs d as suas demais unidades vinculadas. Todos estes PEIs,
não somente o do MCTIC, possuem objetivos estratégicos, mesmo que de menor abrangência e
representatividade, como também os objetivos operacionais, portfólios de esforços estratégicos,
esforços estratégicos e/ou outros objetivos estratégicos que suportam os mesmos, e assim
sucessivamente. Todos estes objetivos estratégicos compõem a estratégia do M CTIC, em suas
múltiplas camadas, e portanto são objetos da GRE.
41
4.1.1 Ministério
O PEI-MCTIC é o principal planejamento estratégico da Rede MCTIC. Este planejamento é
baseado na metodologia Balanced Scorecard – BSC e tem como artefatos principais: a missão, visão e
valores do ministério; o mapa estratégico do ministério; os painéis de contribuição das suas unidades
organizacionais; os portfólios de esforços estratégicos das suas unidades organizacionais; e seu plano
de respostas aos riscos estratégicos (PLANO DE RESPOSTAS).
4.1.1.1 Mapa Estratégico

Todos os objetivos, de todas as perspectivas - resultados para sociedade, resultados
institucionais, entre outros - que compõem o mapa estratégico do ministério são considerados no
âmbito deste framework objetivos estratégicos e portanto são objetos do sistema de gestão de riscos
estratégicos do MCTIC (SGRE-MCTIC).
Os indicadores estabelecidos para permitir a medição do progresso da realização destes
objetivos estratégicos juntamente com as suas respectivas expectativas de evolução ao longo do
tempo são consideradas no âmbito deste framework metas de resultados.
Todas as relações de causa e efeito entre dois objetivos estratégicos, expressadas pelas
posições no mapa estratégico das perspectivas aos quais estes pertencem, são consideradas no
âmbito deste framework relacionamentos de suporte. T oda relação de causa e efeito entre uma meta
de resultado do primeiro objetivo estratégico e uma meta de resultado do segundo objetivo
estratégico no âmbito de um relacionamento de suporte é considerada no âmbito deste framework
um micro-relacionamento de suporte.
42
Figura 12: Mapa Estratégico 2020-20130, resultante de uma das etapas do Planejamento Estratégico
Institucional (PEI) do MCTIC.
4.1.1.1.1 Integração em tempo de Elaboração

A integração em tempo de elaboração deve se dar ao longo de todo o esforço de desenho do
grafo estratégico que define o mapa estratégico. O vértice raiz deste grafo estratégico é a tripla
composta pela missão, visão e valores da ministério que será considerada no âmbito deste
framework, do ponto de vista metodológico, um objetivo estratégico.
Os objetivos estratégicos da primeira perspectiva do mapa estratégico correspondem aos

vértices que formam a segunda camada do grafo estratégico, que inicialmente estão todos
individualmente conectados, por meio de arestas, ao vértice raiz do grafo (1ª camada). Os objetivos
estratégicos da segunda perspectiva do mapa estratégico correspondem aos vértices que formam a
terceira camada do grafo estratégico, que estarão inicialmente cada um individualmente conectados,
por meio de arestas, a todos os vértices da segunda camada, e assim sucessivamente, até o alcance
da última perspectiva do mapa estratégico ( ver Figura 11).
43
Figura 11: Grafo Estratégico (elaboração CGGR, 2020).
Cada objetivo estratégico do grafo estratégico, partindo do objetivo estratégico raiz, deve ser
objeto do processo de GRE, até ao menos a sua etapa de avaliação de riscos, paralelamente a
definição dos vértices e respectivas arestas da camada imediatamente inferior do grafo estratégico.
Estas informações sobre os riscos estratégicos deverão apoiar os responsáveis na definição e ou
seleção dos objetivos estratégicos que suportarão o objetivo estratégico objeto e os respectivos
relacionamentos de suporte.
Os riscos estratégicos deverão ser (re) identificados, (re) analisados e (re) avaliados,
considerando as decisões tomadas pelos responsáveis pelo desenho do mapa estratégico. Na
sequência, antes da conclusão da elaboração do mapa estratégico, as instâncias do processo de GRE
deverão concluir todos os passos das demais etapas do processo p ertinentes neste momento, para
o mapa estratégico.
todos os objetivos estratégicos d
44
4.1.1.1.2 Integração em tempo de Monitoramento
O monitoramento dos riscos estratégicos relacionados aos objetivos estratégicos do mapa
estratégico complementa o monitoramento de desempenho destes objetivos estratégicos.
O monitoramento de desempenho dos objetivos estratégicos do mapa estratégico ocorre
continuamente, de acordo com os ciclos de apuração estabelecidos para seus indicadores e as
projeções no tempo das metas correspondentes, para que ao alcançar o próximo momento de
avaliação do planejamento estratégico este seja subsidiado pelas informações de desempenho dos
objetivos estratégicos produzidas neste último ciclo de monitoramento.
Embora muito preciso para monitorar o desempenho da organização na execução dos
objetivos estratégicos do mapa estratégico o monitoramento do planejamento estratégico é mais
limitado para o monitoramento da continuidade da validade destes objetivos estratégicos, e seus
respectivos relacionamentos de suporte, embora também possa produzir algumas pistas neste
sentido. O desempenho da organização na realização dos objetivos estratégicos do mapa estratégico
pode estar ocorrendo de acordo com o planejado, mas a validade corrente de um ou mais destes
objetivos estratégicos pode já ter sido impactada ou podem potencialmente, devido a sinais
detectados neste último período de monitoramento, serem impactadas no futuro, em última
instância podendo impactar o realização do objetivo estratégico raiz do mapa estratégico, ou seja,
ameaçando o cumprimento e alcance otimizados da missão e da visão da organização, em
alinhamento com seus valores.
O monitoramento dos riscos estratégicos relacionados a estes objetivos estratégicos a tua ao
longo deste período de tempo em três dimensões: a evolução dos riscos estratégicos previamente
identificados (1), a efetividade das medidas de resposta e dos respectivos controles internos de
gestão vigentes dos riscos estratégicos já identificados (2) e a identificação de novos riscos
estratégicos e a reavaliação de riscos estratégicos previamente identificados (3).
As informações produzidas pela dimensão (1), especialmente aquelas relacionadas com
possíveis riscos estratégicos já materializados que produziram consequências relevantes de longa
duração e difícil reversão, apesar das medidas de resposta estabelecidas previamente para tratar os
impactos correspondentes produzidos. Por exemplo, uma consequência inesperada associada a um
risco estratégico previamente identificado pode ter impactado fortemente e definitivamente um
relacionamento de suporte, sugerindo a necessidade ou oportunidade de reavaliação e possível
revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
As informações produzidas pela dimensão (2) são mais relevantes para a melhoria contínua
do próprio sistema de gestão de riscos estratégicos (SGRE) e das respostas aos riscos estratégicos já
estabelecidas, embora em caso de detecção de grande incapacidade do SGRE, não endereçável em
tempo hábil, que poderá permitir a deflagração de impactos inesperados nos objetivos estratégicos
do mapa estratégico no futuro, estas possam também sugerir a necessidade ou oportunidade de
reavaliação e possível revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte,
envolvidos.
As informações produzidas pela dimensão (3) podem apresentar novos riscos estratégicos
não identificados previamente que podem potencialmente impactar de forma relevante a validade
do mapa estratégico no futuro ou a reavaliação de riscos estratégicos identificados previamente que
podem mudar às premissas ou expectativas iniciais quanto aos mesmos e seus respectivos potenciais
impactos na validade do mapa estratégico. Ambos os cenários podem sugerir a necessidade ou
45
oportunidade de reavaliação e possível revisão dos objetivos estratégicos, e respectivos
relacionamentos de suporte, envolvidos.
4.1.1.1.3 Integração em tempo de Avaliação e Revisão
As informações produzidas ao longo do último ciclo de monitoramento dos riscos
estratégicos relacionados ao mapa estratégico deverão ser cuidadosamente analisadas pelos
responsáveis pelos objetivos estratégicos do mapa estratégico. Estas informações poderão sugerir a
necessidade ou oportunidade de reavaliação e possível revisão dos um ou mais objetivos
estratégicos, e respectivos relacionamentos de suporte, do mapa estratégico, de modo a mantê-lo
equilibrado frente ao cenário atual dos riscos estratégicos relacionados a ao apetite a riscos da
organização.
4.1.1.2 Painéis de Contribuição
ue os suportam
Todos os objetivos setoriais, incluindo os portfólios de esforços e os esforços q
diretamente, que compõem o painel de contribuição de uma unidade organizacional do MCTIC são
considerados no âmbito deste framework objetivos estratégicos e portanto são objetos do sistema de
gestão de riscos estratégicos do MCTIC (SGRE-MCTIC).

Todas as relações de causa e efeito entre um portfólio de esforços, esforço ou objetivo

estratégico e um objetivo estratégico, expressadas pela posição do objetivo estratégico em questão
no painel de contribuição, são consideradas no âmbito deste framework relacionamentos de suporte.
Toda relação de causa e efeito entre uma meta de resultado do portfólio de esforços, esforço ou
objetivo estratégico e uma meta de resultado do objetivo estratégico em questão no âmbito de um
relacionamento de suporte é considerada no âmbito deste framework um micro-relacionamento de
suporte.
grafo estratégico que define o painel de contribuição. O s vértices da 1º camada deste grafo
estratégico são os objetivos estratégicos do mapa estratégico que são suportados diretamente por
um ou mais objetivos setoriais do painel de contribuição.
o painel de contribuição correspondem aos vértices que formam a

Estes objetivos setoriais d
segunda camada do grafo estratégico, que podem no limite estarem todos individualmente
conectados, por meio de arestas, a todos os vértice da 1ª camada do grafo.
Os portfólios de esforços, esforços e /ou outros objetivos setoriais da próxima camada do
painel de contribuição (3º) que suportam diretamente os objetivos setoriais da sua camada a tual (2º)
correspondem aos vértices que formam a 3º camada do grafo estratégico, que poderão no limite
estarem todos individualmente conectados, por meio de arestas, a todos os vértices da 2º camada, e
assim sucessivamente, até o alcance da última camada do painel de contribuição ( ver Figura 11).
46
Cada objetivo estratégico do grafo estratégico, partindo dos objetivos estratégicos da sua 1°
camada do grafo, deve ser objeto do processo de GRE, até ao menos a sua etapa de avaliação de
riscos, paralelamente a definição dos vértices e respectivas arestas da camada imediatamente
inferior do grafo estratégico (2°, 3°, …). Estas informações sobre os riscos estratégicos deverão apoiar
os responsáveis na definição e ou seleção dos objetivos estratégicos que suportarão o objetivo
estratégico objeto e os respectivos relacionamentos de suporte.
considerando as decisões tomadas pelos responsáveis pelo desenho do painel de contribuição. Na
sequência, antes da conclusão da elaboração do painel de contribuição, as instâncias do processo de
GRE deverão concluir todos os passos das demais etapas do processo p ertinentes neste momento,
para todos os objetivos estratégicos do painel de contribuição.
47
O monitoramento dos riscos estratégicos relacionados aos objetivos estratégicos do painel de
contribuição c omplementa o monitoramento de desempenho destes objetivos estratégicos.
O monitoramento de desempenho dos objetivos estratégicos do painel de contribuição
ocorre continuamente, de acordo com os ciclos de apuração estabelecidos para seus indicadores e as
objetivos estratégicos do painel de contribuição o monitoramento do planejamento estratégico é
mais limitado para o monitoramento da continuidade da validade destes objetivos estratégicos, e
seus respectivos relacionamentos de suporte, embora também possa produzir algumas pistas neste
sentido. O desempenho da organização na realização dos objetivos estratégicos do painel de
contribuição pode estar ocorrendo de acordo com o planejado, mas a validade corrente de um ou
mais destes objetivos estratégicos pode já ter sido impactada ou podem potencialmente, devido a
sinais detectados neste último período de monitoramento, serem impactadas no futuro, em última
instância podendo impactar o realização dos objetivo estratégicos do mapa estratégico suportados
por este painel de contribuição, ou seja, ameaçando indiretamente o cumprimento e alcance
otimizados da missão e da visão do ministério, em alinhamento com seus valores.
do painel de contribuição no futuro, estas possam também sugerir a necessidade ou oportunidade de
envolvidos.
do painel de contribuição quanto a seu suporte ao mapa estratégico no futuro ou a reavaliação de
riscos estratégicos identificados previamente que podem mudar às premissas ou expectativas iniciais
quanto aos mesmos e seus respectivos potenciais impactos na validade do painel de contribuição.
48
Ambos os cenários podem sugerir a necessidade ou oportunidade de reavaliação e possível revisão
dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
estratégicos relacionados ao painel de contribuição deverão ser cuidadosamente analisadas pelos
responsáveis pelos seus objetivos estratégicos. Estas informações poderão sugerir a necessidade ou
oportunidade de reavaliação e possível revisão dos um ou mais objetivos estratégicos, e respectivos
relacionamentos de suporte, do painel de contribuição, de modo a mantê-lo equilibrado frente ao
cenário atual dos riscos estratégicos relacionados a ao apetite a riscos da organização.
4.1.1.3 Esforços e Potfólios de Esforços Estratégicos

Todos os esforços estratégicos e p ortfólios de esforços estratégicos que suportam
diretamente um ou mais objetivos estratégicos do m apa estratégico ou de um painel de contribuição
de um PEI da Rede MCTIC, incluindo os programas, projetos e processos que compõem estes
portfólios, no que diz respeito aos resultados estratégicos esperados das execução bem sucedidas
destes esforços, são considerados no âmbito deste framework objetivos estratégicos e portanto são
objetos do sistema de gestão de riscos estratégicos do MCTIC (SGRE-MCTIC). Cabe ressaltar que não
faz parte dos escopo deste framework a gestão dos riscos de execução destes esforços, mas somente
a gestão dos seus riscos estratégicos, quais sejam, aqueles inerentes às premissas de causa e efeito
direta entre esforços estratégicos e portfólios de esforços estratégicos e os objetivos estratégicos
posicionados um nível acima destes na estratégia do MCTIC e também aqueles inerentes às
premissas de causa e efeito direta entre esforços estratégicos que compõem estes portfólios de
esforços estratégicos, reforçando, considerando apenas o que diz respeito aos resultados estratégicos
esperados das execução bem sucedidas destes esforços.

grafo estratégico que define este bloco da estratégia do MCTIC. Os vértices da 1º camada deste grafo
estratégico são os objetivos estratégicos do mapa estratégico ou do painel de contribuição da camada
superior que são suportados diretamente por um ou mais objetivos estratégicos de esforços
estratégicos ou portfólios estratégicos.
Estes objetivos estratégicos de esforços s ão os vértices que formam a segunda camada do

grafo estratégico d este bloco estratégico, que podem no limite estarem todos individualmente
Os programas, projetos, macro-processos ou processos que compõem e stes portfólios de
esforços estratégicos, que suportam diretamente os objetivos estratégicos destes portfólios
assim sucessivamente, até o alcance da última camada do bloco estratratégico (ver Figura 11).
49
para todos os objetivos estratégicos desta camada estratégica.
50
O monitoramento dos riscos estratégicos relacionados aos objetivos estratégicos dos esforços
estratégicos complementa o monitoramento de desempenho destes objetivos estratégicos.
O monitoramento de desempenho dos objetivos estratégicos dos esforços estratégicos
objetivos estratégicos dos esforços estratégicos o monitoramento do planejamento estratégico é
sentido. O desempenho da organização na realização dos objetivos estratégicos dos esforços
estratégicos pode estar ocorrendo de acordo com o planejado, mas a validade corrente de um ou
dos esforços estratégicos no futuro, estas possam também sugerir a necessidade ou oportunidade de
envolvidos.
dos esforços estratégicos quanto a seu suporte ao mapa estratégico no futuro ou a reavaliação de
quanto aos mesmos e seus respectivos potenciais impactos na validade dos esforços estratégicos.
51
relacionamentos de suporte, dos esforços estratégicos, de modo a mantê-lo equilibrado frente ao
4.1.2 Unidades Vinculadas
O Decreto nº 9.203/17, que dispõe sobre a Política de Governança da Administração Pública
Federal (PG-APF), citado anteriormente, regulamenta que haja integração da GRE ao processo de
planejamento estratégico para a execução da estratégia e o alcance dos objetivos institucionais.
Dessa forma, o FGRE-MCTIC se insere no contexto do processo de planejamento estratégico
institucional (PEI) do MCTIC.
É senso comum que o nível de incerteza e a velocidade das mudanças no ambiente que
rodeiam as organizações vêm aumentando e, como consequência, a GRE torna-se uma etapa crítica
dentro do processo de planejamento e gestão da estratégia. Ao analisar-se o relacionamento de
suporte entre um objetivo estratégico objeto e um objetivo estratégico de suporte, através de suas
metas de resultado, buscando entender o andamento do objetivo estratégico objeto, pode-se
levantar vários riscos associados ao mesmo. Os riscos estratégicos identificados e avaliados
retroalimentam o processo de planejamento estratégico institucional, influenciando diretamente as
tomadas de decisão envolvidas, especialmente aquelas de definição, planejamento de metas,
desdobramento estratégico ou alocação de recursos para execução, dos objetivos estratégicos.
Assim, o conjunto do processo de gestão de risco (Capítulo 2), pode ocorrer tanto no início do
processo de estabelecimento dos objetivos estratégicos (por meio da elaboração do mapa
estratégico), quanto no processo de revisão da estratégia. Esta revisão pode ocorrer a qualquer
momento por necessidade da instituição (por exemplo, identificação de que há algum problema
crítico em relação ao alvo estratégico e os riscos estratégicos) e dessa forma provocar uma revisão do
PEI ou pode ocorrer ainda de forma programada após o processo de avaliação dos dados dos
indicadores como resultado do processo de monitoramento. Portanto, o framework de riscos
estratégicos pode “rodar” de forma independente e eventualmente provocar mudanças no PEI não
programadas. Ou de forma ideal é realizado no momento da elaboração da estratégia da instituição e
nos momentos de avaliação e revisão da estratégia. De qualquer forma, o procedimento de aplicação
do framework se dá por painéis de contribuição de toda a instituição no processo de revisão da
estratégia.
É necessário ressaltar que, como a GRE pode ensejar em modificações na estratégia instituída
no PEI, é fundamental para um planejamento mais perene e assertivo que o FGRE-MCTIC ocorra nos
52
momentos da elaboração inicial da estratégia e nos momentos programados de revisão. Por outro
lado, a GRE deixa claro para a instituição qualquer erro de formulação da estratégia, frentes aos
riscos identificáveis no processo do framework.
4.2 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Setoriais

ue os suportam


suporte.

53
54
envolvidos.
55
4.3 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Temáticos

ue os suportam


suporte.

56
57
envolvidos.
58
59
5. Anexos
5.1 Fundamentos
Nessa seção serão apresentados os fundamentos que orientam o desenho e a construção do
Framework de Gestão de Riscos Estratégicos do Ministério da Ciência, Tecnologia (FGRE-MCTIC): as
referências teóricas selecionadas da doutrina de gestão de riscos (GR), as normas que tratam da GR
no âmbito da administração pública federal (APF) e os casos de implementação de GR selecionados
para análise no âmbito do governo federal.
5.1.1 Doutrina de Gestão de Riscos

A doutrina de GR contempla uma grande quantidade de modelos, estruturas e metodologias
de referência mundialmente reconhecidas, tais como: o Orange Book, do Tesouro Britânico (2001); o
manual COSO ERM (2004); a norma ISO 31000 (2009); o manual COSO ERM (2017); entre outras. As
referências selecionadas na doutrina para orientar a GRE no MCTIC foram os manuais COSO ERM
(2004) e COSO (2017), bem como, a norma NBR ISO 31.000 (2009 e 2018), devido a familiaridade e
utilização destas referências na APF, bem como a compatibilidade entre elas.
5.1.1.1 Committee of Sponsoring Organizations of the Treadway Commission (COSO)

A missão do COSO é "fornecer liderança de pensamento através do desenvolvimento de
estruturas abrangentes e orientação sobre o GRC, controle interno e dissuasão de fraudes projetado
para melhorar o desempenho organizacional e a governança e reduzir a extensão da fraude nas
organizações”.
COSO IC (COSO I)
Em 1992, o COSO publicou a obra Controle Interno – Estrutura Integrada (Internal Control –
Integrated Framework) com o objetivo de orientar as organizações quanto a princípios e melhores
práticas de controle interno, em especial para assegurar a produção de relatórios financeiros
confiáveis e prevenir fraudes.
Nesse modelo, controle interno é definido como um “processo projetado e implementado
pelos gestores para mitigar riscos e alcançar objetivos”. Por sua vez, risco é definido como “a
possibilidade de ocorrência de um evento que possa afetar o alcance dos objetivos” (COSO, 1992). Ou
seja, para o COSO-IC, o controle interno é um processo que tem por objetivo mitigar riscos, com
vistas ao alcance dos objetivos.
Essa primeira versão obteve grande aceitação e foi amplamente aplicada em todo o mundo. É
reconhecida como uma estrutura modelo para desenvolvimento, implementação e condução do
controle interno, bem como para a avaliação de sua eficácia.
60
COSO ERM (COSO II)
Em 2004 o COSO publicou o manual Gerenciamento de Riscos Corporativos – Estrutura
Integrada (Enterprise Risk Management — Integrated Framework), que fornece princípios, diretrizes,
uma linguagem comum e propõe um modelo conceitual que integra as perspectivas de sistema e de
6
processo para o desenho e implantação da GR nas organizações, com o intuito de aumentar as
probabilidades de realização de seus objetivos organizacionais.
7
Segundo o COSO esses objetivos organizacionais são classificados em quatro categorias
(COSO, 2004) explicados abaixo e ilustrados na Figura 14:
● Estratégicos – objetivos gerais que suportam a missão da organização;
● Operações – objetivos de utilização eficaz e eficiente dos recursos;
● Comunicação – objetivos relacionados com a confiabilidade de relatórios;
● Conformidade – objetivos associados ao cumprimento de leis e regulamentos
aplicáveis.
Figura 14: Categorias de objetivos de uma organização (COSO, 2004).
6
O manual COSO define a GR como um processo contínuo que pode ser aplicado em toda organização, em suas várias
áreas, níveis, funções, atividades, projetos e processos específicos, a qualquer momento, por meio de estratégias
formuladas para identificar eventos com potencial impacto, negativo ou positivo, capazes de afetá-la e administrar os riscos
de modo a mantê-los compatíveis com o cumprimento dos seus objetivos (COSO, 2004).
7
Esta categorização possibilita um enfoque nos aspectos distintos do gerenciamento de riscos. Apesar de essas categorias
de objetivos serem distintas, elas se inter-relacionam uma vez que determinado objetivo pode ser classificado em mais de
uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob a responsabilidade direta de
diferentes executivos. Essa classificação também permite diferenciar o que pode ser esperado de cada categoria de
objetivos (COSO, 2004).
61
O objeto de aplicação do FGRE-MCTIC são os objetivos estratégicos, segundo categorização do COSO
(2004). Esta aplicação se faz gerindo as incertezas inerentes à definição destes objetivos estratégicos, em
diferentes níveis, e às expectativas quanto aos relacionamentos de suporte entre outros objetivos estratégicos,
objetivos operacionais, portfólios de esforços estratégicos e ou esforços estratégicos e estes objetivos estratégicos.
Sua abrangência de aplicação é delimitada pelos processos de planejamento e gestão estratégica, no âmbito das
unidades organizacionais responsáveis pela gestão dos riscos estratégicos relacionadas a um ou mais objetivos
estratégicos do MCTIC.
As perspectivas de sistema e de processo da GR, abordadas e integradas pelo modelo

conceitual do COSO, são concretizadas pelos seus componentes da estrutura de GR (ver Figura 15).
Figura 15: Componentes da estrutura de GR (COSO, 2004).
Existe um relacionamento direto entre os objetivos e os componentes do GRC de uma

organização, que representam aquilo que é necessário para o alcance desses objetivos, esse
relacionamento é apresentado em uma matriz tridimensional em forma de cubo, como mostra a
Figura 16, a seguir.
62
Figura 16: Relacionamento entre objetivos e componentes da estrutura de GR (COSO, 2004).
COSO ERM (COSO 2017)

Em 2017 o COSO atualizou o manual Estrutura Integrada de Gerenciamento de Riscos (2004)
e publicou Gerenciamento de Riscos Corporativos - Integração com Estratégia e Desempenho
(Enterprise Risk Management - Integrating with Strategy and Performance).
O documento esclarece a importância do GRC no planejamento estratégico e na incorporação
a toda a organização, pois, os riscos influenciam e alinham a estratégia e o desempenho em todos os
departamentos e funções; bem como, destaca a importância de considerar o risco no processo de
definição da estratégia e no desempenho de condução.
O risco para a estratégia escolhida é apenas um aspecto a considerar. Como essa estrutura
enfatiza, existem dois aspectos adicionais no GRC que podem ter um efeito muito maior no valor de
uma entidade: a possibilidade da estratégia não se alinhar e as implicações da estratégia escolhida.
A primeira delas, a possibilidade da estratégia não se alinhar com a missão, a visão e os
valores fundamentais de uma organização, é central para as decisões subjacentes à seleção da
estratégia. Toda entidade tem uma missão, visão e valores essenciais que definem o que ela está
tentando alcançar e como deseja conduzir os negócios. Algumas organizações são céticas quanto a
realmente adotar seus credos corporativos. Porém, demonstrou-se que a missão, a visão e os valores
centrais são importantes, e são mais importantes quando se trata de gerenciar riscos e permanecer
resilientes durante períodos de mudança.
O outro aspecto adicional são as implicações da estratégia escolhida. Quando a gerência
desenvolve uma estratégia e trabalha com alternativas com o conselho, tomam decisões sobre as
compensações inerentes à estratégia. Cada estratégia alternativa tem seu próprio perfil de risco -
essas são as implicações decorrentes da estratégia. O conselho de administração e a gerência
precisam determinar se a estratégia funciona em conjunto com o apetite de risco da organização e
como ajudará a organização a estabelecer objetivos e, finalmente, alocar recursos de maneira
eficiente.
Dessa forma, o GRC envolve tanto a compreensão das implicações da estratégia e a
possibilidade da estratégia não se alinhar quanto o gerenciamento de riscos para definir objetivos.
63
O GRC, como costuma ser praticado, ajudou muitas organizações a identificar, avaliar e
gerenciar riscos para a estratégia, que são aqueles relacionados à capacidade da organização para
executá-la. Mas as causas mais significativas de destruição de valor estão embutidas na possibilidade
de a estratégia não apoiar a missão e a visão da entidade e as implicações da estratégia.
Dessa forma, este documento aprimorou o conteúdo e a relevância da estrutura em um
ambiente de negócios cada vez mais complexo para que as organizações possam obter um melhor
valor do GRC. Esta nova estrutura é focada em menos componentes, cinco, como mostra a Figura 17
abaixo.
Figura 17: Componentes da GRC (COSO, 2017).
O Framework é um conjunto de princípios organizados nesses cinco componentes

inter-relacionados:
1. Governança e cultura: a governança define o tom da organização, reforçando a
importância e estabelecendo responsabilidades de supervisão para o GRC. A cultura
pertence a valores éticos, comportamentos desejados e compreensão de riscos na
entidade;
2. Estratégia e definição de objetivos: GRC, estratégia e o estabelecimento de objetivos
trabalha em conjunto no processo de planejamento estratégico. Um apetite ao risco
é estabelecido e alinhado com a estratégia; os objetivos de negócios colocam a
estratégia em prática e servem como base para identificar, avaliar e responder aos
riscos.
3. Desempenho: os riscos que podem impactar a consecução da estratégia e dos
objetivos de negócios precisam ser identificados e avaliados. Os riscos são priorizados
pela gravidade no contexto do apetite ao risco. A organização seleciona as respostas
ao risco e faz uma visualização do portfólio da quantidade de risco que assumiu. Os
resultados desse processo são relatados às principais partes interessadas do risco.
4. Revisão: ao revisar o desempenho da entidade, uma organização pode considerar o
quão bem os componentes de GRC estão funcionando ao longo do tempo e à luz de
mudanças substanciais e quais revisões são necessárias.
5. Informações, comunicação e geração de relatórios: o GRC requer um processo
contínuo de obtenção e compartilhamento das informações necessárias, de fontes
internas e externas, que fluem para cima, para baixo e em toda a organização.
64
5.1.1.2 ABNT NBR ISO 31000
A Norma ABNT NBR ISO 31000 (2009) fornece princípios, diretrizes, conceitos e propõe um
modelo conceitual que aborda separadamente as perspectivas de sistema (veja Figura 18) e de
processo (veja Figura 19), para o desenho e implantação da GR nas organizações. A perspectiva de
8
sistema deste modelo conceitual proposto engloba 5 fases ou componentes:
● Mandato e comprometimento;
● Concepção de estrutura para gerenciar riscos;
● Implementação da GR;
● Monitoramento e análise crítica da estrutura;
● Melhoria contínua da estrutura.
Figura 18: Perspectiva de sistema (ISO, 2009).
8
A NBR ISO 31000 (2009) recomenda que as organizações desenvolvam, implementem e melhorem continuamente um sistema para
gerenciar riscos na governança, estratégia e planejamento, gestão, processos de reportar dados e resultados, políticas, valores e cultura em
toda a organização.
65
A GRE no MCTIC adotará um modelo conceitual híbrido, com influências dos manuais COSO (2004 e 2017)
e da norma ISO 31000 (2009 e 2018).
A perspectiva de processo deste modelo conceitual proposto pela ISO 31000 (2009) é
composta pelas seguintes etapas:
● Comunicação e consulta;
● Estabelecimento do contexto;
● Identificação de riscos;
● Análise de riscos;
● Avaliação de riscos;
● Tratamento de riscos;
● Monitoramento e análise crítica.
66
Figura 19: Perspectiva de processo (ISO, 2009).
Em 2018 a norma ISO 31000 sofreu uma revisão, que cancela e substitui a anterior, e fornece
uma visão mais holística e estratégica, além de detalhar as metodologias a serem utilizadas em cada
disciplina de risco. Sua revisão foi estrutural e ampliou sua visão oficialmente para o nível estratégico.
Gerenciar riscos baseia-se nos princípios, estrutura e processos delineados neste documento. Estes
componentes podem já existir total ou parcialmente na organização; contudo, podem necessitar ser
adaptados ou melhorados, de forma que gerenciar riscos seja eficiente, eficaz e consistente.
Os princípios da ISO 31000 (2018) fornecem orientações sobre as características da GR eficaz
e eficiente, comunicando seu valor e explicando sua intenção e propósito. Os princípios são a base
para gerenciar riscos e convém que sejam considerados quando se estabelecerem a estrutura e os
processo de GR da organização. Convém que estes princípios possibilitem uma organização a
gerenciar os efeitos da incerteza nos seus objetivos. A Figura 20 abaixo ilustra os princípios da GR
segundo a revisão da ISO 31000 (2018).
Figura 20: Princípios da GR (ISO, 2018).
O propósito do sistema da GR é apoiar a organização na integração da GR em atividades

significativas e funções. A eficácia da GR dependerá da sua integração na governança e em todas as
atividades da organização, incluindo a tomada de decisão. Isto requer apoio das partes interessadas,
em particular da alta direção. O desenvolvimento da sistema engloba integração, concepção,
implementação, avaliação e melhoria da GR através da organização, como ilustra a Figura 21 a seguir.
Convém que a organização avalie suas práticas e processos existentes de GR, avalie quaisquer lacunas
67
e aborde estas lacunas no âmbito do sistema. Convém que os componentes do sistema e o modo
como funcionam em conjunto sejam personalizados para as necessidades da organização.
Figura 21: Sistema de GR (ISO, 2018).
O processo de GR envolve a aplicação sistemática de políticas, procedimentos e práticas para

as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento,
monitoramento, análise crítica, registro e relato de riscos. Este processo é ilustrado na Figura 22 a
seguir.
68
Figura 22: Processo de GR (ISO, 2018).
5.1.2 Referencial do Governo Federal para a Gestão de Riscos

O tema GR na APF foi abordado pela primeira vez por meio da IN MP/CGU Nº 01/16, que
dispõe sobre controles internos de gestão, GR e governança no âmbito do poder executivo federal.
No ano seguinte, 2017, foi publicado o Decreto nº 9.203/17, que dispõe sobre a PG-APF.
Embora posterior, o Decreto nº 9.203/17 é uma norma que se posiciona acima da IN MP/CGU Nº
01/16 na hierarquia de normas da APF (ver Figura 23).
Em 2018 o MCTIC publicou a Portaria MCTIC Nº 1.740/18 que instituiu a Política de Gestão da
Integridade, Riscos e Controles Internos do MCTIC (PGIRC-MCTIC), atendendo aos comandos do
Decreto nº 9.203/17 e da IN MP/CGU Nº 01/16.
69
Figura 23: Normas Federais de GR.
5.1.2.1 Política de Governança do Governo Federal (Decreto nº 9.203/17)

O Decreto Nº 9.203/17 dispõe sobre a política de governança da administração pública
federal direta, autárquica e fundacional (PG-APF). Este decreto define a governança pública como o
conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar
e monitorar a gestão, com vistas à condução de políticas públicas e à prestação de serviços de
interesse da sociedade.
O CIG é a máxima instância da PG-APF . Segundo o Decreto, caberá à alta administração dos
órgãos e das entidades, observados as normas e os procedimentos específicos aplicáveis,
9
implementar e manter mecanismos, instâncias e práticas de governança em consonância com os
princípios e as diretrizes estabelecidos no Decreto. Para isso os órgãos e entidades da APF direta,
autárquica e fundacional devem instituir seus CIG-ÓRGÃO (ver Figura 24).
Figura 24: Estrutura de Governança da PG-APF.
No MCTIC o papel de CGI-Orgão é exercido pelo COGIR-MCTIC.
9
No mínimo: formas de acompanhamento de resultados; soluções para melhoria do desempenho das organizações; e instrumentos de
promoção do processo decisório fundamentado em evidências.
70
Segundo o Decreto que instituiu a PG-APF, a alta administração dos órgãos da APF deverá
estabelecer Sistema de Gestão de Riscos e Controles Internos (SGRCI), com vistas à gestão dos riscos
que possam impactar a implementação da estratégia e a consecução dos objetivos da organização.
No MCTIC a PGIRC-MCTIC definiu e instituiu o SGIRC-MCIC, que exerce, no âmbito do Ministério, o papel
de SGRCI, como definido na PG-APF.
Os SGRCIs a serem implementados pelos órgãos da APF devem observar os seguintes

princípios:
● Implementação e aplicação de forma sistemática, estruturada, oportuna e
documentada, subordinada ao interesse público;
● Integração da GR ao processo de planejamento estratégico e aos seus
desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os
níveis da organização, relevantes para a execução da estratégia e o alcance dos
objetivos institucionais;
● Estabelecimento de controles proporcionais aos riscos, observada a relação
custo-benefício;
● Utilização dos resultados da GR para apoio à melhoria contínua do desempenho e
dos processos de GR, controle e governança.
5.1.2.2 Controle Interno, Gestão de Riscos e Governança no âmbito do Poder Executivo

Federal (Instrução Normativa Conjunta Ministério do Planejamento e Controladoria-Geral da
União - MP/CGU Nº 01/16)
A IN MP/CGU Nº 01/16 dispõe sobre controles, GR e governança no âmbito do poder
executivo federal e determina que seus órgãos e entidades devem adotar medidas para a
sistematização de práticas relacionadas com estes temas.
Os órgãos e entidades deverão gerir os seus controles internos da gestão, tendo por base o
gerenciamento dos riscos que possam impactar a consecução dos seus objetivos.
Estes controles internos de gestão se constituem na primeira linha (ou camada) de defesa das
organizações públicas e devem integrar as atividades, planos, ações, políticas, sistemas, recursos e
esforços de todos que trabalham na organização. Além dos controles, os órgãos e entidades podem
71
10
estabelecer instâncias de segunda linha (ou camada) de defesa , para supervisão e monitoramento
desses controles.
A GRE endereça somente os controles que atuam como medidas de resposta aos riscos estratégicos.
Segundo a IN MP/CGU Nº 01/16, os órgãos e entidades do poder executivo federal devem

gerir um processo de GR, compatível com sua missão e seus objetivos estratégicos, segundo os
princípios herdados da PG-APF acrescidos do princípio “estabelecimento de níveis de exposição a
riscos adequados”.
O FGRE-MCTIC oferece os subsídios para a implantação do Sistema de Gestão de Riscos

Estratégicas (SGRE-MCTIC), que é somente um dos subsistemas do Sistema de Gestão de Riscos e Controles
Internos (SGRCI) como definido na PG-APF.
Segundo a IN MP/CGU Nº 01/16, na implementação e atualização do modelo de GR a alta
administração, bem como seus servidores ou funcionários, deverão observar os seguintes
componentes da estrutura de GR:
● Ambiente interno;
● Fixação de objetivos;
● Identificação de evento;
● Avaliação de riscos;
● Resposta a riscos;
● Atividades de controles internos;
● Informação e comunicação;
● Monitoramento.
Comitês, diretorias ou assessorias específicas para tratar de riscos, controles, integridade e compliance, por exemplo,
10
podem se constituir em instâncias de supervisão de controles.
72
A estrutura de GR adotada e recomendada pela IN MP/CGU Nº 01/16 coincide com a
estrutura de referência para GR definida e preconizada pelo manual COSO ERM (2004), como ilustra a
Figura 25, a seguir.
Figura 25: Componentes da estrutura de GR (COSO, 2004).
Os gestores são os responsáveis pela avaliação dos riscos no âmbito das unidades, processos
e atividades que lhes são afetos. A alta administração deve avaliar os riscos no âmbito da
organização, desenvolvendo uma visão de riscos de forma consolidada.
A estrutura do modelo de GR definido pela IN MP/CGU-01/16 integra as perspectivas de

sistema (gestão da GR na organização) e processo (gestão dos riscos da organização), como o manual
COSO (2007).
Segundo esta instrução normativa a PGR, a ser instituída pelos órgãos e entidades do Poder
Executivo Federal, deve especificar ao menos:
● Princípios e objetivos organizacionais da GR;
11
● Diretrizes sobre os aspectos de funcionamento da GR ;
● Competências e responsabilidades para a efetivação da GR.
11
Integração aos planejamentos estratégicos, aos processos e às políticas da organização; periodicidade e processo operacional; medição
de desempenho da GR; integração entre as instâncias do órgão ou entidade responsáveis; metodologia e ferramentas de apoio;
desenvolvimento contínuo dos agentes públicos.
73
Os órgãos e entidades, ao efetuarem o mapeamento e avaliação dos riscos deverão
considerar, entre outras possíveis, as seguintes tipologias de riscos:
12
● Riscos operacionais ;
13
● Riscos de imagem/reputação do órgão ;
14
● Riscos legais ;
15
● Riscos financeiros/orçamentários .
A PGR do MCTIC é parte da Política de Gestão da Integridade, Riscos e Controles Internos do

MCTIC, instituída pela Portaria MCTIC nº 1.740/18, que tem por finalidade estabelecer princípios, diretrizes
e responsabilidades a serem observados e seguidos para a gestão da integridade, de riscos e controles
internos referentes aos planos estratégico e operacional, programas, projetos e processos do MCTIC.
O dirigente máximo da organização é o principal responsável pelo estabelecimento do SGRCI

da organização. Cada risco mapeado e avaliado deve estar associado a um agente responsável
formalmente identificado, com alçada suficiente para orientar e acompanhar as ações de
mapeamento, avaliação e mitigação do risco, de acordo com a política, monitorá-lo ao longo do
tempo e garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis
da organização.
De acordo com a IN MP/CGU Nº 01/16, os órgãos e entidades do Poder Executivo Federal
deverão instituir, pelos seus dirigentes máximos, COGRC, que garanta a GR e gestão de controles de
forma integrada, composto pelo dirigente máximo e pelos dirigentes das unidades a ele diretamente
subordinadas, apoiado pelo respectivo Assessor Especial de Controle Interno.
●
12
Eventos que podem comprometer as atividades do órgão ou entidade, normalmente associados a falhas, deficiência ou inadequação de
processos internos, pessoas, infraestrutura e sistemas.
13
Eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou de fornecedores) em relação à capacidade
do órgão ou da entidade em cumprir sua missão institucional.
14
Eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do órgão ou entidade.
15
Eventos que podem comprometer a capacidade do órgão ou entidade de contar com os recursos orçamentários e financeiros necessários
à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de
licitações.
74
O COGIR-MCTIC é a implementação no âmbito do MCTIC do COGRC, definido e exigido pela IN
MP/CGU-01/16.
5.1.2.3 Política de Gestão de Integridade, de Riscos e Controles Internos no Ministério da

Ciência, Tecnologia, Inovações e Comunicações (Portaria MCTIC Nº 1.740/18)
A Portaria MCTIC Nº 1.740/18 institui a Política de Gestão da Integridade, Riscos e Controles
Internos no Ministério da Ciência, Tecnologia, Inovações e Comunicações, que tem por finalidade
estabelecer princípios, diretrizes e responsabilidades a serem observados e seguidos para a gestão da
integridade, riscos e controles internos referentes aos planos estratégico e operacional, programas,
projetos e processos do MCTIC.
A PGIRC-MCTIC e suas eventuais normas complementares, metodologias, manuais e
procedimentos aplicam-se aos órgãos de assistência direta e imediata ao Ministro de Estado, aos
órgãos específicos singulares e órgãos colegiados do MCTIC, abrangendo os servidores públicos
federais, prestadores de serviço, estagiários, consultores externos e quem, de alguma forma,
desempenhe atividades neste Ministério.
As unidades de pesquisa deverão instituir procedimentos específicos para a implantação da
GR, aderentes às diretrizes da PGIRC-MCTIC.
São objetos da GRE os riscos estratégicos, que são os riscos inerentes às escolhas que definem a
arquitetura e os instrumentos de planejamento estratégico do MCTIC, que se dão na definição dos objetivos
estratégicos, de diferentes níveis, e nas expectativas quantos aos relacionamento de suporte entre outros
objetivos estratégicos, objetivos operacionais, portfólios de esforços estratégicos e ou esforços estratégicos,
que s uportam os objetivos estratégicos objetos, e estes objetivos estratégicos objetos.
Segundo a PGIRC-MCTIC, as atividades de gestão da integridade, riscos e controles internos

devem guiar-se pelos princípios deGR definidos pela ISO 31000 e tem como objetivos:
● Contribuir para o alcance da missão institucional e dos objetivos estratégicos do
Ministério;
● Melhorar a eficácia e a eficiência operacionais;
● Estabelecer uma base confiável de informações para a tomada de decisão;
75
● Prezar pelas conformidades legal e normativa dos processos organizacionais;
● Contribuir para a proteção dos bens, ativos e recursos públicos contra desperdício e
perda;
● Melhorar a governança;
● Aumentar a capacidade da organização de adaptar-se a mudanças;
● Melhorar a prestação de contas à sociedade brasileira.
A metodologia a ser estabelecida e que orientará as atividades deGR do Ministério deverá
prever de que forma e com qual periodicidade serão identificados, avaliados, tratados e monitorados
os riscos, assim como deverá especificar como será medido o desempenho daGR e deverá
contemplar, no mínimo, as seguintes etapas:
16
● Entendimento do contexto ;
17
● Identificação de riscos ;
18
● Análise de riscos ;
19;
● Avaliação de riscos
20
● Priorização de riscos ;
21
● Definição de respostas aos riscos ;
22
● Comunicação e monitoramento .
A GRE do MCTIC se baseia nas mesmas etapas preconizadas pela PGIRC-MCTIC para a
operacionalização da GR no MCTIC, garantindo assim a compatibilidade do processo de GRE com o processo de
GR do MCTIC.
16
Etapa em que são identificados os objetivos relacionados ao processo organizacional e definidos os contextos externo e
interno a serem levados em consideração ao gerenciar riscos.
17
Etapa em que são identificados possíveis riscos para objetivos associados aos processos organizacionais.
18
Etapa em que são identificadas as possíveis causas e consequências do risco.
19
Etapa em que são estimados os níveis dos riscos identificados.
20
Etapa em que são definidos quais riscos terão suas respostas priorizadas, levando em consideração os níveis calculados na
etapa anterior.
21
Etapa em que são definidas as respostas aos riscos, de forma a adequar seus níveis ao apetite estabelecido para os
processos organizacionais, além da escolha das medidas de controle associadas a essas respostas.
22
Etapa que ocorre durante todo o processo de gerenciamento de riscos e é responsável pela integração de todas as
instâncias envolvidas, bem como pelo monitoramento contínuo da própria GR, com vistas a sua melhoria.
76
São instâncias responsáveis pela Política de Integridade, Riscos e Controles Internos do
MCTIC (como ilustra a Figura 26):
● COGIR-MCTIC;
● Secretaria Executiva do COGIR do MCTIC;
● USGs.
Compete ao COGIR-MCTIC:
● A promoção de práticas e princípios destinados a garantia da integridade,
23
conformidade, transparência e responsabilização ;
24
● Garantir a estruturação, institucionalização e melhoria contínua do SGIRC-MCTIC ;
25
● Parametrizar o SGIRC-MCTIC de acordo com as expectativas do orgão ;
● Promover a integração e o desenvolvimento contínuo dos agentes públicos
responsáveis pela gestão da integridade, riscos e controles internos, de modo a
incentivar a adoção de boas práticas relacionadas.
À Secretaria Executiva do COGIR-MCTIC compete:
● Definir a metodologia deGR, baseada na metodologia internacional do COSO e de
boas práticas e suas revisões, segundo orientações do COGIR-MCTIC;
26
● Apoiar o COGIR-MCTIC técnica e administrativamente ;
27
● Apoiar e monitorar as USGs .
23
Supervisionar a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à
prestação de serviços de interesse público; promover a adoção de práticas que institucionalizam a responsabilidade dos
agentes públicos na prestação de contas, na transparência e na efetividade das informações; fomentar práticas e princípios
de conduta e padrões de comportamentos, em apoio às ações desenvolvidas pela Comissão Setorial de Ética.
24
Aprovar política, diretrizes, metodologias e mecanismos para comunicação e institucionalização da gestão da integridade,
de riscos e dos controles; liderar e supervisionar a institucionalização da gestão da integridade, riscos e controles internos,
baseada no modelo adotado, oferecendo suporte necessário para a implementação de suas estruturas no órgão ou
entidade; aprovar e supervisionar método de priorização de temas e macroprocessos para gerenciamento de riscos e
implementação dos controles da gestão; emitir e monitorar recomendações para o aprimoramento da gestão da
integridade, de riscos e dos controles.
25
Supervisionar o mapeamento e avaliação dos riscos-chave que podem comprometer a prestação de serviços de interesse
público; estabelecer limites aos riscos estratégicos globais do órgão, bem com os limites de alçada ao nível de unidade,
política pública, ou atividade; tomar decisões considerando as informações sobre a gestão da integridade, riscos e controles
internos e assegurar que estejam disponíveis em todos os níveis; e designar os membros de suas respectivas unidade
setoriais de governança.
26
No que for necessário para o funcionamento do Comitê; na definição e atualizações da estratégia de implementação da
GR, considerando os contextos externo e interno.
27
Monitorar a implementação das recomendações do COGIR-MCTIC e As medidas de controles a serem implementadas nos
processos organizacionais e consolidar os resultados das unidades em relatórios gerenciais e submetê-los para apreciação
do Comitê; apoiar tecnicamente na identificação, análise e avaliação dos riscos dos processos organizacionais selecionados
para a implementação da GR; apoiar na definição dos indicadores de desempenho para a GR, alinhados com os indicadores
de desempenho do MCTIC.
77
A Secretaria Executiva do COGIR-MCTIC terá o papel de apoiar o Comitê na realização de suas
atribuições e será composta pela Assessoria Especial de Controle Interno (AECI) e pela Secretaria
Executiva deste Ministério.
Às USGs compete:
28
● Executar a GR no seu contexto;
29
● Integrar a GR local ao SGIRC-MCTIC .
●
A governança da G RE é um subconjunto da governança do SGIRC-MCTIC, se submete a ela e se

projeta nos seus papéis e responsabilidades, podendo estendê-la para atender necessidades específicas da
GRE.
28
Identificar, analisar e avaliar os riscos dos processos sob sua responsabilidade, em conformidade ao que define esta
Política; informar à Secretaria Executiva do COGIR-MCTIC sobre mudanças significativas nos processos organizacionais sob
sua responsabilidade; Propor respostas e respectivas medidas de controle, a serem implementadas nos processos
organizacionais sob sua responsabilidade; Monitorar a evolução dos níveis de criticidades e a efetividade das medidas de
controles implementadas nos processos organizacionais sob sua responsabilidade.
29
Medir o desempenho da GR, objetivando a sua melhoria contínua; responder às solicitações da Secretaria Executiva do
COGIR-MCTIC; disponibilizar informações adequadas ao monitoramento da gestão dos riscos dos processos sob sua
responsabilidade a todos os níveis do Ministério e demais partes interessadas; coordenar a implementação das respectivas
determinações do COGIR-MCTIC.
78
Figura 26: Estrutura de governança do SGIRC-MCTIC (elaboração CGGR, 2020).
5.1.3 Benchmarks
O benchmarking tem como propósito a busca das melhores práticas nas organizações, ou seja
as que orientam uma performance superior. Segundo Camp (1998) o benchmark é visto como um
processo positivo e proativo, por meio do qual uma organização pode averiguar como outra realiza
uma função específica, com a finalidade de melhoria em seu desempenho e, conhecendo as melhores
práticas, adaptá-las ao ambiente interno da organização.
A GR na administração pública brasileira seguem os padrões de boas práticas mundialmente
aceitas, tendo como parâmetros, principalmente, os modelos ISO 31000 (2009 e 2018), COSO (2004
e 2017), entre outros. Com a finalidade de consolidação do FGRE-MCTIC, o trabalho valeu-se da
análise da adoção desses modelos por meio de benchmark, entre os princípios e conceitos expressos
nas normas do SGR adotados pelo Tribunal de Contas da União (TCU), da Controladoria da União
(CGU) e do Ministério da Economia (ME), descritos brevemente a seguir.
5.1.3.1 Tribunal de Contas da União - TCU

As práticas de GR têm sido paulatinamente institucionalizadas na administração pública e em
nível federal já se apresentam como obrigatória em muitos órgãos. A gestão de riscos na
administração pública constitui-se ferramenta de grande utilidade no alcance de níveis mais elevados
de governança, pois aumenta a capacidade institucional para lidar com as incertezas, incentiva a
transparência e contribui para o uso eficiente e efetivo de recursos públicos.
Em abril de 2017, o Tribunal de Contas da União aprovou a Resolução TCU nº 287, que institui
a PGR da casa. A norma, entre outra disposições, estabelece as instâncias responsáveis pelo SGR do
TCU, e estipula as competências dos gestores de riscos, para os objetos sob sua responsabilidade.
Em 2018, o TCU publicou seu manual de GR, elaborado a partir da sua PGR e representa um
instrumento importante para sua implementação. Este manual não se restringe aos riscos dos
processos de negócio da organização, também considera como possíveis objetos do processo de GR:
projetos, planos e atividades.
Em termos de conteúdo, o manual aborda o objetivo e os princípios da GR no TCU, sua
governança e seu funcionamento, o processo de GR propriamente dito e um glossário com a
definição dos principais termos utilizados.
Conforme dispõe o referido manual de GR, a estratégia escolhida para implantação da GR no
TCU é interativa, baseada em ciclos sucessivos, com complexidade crescente. A GR do TCU tem como
objetivo auxiliar a tomada de decisão, destinando-se a promover razoável segurança no cumprimento
da missão, assim como no alcance dos objetivos institucionais. Na tomada de decisões a iniciativa de
não considerar explicitamente os riscos pode acarretar o não alcance os objetivos ou resultados que
poderiam ser atingidos. As etapas da GR no TCU, quaisquer que sejam o objeto, compreende o
desenvolvimento de etapas que podem ser visualizadas na Figura 27 abaixo.
79
Figura 27: Etapas da GR (TCU, 2018).
5.1.3.2 Controladoria-Geral da União - CGU

O manual Metodologia de GR da CGU (2018) tem como foco os riscos dos processos de
negócio da organização. O marco regulatório que orienta os órgãos e as entidades públicas no âmbito
do Poder Executivo Federal quanto à estrutura de mecanismos de controle internos, GR e governança
é a Instrução Normativa conjunta MP/CGU 01, de 10 de maio de 2016, em que são apresentados os
conceitos, princípios, objetivos e responsabilidades afetos aos temas.
Dessa forma em atendimento a essa Instrução Normativa, em abril de 2017 a CGU publicou a
sua PGR na Portaria nº 915/2017, que estrutura os processos de GR, alinhados aos planejamentos
estratégicos, táticos e operacionais, considerando as características específicas e a cultura
organizacional. A política contempla ainda, princípios, objetivos, operacionalização e competências
de cada setor.
A GR da CGU tem por objetivo, entre outros, o cumprimento do objetivo estratégico inserido
no Planejamento Estratégico de 2016-2019, normatizado por meio da Portaria nº 50.223, de 4 de
dezembro de 2015:
Gestão Estratégica – Internalizar a gestão estratégica de forma sistêmica e aprimorar a comunicação
interna e os instrumentos de gerenciamento de riscos e de planejamento, monitoramento e
avaliação dos resultados.
Os fundamentos da elaboração da metodologia espelham-se em normativas técnicas tais
como o COSO (2004), ISO 31000 (2009), bem como, a IN 01/2016, e a PGR da C
GU.
A Metodologia se sustenta em uma estrutura de GR, que tem como elementos principais os
comitês que compõem a estrutura de governança da CGU (Comitê de Gestão Estratégica e Comitê
Gerencial, definidos pela Portaria nº 1308/2015), o responsável pelo gerenciamento de riscos de cada
processo organizacional, o Núcleo de Gestão de Riscos e os servidores.
A Metodologia de GR foi aprovada pelo Comitê de Gestão Estratégica no dia 28/03/2018 e
publicada na Portaria nº 910, de 3 de abril de 2018.
A metodologia de GR da CGU, tem por objetivo estabelecer e estruturar as etapas para a
operacionalização, por meio de um processo de GR, conforme o art.6 da PGR/CGU, as etapas são as
seguintes:
80
I– entendimento do contexto: etapa em que são identificados os objetivos relacinados ao processo
organizacional e definidos os contextos externo e interno a serem levados em consideração ao GR;
II – identificação de riscos: etapa em que são identificados possíveis riscos para objetivos associados
aos processos organizacionais;
III – análise de riscos: etapa em que são identificadas as possíveis causas e consequências do risco;
IV – avaliação de riscos: etapa em que são estimados os níveis dos riscos identificados;
V – priorização de riscos: etapa em que são definidos quais riscos terão suas respostas priorizadas,
levando em consideração os níveis calculados na etapa anterior;
VI – definição de respostas aos riscos: etapa em que são definidas as respostas aos riscos, de forma a
adequar seus níveis ao apetite estabelecido para os processos organizacionais, além da escolha das
medidas de controle associadas a essas respostas ; e
VII – comunicação e monitoramento: etapa que ocorre durante todo o processo de gerenciamento de
riscos e é responsável pela integração de todas as instâncias envolvidas, bem como pelo
monitoramento contínuo da própria GR, com vistas a sua melhoria.
5.1.3.3 Ministério da Economia - ME

O manual de GR do Ministério da Economia (ME) tem como foco os riscos dos processos de
negócio da organização. O manual foi sistematizado pelas premissas da metodologia do COSO (2004)
voltada para o GRC. Além disso é associado ao Programa de Integridade, estabelecido pela Portaria
nº 150, de 14 de maio de 2016, à Instrução Normativa Conjunta CGU/MP nº 01 de 10 de maio de
2016, e à Política de Gestão de Integridade, Riscos e Controle Internos da Gestão, estabelecida pela
Portaria nº 426, de 30 de dezembro de 2016, sendo também uma implementação desta.
A metodologia de gestão de integridade, riscos e controles Internos é composta pelas
seguintes etapas: análise de ambiente e fixação de objetivos; identificação de eventos de riscos;
avaliação de eventos de riscos e controles; resposta a riscos; informação, comunicação e
monitoramento. Cada etapa pretende atingir os objetivos específicos do processo de gestão de
integridade, riscos e controles interno da gestão.
Ressalta-se que nas iniciativas de desenvolvimento de metodologias, é fundamental a
realização de ajustes, com o intuito de se adequar ao contexto da unidade de gestão de integridade,
riscos e controles, mantendo-se adequada necessidades do ME. A característica do manual é a
manutenção constante do processo de melhoria.
O principal objetivo do manual é auxiliar, sistematizar e padronizar a gestão de integridade,
riscos e controles internos no âmbito do Ministério da Economia. O propósito é contribuir para a
implantação de boas práticas de gestão de integridade, riscos e controles internos e para a tomada
de decisões de governança.
81
5.1.4 Tendências em Gestão de Riscos e Riscos Estratégicos
O GRC, como vem sendo tipicamente praticado, ajudou muitas organizações a identificar,
avaliar e gerenciar riscos da estratégia. No entanto, as causas mais importantes de destruição de
valor residem na possibilidade da estratégia não suportar a missão e a visão da entidade, e as
implicações da estratégia (COSO 2017).
5.1.4.1 Harvard Business School

Managing Risks: A New Framework
Neste artigo, Robert S. Kaplan e Anette Mikes, apresentam uma nova categorização de riscos
que permite aos executivos dizer quais riscos podem ser gerenciados por meio de um modelo
baseado em regras e quais requerem abordagens alternativas. Foram examinados os desafios
individuais e organizacionais inerentes à geração de discussões abertas e construtivas sobre o
gerenciamento dos riscos relacionados às escolhas estratégicas e como as organizações podem
identificar e se preparar para riscos imprevisíveis que surgem externamente à sua estratégia.
Concluiu-se que as organizações precisam ancorar essas discussões em seus processos de formulação
e implementação de estratégias.
5.1.4.2 Strategic Risk Management Lab, Kellstadt Graduate School of Business, DePaul
University, Chicago
What Is Strategic Risk Management?
Neste artigo, Dr. Mark L. Frigo define a GRE como um processo para identificar, avaliar e
gerenciar riscos e incertezas, influenciado por fatores internos e externos eventos, ou cenários, que
podem inibir a capacidade da organização realizar a sua estratégia e objetivos estratégicos, com o
intuito final de criar e proteger valor para as partes interessadas. É um componente primário e um
fundamento necessário da GRC.
5.1.4.3 Edinburgh Business School, Heriot-Watt University
Module 4 - Strategic Risk, Strategic Risk Management
O risco estratégico está relacionado ao risco no nível corporativo e afeta o desenvolvimento e
implementação da estratégia de uma organização. Um exemplo é o risco resultante de uma avaliação
incorreta das tendências futuras do mercado ao desenvolver a estratégia inicial. No desenvolvendo
de uma estratégia, uma organização faz uma avaliação das condições do mercado hoje, sem prever
as várias mudanças que ocorrerão no mercado durante o período de realização da estratégia.
82
5.1.4.4 Banco Central do Brasil
Integration of Risk Management Into Strategic Planning: A New Comprehensive Approach
As organizações estão expostas a uma variedade de riscos relacionados ao desenvolvimento
e implementação de sua estratégia. Existe uma quantidade extensa de literatura sobre GRC, mas
ainda é possível encontrar oportunidades para analisar como diferentes tipos de informações de risco
podem ser objetivamente consideradas para aprimorar a governança corporativa e fortalecer a boa
tomada de decisão.
Uma estrutura robusta de gerenciamento de risco corporativo deve fornecer informações de
riscos relevantes para os tomadores de decisão, a fim de reduzir a possibilidade de seleção de uma
estratégia equivocada ou ignorar uma importante. As metodologias de planejamento estratégico
mais comuns não levam em consideração os riscos estratégicos. Os riscos estratégicos podem
alavancar, dificultar ou impedir o cumprimento dos objetivos estratégicos. Este artigo tem como
objetivo introduzir um novo modelo abrangente que integra o gerenciamento de riscos ao
planejamento estratégico.
83
6. Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 31000: Gestão de riscos — Princípios e
diretrizes. Rio de Janeiro, 2009.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 31000: Gestão de riscos — Diretrizes. Rio
de Janeiro, 2018.
BRASIL. Instrução Normativa Conjunta MP/CGU nº 01, de 10 de maio de 2016. Diário Oficial da
União, Poder Executivo, Brasília, DF, 11 maio 2016. Seção 1.
BRASIL. Decreto nº 9.203, de 22 de novembro de 2017. Diário Oficial da União, Poder Executivo,
Brasília, DF, 23 nov 2017. Seção 1.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Manual de Gestão de Integridade, Riscos

e Controles Internos da Gestão. Brasília: MP, 2017.
BRASIL. Ministério da Transparência e Controladoria-Geral da União. Metodologia de Gestão de

Riscos. Brasília: CGU, 2018.
BRASIL. Tribunal de Contas da União. Manual de gestão de riscos. Brasília: TCU, 2018.
BRASIL. Portaria nº 1.740, de 29 de março de 2018. Ministério de Ciência, Tecnologia, Inovações e

Comunicações. Poder Executivo, Brasília, DF, 29 mar 2018.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION - COSO. Controle

Interno – Estrutura Integrada. PricewaterhouseCoopers: 1992.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION - COSO.

Gerenciamento de Riscos Corporativos – Estrutura Integrada. PricewaterhouseCoopers: São Paulo,
2004.
84
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION - COSO. Enterprise
Risk Management Integrating with Strategy and Performance. PricewaterhouseCoopers: 2017.
COUTINHO, Reginaldo. Controle Interno e Gestão e Risco. Diálogo público para a melhoria da
governança. Roraima, 2014.
DELOITTE.The value killers revisited: a risk management study, 2012.
GODET, M. Impacts croisé : exemples d’applications. Futuribles, n° 71, novembre 1983.
HER MAJESTY’S TREASURY. The Orange Book. Management of Risk - Principles and Concepts.
Londres: HM Treasury, 2004.
KAPLAN, Robert AND MIKES, Annete. Managing Risks: A New Framework. Boston: 2012.
MAIA, Isabela R. D & CHAVES, George M. M. Integration of Risk Management into Strategic
Planning: A New Comprehensive Approach. Enterprise Risk Management Symposium. Arlington:
2016.
ORGANIZAÇÃO INTERNACIONAL DAS ENTIDADES FISCALIZADORAS SUPERIORES - INTOSAI. Princípios

Fundamentais de Auditoria do Setor Público. Brasília: TCU, 2017.
UK FEDERAL GOVERNMENT. An approach to top-down risk management and alignment: a practical
guide to risk strategy for boards of organisations. Strategic Risk Management. London: 2020.
FRIGO, MARK L. AND ANDERSON, RICHARD J. What Is Strategic Risk Management? New York: 2011.
TONELLO, MATTEO. Strategic Risk Management: A Primer for Directors. The Conference Board: 2012.
85
WALLACE, DR WILLIAM AND MCCLURE, MR NEIL. Strategic Risk Management. Edinburgh Business
School, Heriot-Watt University. Edinburgh: 2017.
86

Framework Gestao Riscos Estrategicos MCTIC

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Framework Gestao Riscos Estrategicos MCTIC

Enviado por

Direitos autorais:

Formatos disponíveis

Framework de Gestão de Riscos

Estratégicos do Ministério da Ciência,

1.2 Escopo e abrangência

2.1 Instâncias, Papéis, Atores e Competências

2.1.1 Governança Estratégica

2.2.1.1 Conselho de Governança Ministerial

São responsabilidades da direção executiva do MCTIC:

● Patrocinar a disseminação do ​FGRE-MCTI​C e da ​GRE​ na ​unidade organizacional;​

2.2.3 Linhas de Defesa

2.2.3.1.1 ​Assessoria Especial de Controle Interno

São competências da ​AECI​no SGRE-MCTIC:

2.2.3.2 2º Linha de Defesa

2.2.3.2.1 Núcleo de Gestão de Riscos Estratégicos

2.1 Artefatos do Framework

2.1.1.1 Plano de Gestão de Riscos Estratégicos do MCTIC

● Riscos estratégicos​ chaves;

O ​PLANO DE GRE DO MCTIC deve ser reavaliado, e eventualmente revisado, anualmente,

2.1.1.3 Plano de Respostas aos Riscos Estratégicos

● Riscos estratégicos​ identificados para cada ​objetivo estratégico​;

2.1.2.1 Relatório de Acompanhamento da Gestão de Riscos Estratégicos do ​MCTIC

● Apuração dos indicadores de desempenho globais e setoriais do ​SGRE-MCTIC​;

2.1.2.2 Relatório de Acompanhamento da Gestão de Riscos Estratégicos Setorial

● Situação dos ​riscos estratégicos​ da u ​ reviamente identificados;

O ​processo de gestão de riscos estratégicos (​ ​GRE) do MCTIC será implantado e executado no

Os ​riscos estratégicos relacionados a um ​planejamento estratégico serão geridos por uma

O time de​ ​GRE​ será composto:

Figura 4: Etapas do ​processo de​ G

O planejamento da aplicação do ​processo de ​GRE setorial aos ​planejamentos estratégicos sob

O estabelecimento do contexto deve seguir os seguintes passos:

3.2 Identificação de Riscos

Esta etapa do processo de ​GRE compreende o reconhecimento e a descrição dos ​riscos

A identificação dos ​riscos estratégicos deve ser realizada em oficinas, envolvendo os

São dicas que facilitam a identificação de ​riscos estratégicos:​

3.3 Análise de Riscos

A análise do ​risco estratégico envolve a compreensão da sua probabilidade de ocorrência e

A análise dos ​riscos estratégicos​ deve seguir os seguintes passos:

As informações produzidas ao longo da execução desta etapa devem ser refletidas

A matriz probabilidade x impacto define o ​nível de criticidade dos ​riscos estratégicos a

Escala de impacto (1 a 5):

3.4 Avaliação de Riscos

LIMITES DE EXPOSIÇÃO AO RISCO

Para cada ​risco estratégico​ identificado e analisado:

As informações produzidas ao longo da execução desta etapa devem ser refletidas

A definição de respostas aos riscos estratégicos deve seguir os seguintes passos:

As informações produzidas ao longo da execução desta etapa devem ser refletidas

3.6 Controle de Riscos

O controle dos riscos deve seguir os seguintes passos:

As informações produzidas ao longo da execução desta etapa devem ser refletidas

Figura 10: micro-relacionamentos de suporte x riscos estratégicos x medidas de resposta (elaboração

Comunicar os ​riscos estratégicos de um ​planejamento estratégico envolve a consulta e a

As informações produzidas nestes passos devem ser refletidas continuamente e

As informações produzidas nestes passos devem ser refletidas continuamente e

4.1 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Institucionais

4.1.1.1 Mapa Estratégico

4.1.1.1.1 Integração em tempo de Elaboração

Os ​objetivos estratégicos da primeira perspectiva do mapa estratégico correspondem aos

Os indicadores estabelecidos para permitir a medição do progresso da realização destes

Todas as relações de causa e efeito entre um ​portfólio de esforços​, ​esforço ou ​objetivo

​ o painel de contribuição correspondem aos ​vértices que formam a

4.1.1.3 Esforços e Potfólios de Esforços Estratégicos

4.1.1.2.1 Integração em tempo de Elaboração

A integração em tempo de elaboração deve se dar ao longo de todo o esforço de desenho do

● Patrocinar a disseminação do FGRE-MCTIC e da GRE na unidade organizacional;

2.2.3.1.1 Assessoria Especial de Controle Interno

São competências da AECIno SGRE-MCTIC:

● Riscos estratégicos chaves;

O PLANO DE GRE DO MCTIC deve ser reavaliado, e eventualmente revisado, anualmente,

● Riscos estratégicos identificados para cada objetivo estratégico;

2.1.2.1 Relatório de Acompanhamento da Gestão de Riscos Estratégicos do MCTIC

● Apuração dos indicadores de desempenho globais e setoriais do SGRE-MCTIC;

● Situação dos riscos estratégicos da u reviamente identificados;

O processo de gestão de riscos estratégicos ( GRE) do MCTIC será implantado e executado no

Os riscos estratégicos relacionados a um planejamento estratégico serão geridos por uma

O time de GRE será composto:

Figura 4: Etapas do processo de G

O planejamento da aplicação do processo de GRE setorial aos planejamentos estratégicos sob

Esta etapa do processo de GRE compreende o reconhecimento e a descrição dos riscos

A identificação dos riscos estratégicos deve ser realizada em oficinas, envolvendo os

São dicas que facilitam a identificação de riscos estratégicos:

A análise do risco estratégico envolve a compreensão da sua probabilidade de ocorrência e

A análise dos riscos estratégicos deve seguir os seguintes passos:

A matriz probabilidade x impacto define o nível de criticidade dos riscos estratégicos a

Para cada risco estratégico identificado e analisado:

Comunicar os riscos estratégicos de um planejamento estratégico envolve a consulta e a

Os objetivos estratégicos da primeira perspectiva do mapa estratégico correspondem aos

Todas as relações de causa e efeito entre um portfólio de esforços, esforço ou objetivo

o painel de contribuição correspondem aos vértices que formam a

Estes objetivos estratégicos de esforços s ão os vértices que formam a segunda camada do

Todas as relações de causa e efeito entre um portfólio de esforços, esforço ou objetivo

o painel de contribuição correspondem aos vértices que formam a

Todas as relações de causa e efeito entre um portfólio de esforços, esforço ou objetivo

o painel de contribuição correspondem aos vértices que formam a

As perspectivas de sistema e de processo da GR, abordadas e integradas pelo modelo

Figura 15: Componentes da estrutura de GR (COSO, 2004).

Existe um relacionamento direto entre os objetivos e os componentes do GRC de uma

Figura 17: Componentes da GRC (COSO, 2017).

Figura 20: Princípios da GR (ISO, 2018).

O propósito do sistema da GR é apoiar a organização na integração da GR em atividades

Figura 21: Sistema de GR (ISO, 2018).

O processo de GR envolve a aplicação sistemática de políticas, procedimentos e práticas para

Figura 24: Estrutura de Governança da PG-APF.

No MCTIC o papel de CGI-Orgão é exercido pelo COGIR-MCTIC.

Os SGRCIs a serem implementados pelos órgãos da APF devem observar os seguintes

O FGRE-MCTIC oferece os subsídios para a implantação do Sistema de Gestão de Riscos

podem se constituir em instâncias de supervisão de controles.

Figura 25: Componentes da estrutura de GR (COSO, 2004).

A estrutura do modelo de GR definido pela IN MP/CGU-01/16 integra as perspectivas de

A PGR do MCTIC é parte da Política de Gestão da Integridade, Riscos e Controles Internos do

O dirigente máximo da organização é o principal responsável pelo estabelecimento do SGRCI

Segundo a PGIRC-MCTIC, as atividades de gestão da integridade, riscos e controles internos

A governança da G RE é um subconjunto da governança do SGIRC-MCTIC, se submete a ela e se

BRASIL. Ministério do Planejamento, Orçamento e Gestão. Manual de Gestão de Integridade, Riscos

BRASIL. Ministério da Transparência e Controladoria-Geral da União. Metodologia de Gestão de

BRASIL. Portaria nº 1.740, de 29 de março de 2018. Ministério de Ciência, Tecnologia, Inovações e

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION - COSO. Controle

DELOITTE.The value killers revisited: a risk management study, 2012.

GODET, M. Impacts croisé : exemples d’applications. Futuribles, n° 71, novembre 1983.

ORGANIZAÇÃO INTERNACIONAL DAS ENTIDADES FISCALIZADORAS SUPERIORES - INTOSAI. Princípios