Escolar Documentos
Profissional Documentos
Cultura Documentos
GESTÃO DE RISCOS
República Federativa do Brasil
Tribunal de Contas da União
Ministros
Ministros-Substitutos
SEGECEX/COGER
ABRIL - 2018
© Copyright 2018,
Tribunal de Contas de União
<www.tcu.gov.br>
Todavia, não raras vezes essas expectativas são frustradas e, ao se analisarem as causas
por trás das dificuldades da administração pública em corresponder a esses anseios,
depara-se não apenas com restrições orçamentárias e deficiências de diferentes natu-
rezas, mas principalmente com a baixa capacidade para lidar com riscos.
Diante desse cenário, a gestão e o controle da aplicação dos recursos públicos com
base em risco têm sido recomendações recorrentes deste Tribunal, conquanto reco-
nheça o fato de ser um desafio para a gestão das organizações públicas determinar
o quanto de risco aceitar na busca do melhor valor para os cidadãos.
Apesar de não ser nova a discussão sobre a necessidade de gerenciar riscos no setor
público, isso ainda é um paradigma a ser atingido. Persiste a necessidade não apenas de
estruturas e processos, mas também de uma cultura de gerenciamento de riscos, a fim
de contribuir para que a organização obtenha resultados com desempenho otimizado.
Minha expectativa – e a dos demais integrantes do Tribunal de Contas da União – é que esta
publicação seja útil na incorporação de boas práticas de gestão de riscos nas instituições, com
vistas a ajudar os gestores a implementar o novo marco regulatório da governança pública.
SUMÁRIO
REFERÊNCIAS BIBLIOGRÁFICAS 80
ANEXOS 87
ANEXO I – Relação da gestão de risco com outras disciplinas 88
ANEXO II – Política de gestão de riscos do TCU 92
ANEXO III – Exemplos no setor público 99
ANEXO IV – Critérios para avaliação da maturidade em gestão de riscos 100
ANEXO V – Acordão 2.467/2013 – TCU – Plenário 120
ANEXO VI – Acordão 1.273/2015 – TCU – Plenário 126
ANEXO VII – Acordão 2.127/2017– TCU – Plenário 130
ANEXO VIII – Instrução normativa conjunta MP/CGU Nº 01/2016 134
ANEXO IX – Glossário 149
CAPÍTULO 1
FUNDAMENTOS DE
GESTÃO DE RISCOS
CAPÍTULO 1. FUNDAMENTOS DE GESTÃO DE RISCOS
CAPÍTULO 1
FUNDAMENTOS DE
GESTÃO DE RISCOS
Risco é o efeito da incerteza sobre obje- não se sentem confortáveis com possíveis
tivos estabelecidos. É a possibilidade de efeitos da incerteza sobre seus objetivos.
ocorrência de eventos que afetem a reali-
zação ou alcance dos objetivos, combinada Desse modo, diante de um mesmo risco
com o impacto dessa ocorrência sobre os pessoas podem ter reações diferentes, a
resultados pretendidos. depender de sua maturidade e experiências
pregressas, de sua capacidade de evitar, mi-
Os riscos existem independentemente da tigar ou potencializar sua ocorrência, bem
atenção que damos a eles. Seja na nossa como de reduzir ou tolerar seu impacto.
vida cotidiana, seja no mundo corporativo,
estamos imersos em ambiente repleto de Em geral, à medida que amadurecemos
riscos, oportunidades e ameaças que, se não tomamos maior consciência do ambiente
gerenciados, podem comprometer o alcance em que estamos inseridos, ficamos mais
de objetivos almejados. hábeis na identificação de vulnerabilidades
(falhas ou fraquezas), mais aptos a identificar
A cada tomada de decisão, a cada movi- ameaças e oportunidades e, portanto, mais
mento que executamos, ou deixamos de prontos a identificar eventos que podem
executar, alteramos a probabilidade de impactar o alcance de nossos objetivos.
ocorrência de eventos futuros e, por con-
seguinte, ampliamos ou reduzimos o nível Ao analisarmos o ambiente em que es-
de riscos a que estamos expostos. tamos inseridos, e tendo em vista os ob-
jetivos estabelecidos, podemos decidir
Na vida, existem pessoas com maior ape- acerca de quais medidas ou controles
tite a riscos, que se dispõem a aceitar internos podem ser adotados para tratar
maiores níveis de risco por avaliarem que os potenciais riscos de sorte a mantê-los
os impactos positivos superam os negati- em níveis compatíveis com nosso apetite
vos. No extremo oposto, há pessoas que (aceitação) e tolerância (resiliência).
produzir análises mais simples ou robustas, nização, à luz do seu contexto, escolher
mais genéricas ou específicas, mais gerais os modelos e instrumentos que melhor se
ou precisas. Cabe a cada pessoa e orga- adequem à sua necessidade. g
MODELOS DE
GESTÃO DE RISCOS
CAPÍTULO 2
MODELOS DE
GESTÃO DE RISCOS
Gestão de riscos consiste em um conjunto Este capítulo apresenta os principais mo-
de atividades coordenadas para identificar, delos reconhecidos internacionalmente,
analisar, avaliar, tratar e monitorar riscos. que são utilizados pelas organizações para
É o processo que visa conferir razoável se- implementar a gestão de riscos de forma
gurança quanto ao alcance dos objetivos. consistente e sistematizada.
Adotar padrões e boas práticas estabe- Segundo Hubbard (2009), práticas relacio-
lecidos em modelos reconhecidos é uma nadas com a mitigação de riscos existiam
maneira eficaz de estabelecer uma abor- na antiga Babilônia, a exemplo de indeniza-
dagem sistemática, oportuna e estrutura- ções em caso de perdas por roubos e inun-
da para a gestão de riscos, que contribua dações, ou a seleção, feita pelos primordiais
para a eficiência e a obtenção de resulta- banqueiros, de devedores com maior capa-
dos consistentes (ABNT, 2009), evitando cidade de honrar seus empréstimos.
que a organização seja aparelhada com
uma coleção de instrumentos e procedi- No período recente, atribui-se a Frank Kni-
mentos burocráticos, descoordenados, ght a publicação, em 1921, de obra (Risk,
que podem levar à falsa impressão da exis- Uncertainty and Profit) que se tornou re-
tência de um sistema de gestão de riscos e ferência por estabelecer conceitos, definir
controle efetivo, mas que, na prática, não princípios e introduzir alguma sistemati-
garantem os benefícios desejados. zação ao tema (FRASER; SIMKINS, 2010).
1921 1975 1992 1995 2001 2002 2004 2009 2012 2015
Risk, The Risk COSO I, AS/NZS The Sarbanes- COSO II, ISO 31000, EFQM Início da
Uncertainty Management Cadbury 4360:1995 Orange Oxley Basileia II, Risk Mng. Excellence revisão da
and Profit Revolution Book Mng. AS/NZS Assessment Model ISO 31000
of Risk 4360:2004 Framework
Cinquenta anos depois, em 1975, a revista No mesmo ano, o relatório do Comitê Ca-
Fortune publicou o artigo The Risk Mana- dbury, do Reino Unido, atribui ao corpo
gement Revolution, um dos primeiros do- governante superior das entidades a res-
cumentos a tratar o tema sob o enfoque ponsabilidade por definir a política de
corporativo e a atribuir à alta administra- gestão de riscos, supervisionar o processo
ção a responsabilidade por instituir polí- de gestão e assegurar que a organização
ticas, supervisionar e coordenar as várias entenda os riscos aos quais está exposta
funções de riscos existentes em uma orga- (CADBURY, 1992).
nização (FRASER; SIMKINS, 2010).
Em 1995, esforço conjunto das entidades
No início dos anos 90, as bases para o que padronizadoras Standards Australia e Stan-
conhecemos como gestão de risco foram dards New Zealand resulta na publicação do
estabelecidas, mediante a publicação de primeiro modelo padrão oficial para a gestão
três documentos que se tornaram referên- de riscos, a norma técnica Risk Management
cia mundial no tema: o COSO I, o Cadbury Standard, AS/NZS 4360:1995. Nos anos que
e a AS/NZS 4360:1995. se seguiram, normas técnicas semelhantes
foram publicadas no Canadá, no Reino Unido
O guia Internal Control - Integrated Fra- e em outros países.
mework (COSO I), publicado em 1992 pelo
Committee of Sponsoring Organizations of No início do Século XXI, houve a consolida-
the Treadway Commission – COSO, conso- ção e disseminação de práticas de gestão de
lidou a ideia de gestão de risco corporati- risco corporativo. Entre as publicações que se
vo e apresentou um conjunto de princípios tornaram referências internacionais no tema
e boas práticas de gestão e controle inter- estão: o The Orange Book, a lei Sarbanes-
no (COSO, 1992). -Oxley, o COSO-ERM, o Acordo de Basileia
II, a AS/NZS 4360:2004 e a ISO 31000:2009.
O The Orange Book - Management of Risk - referência que estendeu o COSO I, tendo co-
Principles and Concepts1, produzido e publica- mo foco a gestão de riscos corporativos.
do pelo HM Treasury Britânico, foi a principal
referência do programa de gestão de riscos No mesmo ano foi firmado o Acordo de Ba-
do governo do Reino Unido, iniciado em 2001. sileia II, aplicável a instituições bancárias em
O modelo tem como vantagens, além de ser nível mundial, contendo requisitos especí-
compatível com padrões internacionais de ficos relacionados à gestão de riscos ope-
gestão de riscos, introduzir e tratar esse tema racionais (BCBS, 2004). Ainda em 2004 foi
complexo de forma simples e abrangente. lançada versão atualizada e expandida da
norma AS/NZS 4360 (AUSTRÁLIA, 2004).
Em 2002, um ano após o colapso da empresa
Enron, decorrente de esquema gigantesco de Em 2009 foi publicada a norma técnica ISO
ocultação e manipulação de dados contábeis 31000 Risk Management – Principles and Gui-
e falhas em auditorias, os Estados Unidos delines, que provê princípios e boas práticas
aprovaram a chamada Lei Sarbanes-Oxley. para um processo de gestão de riscos corpo-
Por meio dela, buscaram mitigar riscos, evitar rativos, aplicável a organizações de qualquer
a ocorrência de fraudes, proteger investidores setor, atividade e tamanho (ABNT, 2009) e é
e assegurar que as empresas que participam hoje uma das principais referências mundiais
do mercado acionário norte-americano pos- no tema. O modelo preconizado na ISO 31000
suam estruturas e mecanismos adequados de aprimorou os conceitos, as diretrizes e as prá-
governança (USA, 2002). ticas recomendadas em normas técnicas de
aplicação local que a precederam, como a AS/
Em 2004, o COSO publicou o Enterprise Risk NZS 4360. A partir de 2015 iniciou-se o pro-
Management - Integrated Framework (conheci- cesso de revisão da ISO 31000 pelo Comitê
do como COSO-ERM ou COSO II), modelo de Técnico da ISO ISO/TC 262/WG2.
1 Com base no Orange Book, o Ministério do Planejamento, Orçamento e Gestão produziu o Guia de Orientação para o Geren-
ciamento de Riscos, para apoiar o Modelo de Excelência do Sistema de Gestão Pública (GESPÚBLICA) e prover uma introdução
ao tema gerenciamento de riscos (BRASIL, 2013).
ntif ão I nt e
Subsidiária
ica de
A seguir são apresentados quatro modelos ç O rno
Ava ã o d e b j e t i v
de referência que devem ser estudados e liaç Eve os
Ati Res ão de ntos
Nível de Organização
Observe-se que a face superior do cubo Risco com Estratégia e Desempenho” – para
apresenta as categorias de objetivos que destacar a importância da gestão de riscos
são comuns a todas as organizações e que na definição e na execução da estratégia e
a gestão de riscos deve fornecer seguran- na gestão do desempenho organizacional.
ça razoável de seu alcance; a face lateral Com a incorporação dessa perspectiva, o
esquerda indica os componentes que de- modelo proporciona maior alinhamento às
vem estar presentes e funcionando de mo- expectativas em torno das responsabilida-
do integrado à rotina da organização para des das instâncias de governança e da al-
que a gestão de riscos seja eficaz; e a face ta administração no cumprimento das suas
lateral direita representa a estrutura orga- obrigações de accountability.
nizacional, os diversos níveis e/ou funções
da organização, incluindo projetos, proces- O COSO GRC revisa e atualiza os componen-
sos e demais atividades que concorrem pa- tes do COSO II, adota princípios, simplifica
ra a realização dos seus objetivos. suas definições, enfatiza o papel da cultu-
ra e melhora o foco no valor, isto é, como
Alinhando risco com estratégia e as organizações criam, preservam e realizam
desempenho (COSO GRC) valor, inserindo a gestão de riscos em três
dimensões que são fundamentais à gestão
Em junho de 2016, o COSO colocou em de uma organização: (1) missão, visão e va-
consulta pública uma revisão do modelo de lores centrais; (2) objetivos estratégicos e de
2004, adotando um novo título – “Alinhando negócios; e (3) desempenho organizacional.
TO DE RISCOS COR
IAMEN POR
NC AT
RE I
VO
GE
OBJETIVOS
MISSÃO, VISÃO, DESEMPENHO
ESTRATÉGICOS
VALORES FUNDAMENTAIS OTIMIZADO
E DE NEGÓCIOS
g Figura 3: Modelo de gestão de riscos COSO GRC 2016 em consulta pública (COSO, 2016, tradução livre).
a) Cria valor
d) Aborda Processo de
avaliação
explicitamente de riscos
a incerteza Concepção
da estrutura
e) Sistemática, para
estruturada e gerenciar Identificação
oportuna riscos de riscos
f) Baseada nas
melhores
informações
j) Dinâmica, Monitoramento
interativa e capaz e análise Tratamento
de reagir a mudanças crítica da de riscos
estrutura
k) Facilita a melhoria
contínua da
organização
g Figura 4: Relação entre princípios, estrutura e processo de gestão de risco (ABNT, 2009).
CAPACIDADES RESULTADOS
Pessoas
Parcerias
INOVAÇÃO E APRENDIZADO
g Figura 5: Modelo de avaliação da gestão de riscos do Reino Unido (REINO UNIDO, 2009).
Esse modelo foi selecionado para integrar a ficamente para organizações públicas e por
base conceitual do modelo de avaliação da incorporar o componente denominado par-
maturidade em gestão de riscos que se ve- cerias2, considerado relevante para as carac-
rá adiante, por ter sido desenvolvido especi- terísticas do setor público. g
2 Quando o ente público se vale de outros agentes para alcançar seus objetivos e resultados pretendidos (BRASIL, 2013).
PROCESSO DE
GESTÃO DE RISCOS
CAPÍTULO 3
PROCESSO DE GESTÃO
DE RISCOS
Este capítulo descreve o processo de gestão Ressalte-se que a documentação das ati-
de riscos com fundamento na norma ISO vidades realizadas durante o processo
31000. Observe-se que as etapas do proces- de gestão de riscos constitui importante
so de gestão de riscos são basicamente as instrumento de accountability 3, além de
mesmas nos diversos modelos citados neste facilitar a comunicação com as partes inte-
referencial, com algumas variações termino- ressadas. Por essa razão, na descrição de
lógicas (por exemplo, o COSO II denomina cada etapa do processo, indicamos alguns
“resposta a risco” o que a ISO 31000 chama tipos de documentos e informações essen-
de “tratamento de riscos”). ciais que convém armazenar como parte
do registro de riscos.
O processo de gestão de riscos envolve a
identificação, a análise e a avaliação de riscos, Considerando que a proposta da ISO
a seleção e a implementação de respostas aos 3100 0 é harmonizar os processos de
riscos avaliados, o monitoramento de riscos e gestão de riscos entre os diversos mode-
controles, e a comunicação sobre riscos com los, fornecendo uma abordagem comum
partes interessadas, internas e externas. Esse para aplicação em ampla gama de ativi-
processo é aplicado a uma ampla gama das dades, utilizaremos o modelo desta norma
atividades da organização, em todos os níveis, para descrever o processo de gestão de
incluindo estratégias, decisões, operações, riscos, que compreende as atividades des-
processos, funções, projetos, produtos, servi- critas nas subseções 5.2 a 5.6 da norma
ços e ativos, e é suportado pela cultura e pela ABNT NBR ISO 31000:2009.
estrutura de gestão de riscos da entidade.
3 Accountability pública – obrigação que têm as pessoas, físicas ou jurídicas, públicas ou privadas, às quais se tenha
confiado recursos públicos, de assumir as responsabilidades de ordem fiscal, gerencial e programática que lhes foram
conferidas, e de informar a sociedade e a quem lhes delegou essas responsabilidades sobre o cumprimento de objetivos e
metas e o desempenho alcançado na gestão dos recursos públicos. É, ainda, obrigação imposta a uma pessoa ou entidade
auditada de demonstrar que administrou ou controlou os recursos que lhe foram confiados em conformidade com os termos
segundo os quais eles lhe foram entregues (Normas de Auditoria do TCU).
O nível de risco inerente (NRI) é o nível seus impactos nos objetivos, incluindo con-
de risco antes da consideração das res- troles internos. Resulta da combinação da
postas que a Administração adota para probabilidade com o impacto (no nosso
reduzir a probabilidade do evento ou os exemplo, por meio de multiplicação).
Os resultados das combinações de probabili- escala de níveis de risco, podem ser expressos
dade e impacto, classificados de acordo com a em uma matriz, como a exemplificada adiante.
MATRIZ DE RISCOS
10 20 50 80 100
Muito
Alto
10
RM RM RA RE RE
8 16 40 64 80
Alto
8
RB RM RA RA RE
IMPACTO
5 10 25 40 50
Médio
5
RB RM RM RA RA
2 4 10 16 20
Baixo
2
RB RB RM RM RM
1 2 5 8 10
Muito
Baixo
1
RB RB RB RB RM
Muito Baixa Baixa Média Alta Muito Alta
1 2 5 8 10
PROBABILIDADE
g Quadro 5: Exemplo de registro de riscos parcial com níveis de risco inerente calculados (BRASIL, 2012,
adaptado).
g Quadro 6: Exemplo de escala para avaliação de controles (adaptado de DANTAS et al, 2010; AVA-
LOS, 2009, adaptado).
Fraco Controles têm abordagens ad hoc, tendem a ser aplicados caso Alto
a caso, a responsabilidade é individual, havendo elevado grau de
NC = 20% (0,2) confiança no conhecimento das pessoas. 0,8
Mediano Controles implementados mitigam alguns aspectos do risco, mas não Médio
contemplam todos os aspectos relevantes do risco devido a deficiên-
NC = 40% (0,4) cias no desenho ou nas ferramentas utilizadas. 0,6
g Quadro 7: Exemplo de registro de riscos parcial com níveis de risco residual calculados (BRASIL,
2012, adaptado).
NÍVEL DE RIS-
RISCOS NÍVEL DE RISCO EFICÁCIA DO RISCO DE
P I CO RESIDUAL
IDENTIFICADOS INERENTE (NRI) CONTROLE CONTROLE (RC)
(NRR)
Risco 1 Alta - 8 M. Alto - 10 RE - 80 Inexistente 1,0 RE - 80
Risco 2 Média - 5 Alto - 8 RM - 40 Mediano 0,6 RM - 24
Risco 3 Baixa - 2 Alto - 5 RM - 10 Fraco 0,8 RB - 8
dos controles internos existentes, as con- Nessa etapa, portanto, se faz uso da compre-
siderações quanto à sua eficácia e o risco ensão e do nível do risco obtidos na etapa de
de controle; e (e) o nível de risco inerente análise de riscos para tomar decisões acerca
e o residual. dos riscos analisados, em especial: (a) se um
determinado risco precisa de tratamento e a
AVALIAÇÃO DE RISCOS prioridade para isso; (b) se uma determinada
atividade deve ser realizada ou descontinua-
A finalidade da avaliação de riscos é au- da; e (c) se controles internos devem ser im-
xiliar na tomada de decisões, com base plementados ou, se já existirem, se devem
nos resultados da análise de riscos, sobre ser modificados, mantidos ou eliminados.
quais riscos necessitam de tratamento e
a prioridade para a implementação do Uma boa prática para apoiar o processo
tratamento. Envolve comparar o nível de de avaliação de riscos é estabelecer crité-
risco com os critérios de risco estabeleci- rios para priorização e tratamento associa-
dos quando o contexto foi considerado, dos aos níveis de risco (nível recomendado
para determinar se o risco e/ou sua mag- de atenção, tempo de resposta requerido,
nitude é aceitável ou tolerável ou se al- quem deve ser comunicado etc.). Segue-se
gum tratamento é exigido (ABNT, 2009). um exemplo simples.
Uma forma especial de se mitigar riscos é de mínima de risco residual, mas se gerar
a preparação por meio da gestão da con- um risco residual acima dos limites de ex-
tinuidade de negócios. Avaliar essa opção posição estabelecidos, os gestores terão
de tratamento é especialmente importante que reconsiderar a opção de resposta ou
quando ocorrem as seguintes condições: a) rever os limites (INTOSAI, 2007).
o objeto da gestão é atividade ou processo
crítico da organização, portanto o impacto O processo de tratamento é cíclico e inclui: a)
é muito alto; b) o evento de risco tem baixa avaliação do tratamento já realizado; b) ava-
probabilidade, o que poderia levar à falsa liação se os níveis de risco residual são tolerá-
impressão de que o nível do risco poderia veis; c) se não forem, definição e implemen-
ser tolerado após a implantação de con- tação de tratamento adicional; e, d) avaliação
troles preventivos. Porém, nesses casos, da eficácia desse tratamento (ABNT, 2009).
convém assumir que o evento de risco irá
se concretizar algum dia e, a depender da A documentação desta etapa integra o re-
criticidade do objeto afetado, avalia-se a ne- gistro de riscos da organização e constitui
cessidade de um controle reativo específico: um plano de tratamento de riscos que deve
plano de continuidade do negócio. O obje- definir a ordem de prioridade para a im-
tivo desse tipo de preparação é recuperar o plementação de cada ação de tratamento,
funcionamento da atividade ou processo de bem como identificar: (a) as razões para a
trabalho afetado, normalmente em outro lo- seleção das opções de tratamento, incluin-
cal, em tempo hábil e com o nível de desem- do os benefícios esperados; (b)os respon-
penho adequado aos objetivos da institui- sáveis pela aprovação e pela implemen-
ção. Os eventos de riscos que são tratados tação do plano; (c) as ações propostas, os
nesses casos são geralmente catastróficos, recursos requeridos, incluindo arranjos de
a exemplo de: incêndios, inundações, terre- contingência, e o cronograma; (d) as me-
motos, epidemias etc. Os principais recursos didas de desempenho e os requisitos para
afetados nesses casos são processos, insta- prestação de informações; e (e) as formas
lações, equipamentos, pessoas e tecnolo- de monitoramento da implementação do
gia, e o foco das ações será recuperá-los ou tratamento e dos riscos (ABNT, 2009).
substituí-los, independentemente do tipo
do evento de risco ou da sua fonte. MONITORAMENTO E ANÁLISE CRÍTICA
TÉCNICAS PARA
GESTÃO DE RISCOS
CAPÍTULO 4
A matriz de riscos é conhecida como “matriz da fase de análise dos riscos e, finalmente, a
de probabilidade/consequência” e constitui matriz de probabilidade/consequência, utili-
apenas uma das possíveis técnicas que po- zável tanto na fase de análise como na fase
dem ser utilizadas para auxiliar a identifica- de avaliação dos riscos.
ção, análise e avaliação de riscos.
PRIORIZAÇÃO DE PROCESSOS
A seguir, descrevem-se sumariamente outras
técnicas que podem ser utilizadas por ges- Ainda que a gestão de riscos deva ser parte
tores e pelo pessoal envolvido na realização integrante de todos os processos organiza-
dessas atividades. As três primeiras técnicas cionais (princípio previsto pela ISO 31000),
listadas possuem natureza basilar e podem ela não deve ser aplicada a todos os seus
servir como alternativas para implementar processos com a mesma intensidade, visto
algumas das demais técnicas aqui citadas. que os recursos da organização são limita-
dos. Naturalmente o investimento na ges-
Ressalte-se que é comum a aplicação de tão de riscos deve ser maior nos processos
mais de uma técnica sobre certo objeto que mais entregam ou devem entregar va-
avaliado, haja vista que cada uma delas tem lor para as partes interessadas, bem como
maior ou menor aplicabilidade às etapas nas atividades de suporte que podem estar
de identificação, análise ou avaliação de limitando a capacidade de entrega dos pro-
riscos, conforme aponta a norma NBR ISO/ cessos finalísticos.
IEC 31010 (ABNT, 2012).
Uma ferramenta útil à compreensão de como
Um possível exemplo do uso conjunto dessas se organizam os processos de uma organiza-
técnicas poderia ser a utilização de brains- ção é a cadeia de valor. Na cadeia de valor,
tormings ou entrevistas na fase de identifi- os macroprocessos finalísticos e de suporte,
cação de riscos, mais o uso de análise Bow bem como os processos que compõem cada
Tie ou “E se” estruturado como ferramentas macroprocesso são representados grafica-
Provimento
Gestão e suporte
e vigilância
organizacionais
da infraestrutura do SFN
Promover planejamento,
Regular a infraestrutura organização
do SFN Prover sistemas de compensação
Gerir comunicação
e acompanhamento de gestão e de liquidação
Prover meio circulante Realizar a gestão da ética
Prover educação corporativa Efetuar vigilância disciplinar
e a correição do Sistema
de Pagamentos Brasileiro
Prover segurança institucional Gerir pessoas
Elaborar estudos, pesquisas, Prover e gerenciar tecnologias de MACROPRODUTO
relatórios e estatísticas informação e comunicação (TIC) Gestão e suporte
do BC providos
Exercer procuratório e prestar Gerir conhecimento, informação
consultoria jurídica e documentação
Gerenciar riscos corporativos e Realizar auditoria interna
continuidade de negócio
Administrar patrimônio e
Administrar orçamento, finanças serviços de apoio
e contabilidade 1o nivel 2o nivel
g Figura 8: Cadeia de valor do Banco Central do Brasil com macroprocessos de primeiro e segundo níveis
P = RE * Mat/M
g Figura 9: Exemplo de escalas para medição das variáveis consideradas para a priorização de processos.
PONTOS DE ESCALA
FATORES
1 2 3 4
RISCO
Su
Causa RE1
a) CAUSAS
(fragilidades e outras
CONSEQUÊNCIAS
(possíveis efeitos
fontes internas/externas,
resultantes da ocorrência
que podem propiciar a
do evento)
ocorrência do evento)
Controle preventivo
EVENTO
(risco)
Controle atenuante
INFRAESTRUTURA (R)
(R) INVESTIMENTO
PREÇO DE
COMPETIÇÃO
(B)
IMPORTAÇÃO
REVELA ESTRUTURAS
ADICIONAIS
PENSAMENTO 8
SISTÊMICO
COMPREENSÃO
DE DIFERENTES
PERSPECTIVAS
3 DO SISTEMA
COMPREENSÃO DA
ESTRUTURA DO SISTEMA
7
1 2
REDUÇÃO DA
RECONHECIMENTO IDENTIFICAÇÃO E COMPLEXIDADE
DE INTERCONEXÕES COMPREENSÃO DE POR MEIO DA
FEEDBACKS MODELAGEM
6
COMPREENSÃO DE
COMPORTAMENTOS DINÂMICOS 9
4 5 CAPACIDADE DE
IDENTIFICAR E
DIFERENCIAÇÃO IDENTIFICAÇÃO E COMPREENDER SISTEMAS,
DE TIPOS DE COMPREENSÃO DE PREVER COMPORTAMENTOS
VARIÁVEIS, FLUXOS RELAÇÕES NÃO E REALIZAR MUDANÇAS
E ESTOQUE LINEARES
LIDERANÇA
PARA RISCO
CAPÍTULO 5
para melhor gerenciar os riscos durante a re- a avaliação de um sistema efetivo de gestão
alização desses objetivos (IIA, 2013). Assim, de riscos e controle interno, bem como de
a instância máxima de governança e a alta utilizar as informações resultantes desse sis-
administração têm a responsabilidade de tema para apoiar seus processos decisórios
assegurar a existência, o monitoramento e e gerenciar riscos estratégicos (TCU, 2014).
Sociedade
Conselho de
administração
ou equivalente
Instâncias
externas de Instâncias internas
apoio à Alta de apoio
governança Administração à governança
Auditoria Administração executiva Auditoria interna
independente
(autoridade máxima e Comissões e comitês
Controle social dirigentes superiores)
organizado Ouvidoria
Gestão tática
(dirigentes)
Gestão
operacional
(gerentes)
GESTÃO
g Figura 13: Sistema de governança de órgãos e entidades da administração pública (TCU, 2014).
a) fornecer métodos, técnicas, e ferra- Além disso, pode haver uma função ou
mentas para unidades de negócios unidade organizacional de compliance que
com a finalidade de identificar, ava- monitore riscos específicos de não conformi-
liar, tratar e monitorar riscos; dade com leis e regulamentos, reportando-
-se diretamente às instâncias de governança
b) definir funções e responsabilidades ou à alta administração e aos órgãos re-
pela gestão de riscos nas unidades guladores; ou ainda múltiplas funções de
de negócio; compliance com responsabilidade por tipos
específicos de monitoramento da conformi-
c) promover competência em gestão dade, como saúde e segurança, cadeia de
de riscos pela organização; fornecimento, licitações e contratos, meio-
-ambiente e controle de qualidade, além de
d) orientar a integração da gestão de ris- uma função de controladoria que monitore
cos com outras atividades de gestão; os riscos financeiros e questões de reporte
financeiro (IIA, 2013).
e) estabelecer uma linguagem comum
de gestão de riscos, que inclua me- Em organizações pequenas, com operações
didas comuns de probabilidade, im- e regulamentação de baixa complexidade,
pacto e categorias de riscos; a responsabilidade pela coordenação das
atividades de gestão de riscos pode ser
f) comunicar ao presidente e à diretoria atribuída a uma área que cuide do plane-
executiva o andamento da gestão de jamento ou controladoria, ou ainda a uma
riscos (COSO, 2006; IIA, 2009). assessoria do dirigente máximo.
Facilitar a identificação
e avaliação de riscos
Coordenar as ativi
nsolid e
Mante
ada
Orie forma co r riscos d
os r ção
Def
s
isco
r e des
ta a stra
end
GR
De
r ta
i
er a
spo min
sen
ela
Re Repo
envolv
vol
imp
d
vis
ep
R
na r a a
s
eG
ar
ver
dades de GR
r-s
lant
ag
od
ntar
er a es
est
iza
sãoar ga es e
ss
açã
tão o
rat
bil
isc
ce
r
cor ant r
pro
nsa
égi
de ea
o
trutura
ret ia d tit
d
ro
ris
ad
a
spo
pe
aG
Ava m e
e qu
te e os os-c
c ce a bre
eG
li n e ir o
ele
repo ar o p s soscos
R
Re
n e
R
efi
tab
h õ
de GR
isco de os m a
s-ch To resp
Dar ga a iscos
rantia
dos pr
ves
sp o stas aistrração
ocess ntar re dmin
os de
GR Implanome da a
Avaliar o proces em
s
so de GR tração de risco
Gar antir a adminis
g Figura 14: O papel da auditoria interna na gestão de riscos (adaptado de IIA, 2009a).
Quando uma organização não dispõe de A abordagem das Três Linhas de Defesa,
um processo formal de gestão de riscos, a embora não seja um modelo de gestão
auditoria interna deve levar o fato à aten- de riscos, é uma forma simples e eficaz
ção das instâncias de governança e à alta para melhorar a comunicação e a cons-
administração, recomendando o estabe- cientização sobre os papéis e as respon-
lecimento de tal processo, podendo assu- sabilidades essenciais de gestão de riscos
mir um envolvimento direto nos primeiros e controles, aplicável a qualquer organi-
estágios de sua implementação, mediante zação – não importando o seu tamanho
trabalhos de consultoria. Entretanto, se a ou a sua complexidade – ainda que não
auditoria interna ainda não tiver adotado exista uma estrutura ou sistema formal de
uma abordagem baseada em risco, repre- gestão de riscos.
sentada pelas atividades de asseguração
descritas à esquerda da Figura 12, é im- Por essa abordagem, há três grupos (ou
provável que esteja apta a desempenhar linhas) envolvidos no gerenciamento eficaz
as atividades de consultoria descritas no de riscos, como explanado a seguir:
centro dessa figura (IIA, 2009).
Alta Administração
Auditoria Externa
Regulador
1a LINHA DE DEFESA 2a LINHA DE DEFESA 3a LINHA DE DEFESA
Controle Financeiro
Segurança
Medidas de Gerenciamento de Riscos
Controles da Auditoria
Controle
Gerência Interna
Interno Qualidade
Inspeção
Conformidade
BOAS PRÁTICAS DE
GESTÃO DE RISCOS
CAPÍTULO 6
BOAS PRÁTICAS DE
GESTÃO DE RISCOS
Delegação e compromisso
Concepção do framework
/ modelo / estrutura de
gestão de riscos
Monitoramento e revisão
do framework
g Figura 16: Relacionamento entre os componentes da estrutura para gerenciar riscos, adaptado de ISO 31000:2009
a) Quais são os macroprocessos identificados como relevantes na fase de levantamento dos riscos?
PROCESSOS b) Quais são os princípios que irão nortear eventual redesenho dos processos?
CRÍTICOS c) Qual é o mecanismo para se descontinuar e/ou criar processos novos a partir da
(PARA O GRCORP) implantação do modelo de GRCorp?
d) Quais são as ações críticas para mitigar os riscos relevantes?
4 O TCU dispõe de Política de Gestão de Riscos, que consta da Resolução nº 287/2017 e do Anexo II dessa publicação.
5 Alguns exemplos de iniciativas nacionais afetas à gestão de riscos encontram-se no Anexo III.
6 O TCU dispõe de Referencial de Combate a Fraude e Corrupção, disponível na biblioteca de publicações e no site htt://www.
governancapublica.gov.br.
g Quadro 11: Insumos para formulação de arquitetura para o GRCorp, adaptado de IBGC (2007).
Findas as etapas de delegação e concep- Ressalte-se, por oportuno, que, a fim de as-
ção, inicia-se a implementação. Na imple- segurar que a gestão de riscos seja eficaz
mentação da estrutura de gestão de riscos, e contribua para o desempenho organiza-
conforme a ABNT ISO/IEC 31000, convém cional, a ABNT ISO/IEC 31000 recomenda
que: se defina a estratégia e o momento que as organizações monitorem e analisem
apropriado para implementação da estru- criticamente a estrutura estabelecida. Para
tura; aplique-se a política e o processo de tanto, orientam-nas a: medir o desempenho
gestão de riscos aos processos organizacio- da gestão de riscos utilizando indicadores,
nais; atenda-se aos requisitos legais e regu- os quais devem ser analisados criticamente
lamentares; assegure-se de que a tomada de forma periódica para garantir sua ade-
de decisões, incluindo o desenvolvimento quação; medir periodicamente o progresso
e o estabelecimento de objetivos, esteja obtido ou o desvio em relação ao plano de
alinhada com os resultados dos processos gestão de riscos; analisar criticamente e de
de gestão de riscos; mantenham-se sessões forma periódica se a política, o plano e a
de informação e treinamento; e consulte-se estrutura da gestão de riscos ainda são apro-
e comunique-se com as partes interessadas priados, dado o contexto externo e interno
para assegurar que a estrutura da gestão das organizações; reportar sobre os riscos,
de riscos continua apropriada. sobre o progresso do plano de gestão de
riscos e como a política de gestão de riscos
está sendo seguida, e analisar criticamente
a eficácia da estrutura da gestão de riscos. g
MODELO DE
AVALIAÇÃO
CAPÍTULO 7
MODELO DE AVALIAÇÃO
Como forma de contribuir com o monitora- e 2016), ABNT NBR ISO 31000 Gestão de
mento, a revisão e a melhoria contínua dos Riscos – Princípios e Diretrizes (ABNT, 2009)
modelos de gestão de risco adotados pela e Orange Book (UK, 2004 e 2009), bem
administração pública, o TCU desenvolveu um como pela IN-MP/CGU Nº 1/2016.
modelo de avaliação da maturidade organi-
zacional em gestão de riscos, publicado pela O modelo é composto de quatro dimensões
Portaria-Segecex nº 9, de 18 de maio de 2017. e sua aplicação apoia-se nos critérios des-
critos no Anexo IV – Critérios para avalia-
Tal modelo tem por referência boas práticas ção da maturidade em gestão de riscos, que
preconizadas pelo COSO GRC (COSO, 2004 também indica as fontes dos critérios.
PROCESSOS
Identificação e Análise de riscos
Avaliação e Resposta a riscos
Monitoramento e Comunicação
AMBIENTE
RESULTADOS
Liderança
Eficácia da gestão de riscos
Políticas e Estratégias
Resultados organizacionais
Pessoas
PARCERIAS
g Figura 17: Modelo de avaliação da maturidade em gestão de riscos proposto pelo TCU (BRASIL, 2013).
para assegurar que sejam tomadas decisões alcance de objetivos comuns de um setor
conscientes, razoáveis e efetivas para o tra- estatal ou de uma política pública envolve
tamento dos riscos identificados como signi- parcerias com outras organizações públi-
ficativos, e para reforçar a responsabilidade cas ou privadas, procurando avaliar em que
das pessoas designadas para implementar medida a organização estabelece arranjos
e reportar as ações de tratamento. com clareza sobre quais riscos serão ge-
renciados e por quem, e como se darão
Monitoramento e comunicação as trocas de informações sobre o assunto,
de modo a assegurar que haja um enten-
Nesta seção, busca-se avaliar em que medida dimento comum sobre os riscos e sobre o
as atividades de monitoramento e comunica- seu gerenciamento.
ção relacionada a riscos e controles com partes
interessadas, internas e externas, estão esta- DIMENSÃO - RESULTADOS
belecidas e são aplicadas de forma consistente
na organização, para garantir que a gestão de Esta dimensão trata de aspectos relaciona-
riscos e os controles sejam eficazes e eficientes dos aos efeitos das práticas de gestão de
quanto a seu desenho e operação. riscos, procurando avaliar em que medida
a gestão de riscos tem sido eficaz para a
DIMENSÃO - PARCERIAS melhoria dos processos de governança e
gestão e os resultados da gestão de riscos
Parcerias são quaisquer arranjos estabe- têm contribuído para os objetivos relacio-
lecidos para possibilitar relacionamento nados à eficiência das operações, à quali-
colaborativo entre partes, visando o al- dade de bens e serviços, à transparência
cance de objetivos de interesse comum. e à prestação de contas e ao cumprimento
As parcerias são usualmente estabelecidas de leis e regulamentos.
para atingir um objetivo estratégico ou a
entrega de um produto ou serviço, sendo A razão de ser da gestão de riscos é
formalizadas por um determinado período, apoiar as organizações na consecução
implicando a negociação e o claro enten- dos resultados planejados. Portanto, todos
dimento das funções de cada parte, bem os objetivos relevantes da organização
como dos benefícios decorrentes (BRASIL, devem fazer parte do escopo da gestão
2009, p. 21). Envolvem, portanto riscos e de riscos, que deverá contribuir para que
benefícios compartilhados. haja efeitos positivos no alcance de todos
eles. Os efeitos produzidos pela gestão
Esta dimensão trata de aspectos relaciona- de riscos em uma organização se dão em
dos à gestão de riscos no âmbito de polí- duas esferas: uma de efeitos imediatos e
ticas de gestão compartilhadas, quando o outra de efeitos mediatos.
EXEMPLO
DIMENSÃO PESO
IMD PESO PONDERADO
De 0% a 20% Inicial
REFERÊNCIAS
BIBLIOGRÁFICAS
______. ______. Técnica de grupo focal para CADBURY, A. Report of the Committee
auditorias. Brasília: TCU, Secretaria de Méto- on the financial aspects of corporate go-
dos Aplicados e Suporte à Auditoria (Seaud), vernance. Londres: Gee and Company
2013b. Disponível em: <http://www.tcu.gov. Ltd, 1992. Disponível em: <http://www.
br>. Acesso em: março, 2017. ecgi.org/codes/documents/cadbury.pdf>.
Acesso em: maio, 2016.
______. ______. Resolução-TCU nº 246, de 30
de novembro de 2011. Altera o Regimen- CANADÁ. Secretaria do Conselho do Te-
to Interno do Tribunal de Contas da União, souro do Canadá. Framework for the mana-
aprovado pela Resolução TCU nº 155, de 4 gement of risk. Ottawa, 2010a. Disponível
de dezembro de 2002. Brasília, 2015. Dispo- em: <http://www.tbs-sct.gc.ca/pol/doc-eng.
nível em: <http://www.tcu.gov.br>. Acesso aspx?id=19422§ion=text>. Acesso em:
em: março, 2017. maio de 2012.
DAHMS, T. Risk management and corporate FRASER, J.; SIMKINS, B. J. Enterprise risk ma-
governance: are they the same? 2008. Dispo- nagement: today’s leading research and best
nível em: <http://www.plumcon.com.au/PDF/ practices for tomorrow’s executives. New
Risk_Gov_1.pdf>. Acesso em: junho de 2013. Jersey (EUA): John Wiley & Sons, Inc., 2010.
Disponível em: <http://www.amazon.com/En-
DANTAS, José Alves; RODRIGUES, Fernanda terprise-Risk-Management-Practices-Executi-
Fernandes; MARCELINO, Gileno Fernandes; ves/dp/0470499087>. Acesso em: maio, 2016.
LUSTOSA, Paulo Roberto Barbosa. Custo-be-
nefício do controle: proposta de um método HUBBARD, Douglas W. The Failure of Risk
para avaliação com base no COSO. Revista de Management: Why It’s Broken and How to Fix
Contabilidade, Gestão e Governança. 2010. It. New Jersey (EUA): John Wiley & Sons, Inc.,
2009. Disponível em: <http://www.amazon.
DE CICCO, Francesco (Rev.). Gestão de com/Failure-Risk-Management-Why-Broken/
Riscos: Diretrizes para implementação da dp/0470387955>. Acesso em: maio, 2016.
ISO 31000:2009 (Série Risk Management).
Risk Tecnologia Editora, 2009. INTERNATIONAL FEDERATION OF AC-
COUNTANTS - IFAC. Governance in the
DICKSON, P. G. M. The Sun Insurance Office, public sector: a governing body perspecti-
1710-1960: the history of two and a half cen- ve. International public sector study nº 13,
turies of British insurance. Londres, Oxford 2001. Disponivel em: <http://www.ifac.org/
University Press, Reino Unido, 1960. Dispo- publications-resources/study-13-governan-
nível em: <http://www.worldcat.org/title/ ce-public-sector>. Acesso em: maio, 2016.
sun-insurance-office-1710-1960-the-history-
-of-two-and-a-half-centuries-of-british-insu- ______. Comparison of Principles. Nova
rance/oclc/251088>. Acesso em: maio, 2016. Iorque, NY (EUA), 2013. Disponivel em:
______. Declaração de Posicionamento do IIA: MARTINS, N. C.; SANTOS, L. R.; DIAS FILHO,
O Papel da Auditoria Interna no Gerenciamento J. M. Governança empresarial, riscos e contro-
de Riscos. Flórida, 2009. Tradução: Instituto dos les internos: a emergência de um novo modelo
Auditores Internos do Brasil. São Paulo, 2009a. de controladoria. Revista Contabilidade & Fi-
nanças, São Paulo,n. 34, p. 7-22, jan./abr. 2004.
______. Declaração de Posicionamento do
IIA: As Três Linhas de Defesa no gerencia- ORGANISATION FOR ECONOMIC COO-
mento eficaz de riscos e controles. Flórida, PERATION AND DEVELOPMENT - OCDE.
2013. Tradução: Instituto dos Auditores In- Avaliações da OCDE Sobre Governança Pú-
ternos do Brasil. São Paulo, 2013. blica: Avaliação da OCDE sobre o Sistema de
Integridade da Administração Pública Fede-
INTOSAI (International Organization of Su- ral Brasileira - Gerenciando riscos por uma
preme Audit Institutions). Reporting Stan- administração pública mais íntegra. OECD
dards in Government Auditing (ISSAI 400). Publishing, 2011. Disponível em: <http://
ANEXO I
RELAÇÃO DA GESTÃO DE RISCO
COM OUTRAS DISCIPLINAS
Todas as atividades de uma organização ção pública. Dessa forma, a gestão de riscos
envolvem riscos, decorrentes da natureza pode auxiliar nos esforços de otimização do
das atividades, de realidades emergentes, desempenho da administração pública e dos
de mudanças nas circunstâncias e nas de- resultados entregues à sociedade.
mandas sociais e da própria dinâmica da ad-
ministração pública. Riscos também surgem A gestão de riscos não ocorre de forma
da necessidade de prestar contas e dar mais isolada. Na verdade, se integra a diversos
transparência à gestão, bem como de cum- outros elementos, tais como accountability,
prir variados requisitos legais e regulatórios. governança, gestão e controle interno.
of Public Finance and Accountancy – CIPFA, tração para assegurar a razoável segurança
o Office for Public Management Ltd – OPM, no alcance de objetivos. Quando tal proces-
a Independent Commission for Good Go- so fundamenta-se na aplicação de práticas
vernance in Public Services – ICGGPS, o de gestão de riscos, podemos referir-nos a
Banco Mundial e o Institute of Internal Au- ele como o processo de gestão de riscos e
ditors – IIA concordam que a existência de controle interno ou sistema de gestão de
um sistema efetivo de gestão de riscos é riscos e controles internos, esta última a no-
componente essencial para a boa gover- menclatura adotada no “Referencial Básico
nança no setor público. de Governança Aplicável a Órgãos e Entida-
des da Administração Pública”, publicado
No setor público, a boa gestão de riscos pelo TCU em 2014. De acordo com esse
contribui para: maior eficiência e eficácia referencial, é responsabilidade da alta ad-
operacional; possibilidade maior de alcan- ministração das organizações estabelecer,
çar objetivos relativos a serviços e políticas monitorar e avaliar o sistema de gestão de
públicas; maior confiança dos cidadãos; riscos e controles internos (BRASIL, 2014).
melhora das informações para a tomada
de decisões e o direcionamento estraté- É importante não confundir controle inter-
gico; melhora na prevenção de perdas e no com a função ou unidade organizacional
na gestão de incidentes; atendimento a de auditoria interna. A auditoria interna tem
requisitos legais e regulamentares aplicá- importante papel no processo ou sistema de
veis (BRASIL, 2013). gestão de riscos e controle interno, como visto
em seção anterior, porém não deve ser en-
A gestão de riscos é componente essencial tendida como sinônimo de “controle interno”.
da governança institucional, servindo de re-
ferência para a definição e a implantação de Quanto aos controles internos, ou simples-
medidas mitigadoras e/ou controles internos. mente controles, referem-se ao conjunto de
regras, procedimentos, diretrizes, protocolos,
Controles internos ou atividades de con- rotinas de sistemas informatizados, confe-
trole são ações estabelecidas por meio rências e trâmites de documentos e infor-
de políticas e procedimentos que ajudam mações, entre outros, operacionalizados de
a garantir o cumprimento das diretrizes forma integrada pela direção e pelo corpo
determinadas pela administração para mi- de servidores das organizações, com vistas
tigar os riscos à realização dos objetivos a enfrentar os riscos. Convém que controles
(COSO, 2013). internos sejam implementados somente após
adequada identificação, análise e avaliação
Controle interno refere-se ao processo or- dos riscos, conforme orientado na seção que
ganizacional estabelecido pela alta adminis- descreve o processo de gestão de riscos.
GOVERNANÇA
ANEXO II
POLÍTICA DE GESTÃO DE RISCOS DO TCU
Dispõe sobre a política de gestão de riscos do Tribunal de Contas da União e altera as Re-
soluções-TCU 266, de 30 de dezembro de 2014, que define a estrutura, as competências e a
distribuição das funções de confiança das unidades da Secretaria do Tribunal de Contas da
União; a 261, de 11 de junho de 2014, que dispõe sobre a Política de Segurança Institucional
(PSI/TCU) e o Sistema de Gestão de Segurança Institucional do Tribunal de Contas da União
(SGSIN/TCU); e a 247, de 7 de dezembro de 2011, que dispõe sobre a Política de Governança
de Tecnologia da Informação do Tribunal de Contas da União.
§ 5º Compete ao dirigente de cada unidade § 11. Ato do Presidente pode designar outros
básica examinar propostas de alterações no gestores de riscos.
SGR/TCU, monitorar riscos-chave e propor
limites de exposição a riscos relacionados à § 12. Compete à Seaud avaliar o SGR/
sua área de atuação e designar coordenador TCU, especialmente quanto aos seguintes
setorial de gestão de riscos. aspectos: adequação e suficiência dos me-
canismos de gestão de riscos estabelecidos,
§ 6º Coordenador setorial de gestão de eficácia da gestão de riscos-chave e confor-
riscos é a pessoa ou unidade responsável midade das atividades executadas à política
por coordenar ações e promover a execução de gestão de riscos.
Art. 13. Fica incluído o inciso IX no art. 10 da tê-la atualizada diante de mudanças no
Resolução-TCU nº 247, de 2011, que passa a ambiente interno ou externo, a partir de
vigorar com a seguinte redação: proposta elaborada pela Seplan.
7 http://www.planejamento.gov.br/assuntos/gestao/controle-interno/manual-de-girc/view
8 https://juslaboris.tst.jus.br/handle/1939/73831
9 http://www.tce.ms.gov.br/portal/download.php?caminho=1&arquivo=MTU2Mi5wZGY=
10 https://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?arquivo=/Lists/Normativos/Attachments/50344/
Res_4557_v1_O.pdf
11 http://www.bb.com.br/docs/pub/siteEsp/ri/pt/dce/dwn/RelRis.pdf
ANEXO IV
CRITÉRIOS PARA AVALIAÇÃO DA MATURIDADE
EM GESTÃO DE RISCOS
1. AMBIENTE
Nesta dimensão, busca-se avaliar as capacidades existentes na organização em termos de liderança,
políticas, estratégias e de preparo das pessoas, incluindo aspectos relacionados com cultura, a governança
de riscos e a consideração do risco na definição da estratégia e dos objetivos em todos os níveis, para
que a gestão de riscos tenha as condições necessárias para prosperar e fornecer segurança razoável do
cumprimento da missão institucional na geração de valor para as partes interessadas.
1.1. Liderança
Nesta seção, busca-se avaliar em que medida os responsáveis pela governança e a alta administração
exercem suas responsabilidades de governança de riscos e cultura, assumindo um compromisso forte e
sustentado e exercendo supervisão para obter comprometimento com a gestão de riscos em todos os níveis
da organização, promovendo-a e dando suporte, de modo que possam ter uma expectativa razoável de que no
cumprimento da sua missão institucional, a organização entende e é capaz de gerenciar os riscos associados
à sua estratégia para atingir os seus objetivos de agregar, preservar e entregar valor às partes interessadas,
tendo o cidadão e a sociedade como vetores principais.
Cultura
1.1.1. A alta administração e os responsáveis pela governança reconhecem
importância da cultura, integridade e valores éticos, e da consciência IN-MP/CGU Nº
de riscos como aspectos-chave para o reforço da accountability: 1/2016, Art. 8º, I e II;
Art. 11, I; Art. 16, I e
Art. 21;
a) fornecendo normas, orientações e supervisionando a inclusão desses
aspectos-chave nos programas de apoio ao desenvolvimento de gestores; COSO GRC 2004, 2;
COSO GRC Public
b) reforçando o comprometimento das lideranças com a cultura de gestão Exposure (PE) 2016,
baseada em riscos e com os valores fundamentais da organização; e Princípios 3, 4 e 5;
ISO 31000:2009, 3,
c) instituindo políticas, programas e medidas definindo padrões de “h” e 4.2;
comportamento desejáveis, tais como códigos de ética e de con- OCDE, 2011.
duta, canais de comunicação para cima e de denúncia, ouvidoria, e
avaliação da aderência à integridade e aos valores éticos.
IN-MP/CGU Nº 1/2016,
Art. 8º, VI; Art. 14, IV;
b) os objetivos de negócios específicos associados a todas as atividades, Art. 16, II.
em todos os níveis, nas categorias operacional, de divulgação (trans-
COSO GRC 2004, 3;
parência e prestação de contas) e de conformidade e as respectivas
COSO GRC PE 2016,
tolerâncias a risco (ou variações aceitáveis no desempenho), alinhados
Princípios 9, 10 e 11;
aos objetivos estratégicos e ao apetite a risco estabelecidos.
INTOSAI GOV
9130/2007, 1.3 e 2.2.
IN-MP/CGU Nº 1/2016,
d) diretrizes sobre como e com qual periodicidade riscos devem ser iden- Art. 17, II, “b” e 18; ISO
31000:2009, 4.3.4 e
tificados, avaliados, tratados, monitorados e comunicados, através
4.4.2. COSO GRC 2004,
de um plano de implementação do processo de gestão de riscos, em
4 a 9; COSO GRC PE
todos os níveis, funções e processos relevantes da organização; 2016, Princípios 12 a
16 e 21.
IN-MP/CGU Nº 1/2016,
Art. 17, II, “c”; ISO
e) diretrizes sobre como o desempenho da gestão de riscos, a adequação 31000:2009, 4.3.2,
da estrutura, a aplicação do processo de gestão de riscos e a efetivi- 4.3.3 e 4.5; COSO GRC
dade da política de gestão de riscos serão medidos e reportados; e 2004, 8 e 9; COSO GRC
PE 2016, Princípios 20
e 21.
IN-MP/CGU Nº 1/2016,
f) atribuição clara de competências e responsabilidades pelo monitora- Art. 17, II, “c” e III; ISO
mento, análise crítica e melhoria contínua da gestão de riscos, bem 31000:2009, 4.3.3, 4.5
como diretrizes sobre a forma e a periodicidade como as alterações e 4.6. COSO GRC 2004,
devem ser efetivadas. 9; COSO GRC PE 2016,
Princípios 22 e 23.
1.3. Pessoas
Nesta seção, busca-se avaliar em que medida as pessoas na organização estão informadas, habilitadas
e autorizadas para exercer seus papéis e suas responsabilidades no gerenciamento de riscos e controles;
entendem esses papéis e os limites de suas responsabilidades, e como os seus cargos se encaixam na
estrutura de gerenciamento de riscos e controle interno da organização.
IN-MP/CGU Nº 1/2016,
Reforço da Accountability
Art. 11, IV e II; e Art. 16,
1.3.1. Todo o pessoal na organização, inclusive prestadores de serviços e outras
III a VI;
partes relacionadas, recebe uma mensagem clara da gestão quanto à
importância de se levar a sério suas responsabilidades de gerenciamento INTOSAI GOV
riscos, bem como é orientado e sabe como proceder para encaminhar 9130/2007, 2.7.3.
assuntos relacionados a risco às instâncias pertinentes. Ademais, o pes- ISO 31000:2009, 5.2.
soal designado para atividades de identificação, avaliação e tratamento
COSO GRC 2004, 2, 8 e
de riscos recebe capacitação suficiente para executá-las, inclusive no
10; COSO GRC PE 2016,
que diz respeito à identificação de oportunidades e à inovação.
Princípios 3, 5, 20.
IN-MP/CGU Nº 1/2016,
a) Na primeira linha de defesa, os gestores: Art. 2º, III; e Art. 3º;
I. têm plena consciência de sua propriedade sobre os riscos, de sua IIA 2013, As Três Linhas
de Defesa no gerencia-
responsabilidade primária pela identificação e gerenciamento dos
mento eficaz de riscos e
riscos e pela manutenção de controles internos eficazes; e
controles.
II. são regularmente capacitados para conduzir o processo de gestão
COSO GRC 2004, 10;
de riscos em suas áreas de responsabilidade e para orientar as suas COSO GRC PE 2016,
equipes sobre esse tema. Princípios 2, 5 e Apên-
dice B.
IN-MP/CGU Nº 1/2016,
c) Na terceira linha de defesa, o pessoal que integra a auditoria interna, Art. 2º, III;
especialmente o dirigente dessa função:
IIA 2009, O papel da
I. tem conhecimento dos papéis fundamentais que a função de auditoria Auditoria Interna no
interna deve assumir em relação ao gerenciamento de riscos, dos que gerenciamento de riscos
não deve assumir e dos que pode assumir com salvaguardas à inde- corporativo;
pendência, previstos na Declaração de Posicionamento do IIA: “O papel IIA 2013, As Três Linhas
da Auditoria Interna no gerenciamento eficaz de riscos corporativo”, e de Defesa no gerencia-
de fato exerce seus papéis em conformidade com essas orientações; mento eficaz de riscos e
II. tem compreensão clara da estratégia da organização e de como ela é controles;
executada, incluindo objetivos, metas, riscos associados e como esses COSO GRC 2004, 10;
riscos são gerenciados, e alinha as atividades da auditoria interna com COSO GRC PE 2016,
as prioridades da organização; Princípios 2, 5 e Apên-
dice B.
III. detém as competências necessárias para utilizar uma abordagem siste-
mática e disciplinada baseada no risco, para avaliar e melhorar a eficácia IIA IPPF Norma 2010,
dos processos de gerenciamento de riscos, controle e governança. 2100, 2110 e 2210.
RES CNJ 171/2013, Art.
10 e 12.
2. PROCESSO
Nesta dimensão, examinam-se os processos de gestão de riscos adotados pela gestão, procurando avaliar
em que medida a organização dispõe de um modelo de processo formal, com padrões e critérios definidos
para a identificação, a análise e a avaliação de riscos; para a seleção e a implementação de respostas
aos riscos avaliados; para o monitoramento de riscos e controles; e para a comunicação sobre riscos com
partes interessadas, internas e externas.
Estabelecimento do contexto
2.1.1. O processo de identificação de riscos é precedido de uma etapa de esta- ISO 31000:2009, 5.3.
belecimento do contexto envolvendo o entendimento, por parte de todos
COSO GRC 2004, 4;
os participantes do processo, da organização, dos seus objetivos-chave
e do ambiente no qual eles são perseguidos, com o fim de obter uma COSO GRC PE 2016,
visão abrangente dos fatores internos e externos que podem influenciar Princípio 7.
a capacidade da organização de atingir seus objetivos, incluindo:
IN-MP/CGU Nº 1/2016,
Art. 8º, VI; Art. 16, II;
a) a identificação dos objetivos-chave da atividade, do processo ou do
projeto objeto da identificação e análise de riscos é realizada con- ISO 31000:2009, 5.3.3,
siderando o contexto dos objetivos-chave da organização como um “a” e “b”;
todo, de modo a assegurar que os riscos significativos do objeto sejam COSO GRC 2004, 3;
apropriadamente identificados;
COSO GRC PE 2016,
Princípio 10.
IN-MP/CGU Nº 1/2016,
Art. 22;
b) a identificação das partes interessadas (internas e externas), bem
como a identificação e a apreciação das suas necessidades, expec- ISO 31000:2009, 5.3.2
tativas legítimas e preocupações, de modo a incluir essas partes in- e 5.3.3;
teressadas em cada etapa do processo de gestão de riscos, por meio COSO GRC 2004, 3;
de comunicação e consulta; e
COSO GRC PE 2016, 1,
item 1.
IN-MP/CGU Nº 1/2016,
c) a comunicação e consulta com partes interessadas (internas e externas) Art. 22;
para assegurar que as suas visões e percepções, incluindo necessidades,
ISO 31000:2009, 5.2.
suposições, conceitos e preocupações sejam identificadas, registradas
e levadas em consideração no processo de gestão de riscos; COSO GRC PE 2016,
Princípio 20.
a) são envolvidas pessoas com conhecimento adequado, bem como os ISO 31000:2009, 5.4.2
gestores executivos das respectivas áreas; e A.3.2.
h) o risco residual.
2.2.3. Todos os responsáveis pelo tratamento de riscos são envolvidos no pro- IN-MP/CGU Nº 1/2016,
cesso de seleção das opções de resposta e na elaboração dos planos Art. 20;
de tratamento, bem como são formalmente comunicados das ações de
tratamento decididas, para garantir que sejam adequadamente com- ISO 31000:2009, 5.5.2
preendidas, se comprometam e sejam responsabilizados por elas. e A.3.2;
c) as respostas a riscos selecionadas e as razões para a seleção das ISO 31000:2009, 5.5.3
opções de tratamento, incluindo a justificativa de custo-benefício; e 5.7.
Informação e comunicação
2.3.1. As atividades de informação e comunicação estão estabelecidas em IN-MP/CGU Nº 1/2016,
diretrizes e protocolos efetivamente aplicados durante o processo de Art. 16, VII;
gerenciamento de riscos: ISO 31000:2009, 5.2 e
A.3.4;
a) diretrizes e protocolos estão estabelecidos para viabilizar o compartilha-
mento de informações sobre riscos e a comunicação clara, transparente, COSO GRC 2004, 8;
tempestiva, relevante e recíproca entre pessoas e grupos de profissionais COSO GRC PE 2016,
no âmbito da organização, para que se mantenham informados e habili- Princípio 20.
tados para exercer suas responsabilidades no gerenciamento de riscos; e
b) há efetiva comunicação e consulta às partes interessadas internas e ex- ISO 31000:2009, 5.2 e
ternas durante todas as fases do processo de gestão de riscos. A.3.4.
Sistema de informação
2.3.2. A gestão de riscos é apoiada por um registro de riscos ou sistema de
informação que:
a) apoia a gestão de riscos da organização e facilita a comunicação ISO 31000:2009, 5.7.
entre pessoas e grupos de profissionais com responsabilidades sobre
o processo de gestão de riscos, permitindo uma visão integrada das
atividades de identificação, análise, avaliação, tratamento e monito-
ramento de riscos, incluindo a sua documentação; e
a) estabelece planos anuais ou plurianuais baseados em riscos, de modo IIA IPPF Norma 2010,
a alinhar as atividades da auditoria interna com as prioridades da 2100 e 2110.
organização e garantir que os seus recursos são alocados em áreas
de maior risco, para avaliar e melhorar a eficácia dos processos de RES CNJ 171/2013, Art.
gerenciamento de riscos, controle e governança; 10 e 12.
b) utiliza abordagem baseada em risco ao definir o escopo e planejar a IIA IPPF Norma 2201 e
natureza, época e extensão dos procedimentos de auditoria em seus 2210.
trabalhos, incluindo a identificação e análise dos riscos e o exame de RES CNJ 171/2013,
como eles são gerenciados pela gestão da área responsável; e Art. 24.
3. PARCERIAS
Nesta dimensão, examinam-se os aspectos relacionados à gestão de riscos no âmbito de políticas de gestão
compartilhadas (quando o alcance de objetivos comuns de um setor estatal ou de uma política pública
envolve parcerias com outras organizações públicas ou privadas), procurando avaliar em que medida a
organização estabelece arranjos com clareza sobre quais riscos serão gerenciados e por quem, e como se
darão as trocas de informações sobre o assunto, de modo a assegurar que haja um entendimento comum
sobre os riscos e o seu gerenciamento.
IN-MP/CGU Nº
3.1.6. Há informação regular e confiável para permitir que cada organização 1/2016, Art. 16, VII;ISO
parceira monitore os riscos e o desempenho em relação a cada 31000:2009, 5.2 e
objetivo, meta ou resultado esperado. A.3.4; COSO GRC PE
2016, Princípio 20.
4. RESULTADOS
Nesta dimensão, examinam-se os efeitos das práticas de gestão de riscos, procurando avaliar em que medida
a gestão de riscos tem sido eficaz para a melhoria dos processos de governança e gestão e os resultados da
gestão de riscos têm contribuído para o alcance dos objetivos relacionados à eficiência das operações, à qua-
lidade de bens e serviços, à transparência e à prestação de contas e ao cumprimento de leis e regulamentos.
IN-MP/CGU Nº 1/2016,
Art. 8º, II; Arts. 19, 20,
Integração da gestão de riscos aos processos organizacionais
21, parágrafo único, 22
4.1.1. Os responsáveis pela governança e a alta administração sabem até que e 23;
ponto a administração estabeleceu uma gestão de riscos eficaz, inte-
grada e coordenada por todas as áreas, funções e atividades relevantes ISO 31000:2009, 4.3.4
e críticas para a realização dos objetivos-chave da organização, tendo e A.3.5;
consciência do nível de maturidade atual e do progresso das ações em COSO GRC 2004, 10.
curso para atingir ao nível almejado.
COSO GRC PE 2016,
Princípio 1.
IN-MP/CGU Nº 1/2016,
4.1.2. Os objetivos-chave, que traduzem o conjunto de valores a serem gerados, Art. 22;
preservados e/ou entregues à sociedade estão identificados e refletidos
ISO 31000:2009, 3 “a”
na cadeia de valor, na missão e visão e da organização e nos seus
e 5.3.1;
valores fundamentais, formando a base para a definição da estratégia
e a fixação de objetivos estratégicos e de negócios. COSO GRC 2004/2016,
Premissa.
IN-MP/CGU Nº 1/2016,
4.1.4. Estão identificados, avaliados e sob tratamento e monitoramento os Art. 20;
principais riscos relacionados a cada objetivo, meta ou resultado chave ISO 31000:2009, A.2 e
pretendido de todas as áreas, funções e atividades relevantes para a re- A.3.2.
alização dos objetivos-chave da organização, com o desempenho sendo COSO GRC 2004, 4;
comunicado aos níveis apropriados da administração e da governança. COSO GRC PE 2016,
Princípios 12 a 16.
ANEXO V
ACÓRDÃO 2.467/2013 – TCU – Plenário
FICHA-SÍNTESE DO ACÓRDÃO
2.467/2013 – TCU – PLENÁRIO
RELATORA: MINISTRA ANA ARRAES
TC 011.745/2012-6
Organizações públicas, privadas e do terceiro Levantamento conduzido pelo TCU entre no-
setor estão expostas a uma ampla gama de vembro de 2012 e fevereiro de 2013 com 65
riscos que podem afetar suas operações e o entidades da administração pública federal indi-
alcance de seus objetivos. Para aumentar a reta brasileira teve por objetivo avaliar a maturi-
chance de alcançar os resultados pretendidos, dade da gestão de riscos dessas organizações.
as organizações devem gerenciar de forma O levantamento buscou também identificar os
sistemática seus riscos, o que requer contar aspectos da gestão de riscos que necessitam
com um processo de identificação, avaliação e ser aperfeiçoados pelas organizações e captar
implementação de respostas a riscos. A gestão informações relevantes para o planejamento de
de riscos também exige que os riscos e o sis- futuras ações de controle do TCU.
tema de gestão de riscos sejam monitorados.
Com base em modelos de referência, em
A gestão de riscos é um elemento essencial especial COSO ERM e ISO 31000, o TCU ela-
para a boa governança corporativa justamen- borou indicador de maturidade12 em gestão
te porque contribui para reduzir as incertezas de riscos composto por itens agrupados em
que cercam o alcance de resultados. Conhe- quatro dimensões fundamentais de análise:
cer o grau de maturidade da gestão de riscos 1) ambiente de gestão de riscos; 2) proces-
de organizações públicas é importante para sos de gestão de riscos; 3) gestão de riscos
que o TCU possa fazer recomendações de em parcerias; e 4) resultados obtidos com a
caráter estruturante para a melhoria da go- gestão de riscos. Cada dimensão do modelo
vernança e assim contribuir para a efetividade foi detalhada em subdimensões, conforme
das políticas e dos serviços públicos. indicado na figura abaixo.
12 Nesse levantamento foi utilizada uma versão ANTERIOR do modelo de avaliação descrito no capítulo 7 deste referencial.
AMBIENTE
RESULTADOS
Liderança
Eficácia da gestão de riscos
Políticas e Estratégias
Resultados organizacionais
Pessoas
PARCERIAS
g Figura 21: Modelo de maturidade utilizado no levantamento conduzido pelo TCU em 2012/2013
100%
AVANÇADO
80% APRIMORADO
60% INTERMEDIÁRIO
40% BÁSICO
INICIAL
20%
0%
AUTARQUIA EMPR. PÚBLICA SOC. EC. MISTA
30
20
10
0
INICIAL BÁSICO INTERMEDIÁRIO APRIMORADO AVANÇADO
ANEXO VI
ACÓRDÃO 1.273/2015 – TCU – Plenário
FICHA-SÍNTESE DO ACÓRDÃO
1.273/2015 – TCU – PLENÁRIO
RELATOR: MINISTRO AUGUSTO NARDES
TC Nº 020.830/2014-9
50%
40%
30%
20%
10%
0%
C11 C111 C112 C113 C114 C115 C116 C117 C11 C111 C112 C113 C114 C115 C116 C117
C111 - Diretrizes para gestão de riscos e estabelecimento de contro- C114 - Controles internos para reduzir os riscos críticos identificados
les internos estão definidas, e incluem a definição da tolerân- estão implantados.
cia ao risco, de papéis e responsabilidades, de critérios de
classificação de riscos. C115 - Plano de continuidade, relacionado aos elementos críticos de
sua área de atuação, está implantado.
C112 - O processo de gestão de riscos está implantado e contempla
os seguintes componentes: ambiente de controle; fixação de C116 - A responsabilidade por coordenar a estrutura de gestão de
objetivos; avaliação de riscos; atividades de controle; infor- riscos da organização está atribuida.
mação e comunicação; atividades de monitoramento. C117 - As instâncias internas de governança utilizam as informações
C113 - Riscos críticos da organização estão identificados. resultantes do processo de gestão de riscos para apoiar seus
processos decisórios.
g Figura 22: Resultado do levantamento nacional de governança, no que tange à gestão de riscos (2014).
ANEXO VII
ACÓRDÃO 2.127/2017– TCU – Plenário
FICHA-SÍNTESE DO ACÓRDÃO
2.127/2017– TCU – PLENÁRIO
RELATOR: MINISTRO-SUBSTITUTO
MARCOS BEMQUERER
TC Nº 018.218/2017-2
ANEXO VIII
INSTRUÇÃO NORMATIVA CONJUNTA
MP/CGU Nº 01/2016
Art. 1º Os órgãos e entidades do Poder Exe- II – apetite a risco: nível de risco que uma
cutivo federal deverão adotar medidas para organização está disposta a aceitar;
a sistematização de práticas relacionadas à
gestão de riscos, aos controles internos, e à III – auditoria interna: atividade independen-
governança. te e objetiva de avaliação e de consultoria,
VIII – governança: combinação de processos XV – risco residual: risco a que uma organiza-
e estruturas implantadas pela alta adminis- ção está exposta após a implementação de
tração, para informar, dirigir, administrar e ações gerenciais para o tratamento do risco; e
monitorar as atividades da organização, com
o intuito de alcançar os seus objetivos; XVI – Sistema de Controle Interno do
Poder Executivo federal: compreende as
IX – governança no setor público: compre- atividades de avaliação do cumprimento
ende essencialmente os mecanismos de das metas previstas no plano plurianual,
liderança, estratégia e controle postos em da execução dos programas de governo e
prática para avaliar, direcionar e monitorar dos orçamentos da União e de avaliação da
a atuação da gestão, com vistas à condu- gestão dos administradores públicos fede-
ção de políticas públicas e à prestação de rais, utilizando como instrumentos a audi-
serviços de interesse da sociedade; toria e a fiscalização, e tendo como órgão
central a Controladoria Geral da União. Não
X – incerteza: incapacidade de saber com an- se confunde com os controles internos da
tecedência a real probabilidade ou impacto gestão, de responsabilidade de cada órgão
de eventos futuros; e entidade do Poder Executivo federal.
XII – Política de gestão de riscos: declaração Art. 3º Os órgãos e entidades do Poder Exe-
das intenções e diretrizes gerais de uma or- cutivo federal deverão implementar, manter,
ganização relacionadas à gestão de riscos; monitorar e revisar os controles internos da
gestão, tendo por base a identificação, a
XIII – risco: possibilidade de ocorrência de avaliação e o gerenciamento de riscos que
um evento que venha a ter impacto no cum- possam impactar a consecução dos obje-
primento dos objetivos. O risco é medido tivos estabelecidos pelo Poder Público. Os
em termos de impacto e de probabilidade; controles internos da gestão se constituem
na primeira linha (ou camada) de defesa das
XIV – risco inerente: risco a que uma or- organizações públicas para propiciar o alcance
ganização está exposta sem considerar de seus objetivos. Esses controles são ope-
quaisquer ações gerenciais que possam rados por todos os agentes públicos respon-
reduzir a probabilidade de sua ocorrência sáveis pela condução de atividades e tarefas,
ou seu impacto; no âmbito dos macroprocessos finalísticos e
de apoio dos órgãos e entidades do Poder
nos, oferecendo suporte necessário para sua I – avaliar a política de gestão de riscos
efetiva implementação no órgão ou entidade; dos órgãos e entidades do Poder Execu-
tivo federal;
X – estabelecer limites de exposição a ris-
cos globais do órgão, bem com os limites II – avaliar se os procedimentos de gestão
de alçada ao nível de unidade, política pú- de riscos estão de acordo com a política de
blica, ou atividade; gestão de riscos; e
XII – emitir recomendação para o aprimora- Art. 25. Esta Instrução Normativa Conjunta
mento da governança, da gestão de riscos entra em vigor na data de sua publicação.
e dos controles internos; e
para mitigar os riscos à realização dos ob- ção, que podem impactar a implementação
jetivos (COSO, 2013). da estratégia e a realização de objetivos de
modo negativo, positivo ou ambos (INTO-
Avaliação de riscos – processo de comparar SAI, 2007). Eventos com impacto negativo
os resultados da análise de riscos com os representam riscos. Eventos com impacto
critérios de risco da organização, para de- positivo representam oportunidades; ocor-
terminar se um risco e/ou sua magnitude é rência ou mudança em um conjunto espe-
aceitável ou tolerável (ABNT, 2009). cífico de circunstâncias, podendo consistir
em alguma coisa não acontecer. A expressão
Consequência – resultado de um evento que “eventos potenciais” é muitas vezes utilizada
afeta positiva ou negativamente os objetivos para caracterizar riscos (ABNT, 2009).
da organização.
Evitar risco – ver Resposta a risco.
Controles internos – ver Atividades de con-
trole. Fonte de risco – elemento que, individual-
mente ou combinado, tem o potencial intrín-
Critérios de auditoria – referências usadas seco para dar origem ao risco (ABNT, 2009).
para mensurar ou avaliar o objeto de audi-
toria (ISSAI 100; ISA/NBCTA Estrutura Con- Gerenciamento de riscos - aplicação de
ceitual para trabalhos de asseguração). O uma arquitetura (princípios, estrutura e
referencial que indica o estado requerido processo) para identificar riscos, analisar e
ou desejado ou a expectativa em relação avaliar se devem ser modificados por algum
ao objeto de auditoria. Reflete como deve- tratamento a fim de atender critérios de
ria ser a gestão, provendo o contexto para risco. Ao longo desse processo, comunica-se
compreensão dos achados de auditoria e e consulta-se as partes interessadas, moni-
para a avaliação das evidências de auditoria tora-se e analisa-se criticamente os riscos
(BRASIL, 2011). e os controles que os modificam, a fim de
assegurar que nenhum tratamento de risco
Estrutura de gestão de riscos – conjunto de adicional é requerido (ABNT, 2009).
componentes que fornecem os fundamentos
e os arranjos organizacionais para a concep- Gerenciamento de riscos corporativos – pro-
ção, implementação, monitoramento, análise cesso efetuado pelo conselho de administra-
crítica e melhoria contínua da gestão de riscos ção, gestores e outras pessoas, aplicado na
através de toda a organização (ABNT, 2009). definição da estratégia e através de toda a en-
tidade, estruturado para identificar potenciais
Evento – um incidente ou uma ocorrência eventos que possam afetar a entidade e ge-
de fontes internas ou externas à organiza- renciá-los para mantê-los dentro de seu ape-
Respostas a risco – opções e ações geren- Risco operacional – risco de perdas resul-
ciais para tratamento de riscos. Inclui evitar tantes direta ou indiretamente de falha ou
o risco pela decisão de não iniciar ou des- inadequação de processos internos, pessoas
continuar a atividade que dá origem ao risco e sistemas ou de eventos externos.
porque o risco está além do apetite a risco
da organização e outra resposta não é apli- Risco residual – o risco retido de forma cons-
cável; transferir ou compartilhar o risco com ciente ou não pela administração, que rema-
outra parte; aceitar o risco por uma escolha nesce mesmo após o tratamento de riscos.
consciente; ou mitigar o risco diminuindo sua
probabilidade de ocorrência ou minimizando Risco significativo – aquele com grande pro-
suas consequências (INTOSAI, 2007). babilidade de ocorrer e, se ocorrer, ter um im-
pacto relevante nos objetivos (LONGO, 2011).
Risco – possibilidade de um evento ocorrer
e afetar adversamente a realização de obje- Riscos-chave – riscos estratégicos e riscos
tivos (COSO GRC, 2004); possibilidade de operacionais relevantes para o negócio, rela-
algo acontecer e ter impacto nos objetivos, cionados aos objetivos-chave da organização.
sendo medido em termos de consequências
e probabilidades (BRASIL, 2010c); efeito da Transferir risco – Ver Repostas a riscos.
incerteza nos objetivos (ABNT, 2009).
Tratamento de riscos – processo de imple-
Risco de controle – possibilidade de que mentar respostas a risco selecionadas. Ver
os controles adotados pela administração Repostas a riscos.
não sejam eficazes para tratar o risco a
que se propõe. Valor público – produtos e resultados
gerados, preservados ou entregues pelas
Risco de oportunidade – risco associado a atividades de uma organização pública que
aproveitar oportunidades que podem gerar representem respostas efetivas e úteis às
benefícios à organização. necessidades ou demandas de interesse
público e modifiquem certos aspectos
Risco estratégico – risco de longo prazo ou do conjunto da sociedade ou de alguns
risco de oportunidade relacionado aos obje- grupos específicos reconhecidos como
tivos estratégicos e às estratégias adotadas destinatários legítimos de bens e serviços
para alcançá-los. públicos (SERRA, 2008).
Responsabilidade Editorial
• Secretaria-Geral da Presidência (Segepres)
• Secretaria de Comunicação (Secom)
• Núcleo de Criação e Editoração (NCE)
Fotos
• Istock
Visão
Ser referência na promoção de uma Administração
Pública efetiva, ética, ágil e responsável.
www.tcu.gov.br