Estágio Setorial de Gestão de Riscos e Controles Internos da

Gestão

4º Centro de Gestão, Contabilidade e Finanças do Exército

4º CGCFEx

“Gerindo recursos para gerar poder de combate”

Apostila de Gestão de Riscos nº 1

(2021)
 GESTÃO DE RISCOS

Apresentação Inicial
A presente apostila traz conceitos importantes a respeito da Gestão de Riscos, objetivando
facilitar o entendimento do assunto e seu processo de execução na Unidade Gestora.
O material foi elaborado com o intuito de facilitar a aprendizagem autônoma, abordando
conteúdos especialmente selecionados, adotando uma linguagem que facilite seu estudo a distância.
Todo conteúdo foi extraído de legislações atinentes ao tema, mas ele não substitui o que
consta nas fontes originais.
Bom estudo e sucesso no aprendizado!

I - INTRODUÇÃO

1. Conceito
De acordo com o dicionário Aurélio, risco pode ser compreendido como: perigo,
probabilidade ou possibilidade de perigo, estar em risco.
No âmbito do Exército, o risco é compreendido como possibilidade de ocorrência de um
evento que venha a ter impacto no cumprimento dos objetivos. O risco será medido em termos de
probabilidade e de impacto.
Para a boa compreensão do tema em estudo, interessante se faz conhecer outros conceitos
atinentes ao tema que são expostos abaixo, iniciando-se pela apresentação das três portarias que
regem o assunto no âmbito do Exército Brasileiro, objeto do presente estágio, como segue:

1.1. Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização
relacionadas à gestão de riscos (inciso XII do art. 2º da IN Conj. nº 01 CGU/MP de 10 MAI16);
1.1.1. Política de Gestão de Riscos do Exército Brasileiro (EB10-P-01.004), 2ª Edição, 2018,
aprovada pela Portaria nº 004-Cmt EB, de 03 JAN 19, com as seguintes finalidades:
a. estabelecer princípios, objetivos e diretrizes gerais para a gestão de riscos e dos controles
internos da gestão relacionados aos planos estratégicos, programas, projetos e processos, de acordo
com as normas internas do EB; e
b. definir a estrutura de gestão de riscos e controles no EB e suas competências.

2
1.2. Diretriz Reguladora da Política de Gestão de Riscos do Exército Brasileiro (EB20-D-
02.010), 1ª Edição, 2019, aprovada pela Portaria nº 225-EME, de 26 JUL 19, contendo os seguintes
objetivos:
a. possibilitar o detalhamento das ações, responsabilidades e diretrizes gerais preconizadas
na PGR-EB;
b. buscar alinhamento entre a gestão de riscos e o planejamento estratégico do Exército Bra-
sileiro (EB);
c. regular as competências e as medidas gerais necessárias à implantação do Comitê de Go-
vernança, Riscos e Controles do Exército (CGRiCEx), do Escritório de Gestão de Riscos e Contro-
les do Exército (EGRiCEx), das assessorias de gestão de riscos e controles (AGRiC), dos proprietá-
rios de riscos e controles (PRisC) e das equipes de gestão de riscos e controles (EGRiC);
d. orientar os diversos escalões do EB, incluindo as Entidades Vinculadas, quanto às ações
necessárias à implantação da gestão de riscos no âmbito do EB; e
e. detalhar as competências e atividades necessárias a uma coerente integração da gestão de
riscos ao Programa de Integridade vigente no EB.
1.3. Manual Técnico da Metodologia de Gestão de Riscos do Exército Brasileiro (EB20-MT-
02.001), 1ª Edição, 2019, aprovado pela Portaria nº 292-EME, de 02 OUT 19, com a finalidade de
apresentar metodologia e critérios técnicos para a aplicação prática da gestão de riscos, bem como
orientar a identificação, a avaliação, o tratamento, o monitoramento e a comunicação dos riscos ins-
titucionais.
1.4. Governança: combinação de processos e estruturas implantadas pela alta administração
para dirigir, avaliar e monitorar a gestão, com o intuito de alcançar seus objetivos;
1.5. Governança no setor público: compreende essencialmente os mecanismos de liderança, es-
tratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com
vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade;
1.6. Processo: é o conjunto de atividades inter-relacionadas que transformam insumos (entra-
das) em produtos ou serviços (saídas), agregando valor para um segmento específico de usuários.
Dentro de uma visão voltada mais para a gestão de riscos, no âmbito do Exército Brasileiro, pro-
cesso também pode ser definido como conjunto de atividades e comportamentos executados por hu-
manos ou máquinas para alcançar um ou mais resultados.
1.7. Gestão de processos: é uma forma de gerenciar e transformar as atividades correntes, tem o
objetivo de promover melhorias e otimizar os processos envolvidos na geração de resultados, por
meio da identificação, da padronização, da institucionalização e do controle dos processos de
trabalho.*

3
1.8. Ameaças: são características externas não controláveis que podem comprometer o
desempenho.
1.9. Oportunidades: são características externas não controláveis com potencial para melhorar o
desempenho.
1.10. Análise SWOT: ferramenta utilizada para fazer análise de cenário (ou análise de ambiente).
As informações obtidas sobre o ambiente interno e externo contribuem para identificação dos riscos
e para escolha das respostas aos riscos, mediante a identificação das forças, fraquezas, oportunidades
e ameaças. A análise SWOT Cruzada consiste na interação das informações dos quatro quadrantes,
de forma a obter ações que permitam delinear estratégias importantes para o futuro da Organização.*
1.11. Auditoria interna: atividade independente e objetiva de avaliação e de consultoria, que tem
por finalidade adicionar valor e melhorar as operações de uma organização. Ela auxilia a organização
a realizar seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para
avaliar e melhorar a eficácia dos processos organizacionais, em particular os de gerenciamento de
riscos, de controles internos, de integridade e de governança. As auditorias internas no âmbito da
Administração Pública se constituem na terceira linha ou camada de defesa das organizações, uma
vez que são responsáveis por proceder à avaliação da operacionalização dos controles internos da
gestão (primeira linha ou camada de defesa, executada por todos os níveis de gestão dentro das
organizações) e da supervisão dos controles internos (segunda linha ou camada de defesa, executada
por instâncias específicas, como comitês de risco e controles internos).
1.12. Avaliações específicas: são realizadas com base em métodos e procedimentos predefinidos,
cuja abrangência e frequência dependerão da avaliação de risco e da eficácia dos procedimentos de
monitoramento contínuo. Abrangem, também, a avaliação realizada pelas unidades de auditoria
interna dos órgãos e entidades e pelos órgãos do Sistema de Controle Interno do Poder Executivo
Federal para aferição da eficácia dos controles internos da gestão quanto ao alcance dos resultados
desejados.
1.13. Cadeia de Valor Agregado (CVA): é uma representação gráfica que permite visualizar a
forma como são gerados os produtos e os serviços da organização, enquanto que os demais processos
internos de trabalho representam detalhadamente as rotinas, o processamento, as entradas e saídas de
cada atividade, sendo que ambos são essenciais para que a aplicação da metodologia de
gerenciamento de riscos e controles internos da gestão tenha maior efetividade.
1.14. Valor público: produtos e resultados gerados, preservados ou entregues pelas atividades de
uma organização que representem respostas efetivas e úteis às necessidades ou às demandas de
interesse público e modifiquem aspectos do conjunto da sociedade ou de alguns grupos específicos

4
reconhecidos como destinatários legítimos de bens e serviços públicos; (Inciso II do art. 2º do
Decreto 9.203, de 22 NOV 17)

1.15. Evento: situação em potencial que ainda não ocorreu capaz de causar algum tipo de impacto
na consecução dos objetivos da Instituição, caso venha a ocorrer. Podem gerar impacto negativo,
positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criação
de valor ou mesmo destruir o valor existente. Os de impacto positivo representam a possibilidade de
influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor.
1.16. Incerteza: incapacidade de saber, com antecedência, a real probabilidade ou impacto de
eventos futuros.
1.17. Risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento
dos objetivos institucionais estabelecidos. O risco é medido em termos de probabilidade e impacto.
1.18. Causa: condição que pode dar origem à possibilidade de um evento acontecer. Pode ter
origem no ambiente interno ou externo.
1.19. Fonte de risco: é um elemento que, individualmente ou combinado, tem o potencial
intrínseco para dar origem ao risco, podendo ser classificada como interna ou externa:
1.19.1. Fonte interna: está presente no ambiente interno, sob a governabilidade do órgão e pode
influenciar na concretização dos riscos. Destacam-se, dentre outras fontes de riscos, as seguintes:
a) pessoal: recursos humanos que podem cometer erro intencional ou não-intencional;
b) material: recursos materiais ou físicos compostos por instalações, infraestrutura de TI,
mobiliário, equipamentos, material de consumo, dentre outros; e
c) administrativa: recursos intangíveis que incluem processos organizacionais, quadro de
organização (estrutura organizacional), documentos normativos, tecnologia de produção e sistemas
informatizados, dentre outros.
1.19.2. Fonte externa: está presente no ambiente externo, portanto não são gerenciáveis e não estão
sob a governabilidade do órgão, e pode influenciar na concretização dos riscos, sobretudo os
estratégicos.
1.20. Fatores de risco: são vulnerabilidades existentes em uma determinada fonte de risco.
1.21. Vulnerabilidades: são inexistências, inadequações ou deficiências em uma fonte de risco.
1.22. Consequência do risco: resultado da concretização de um evento, com impacto sobre os
objetivos da organização.
1.23. Risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações
gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto.

5
1.24. Risco residual: risco a que uma organização está exposta, mesmo após a implementação das
medidas e das ações gerenciais decorrentes do tratamento do risco.
1.25. Mensuração de risco: significa estimar a importância de um risco e calcular a probabilidade
e o impacto de sua ocorrência.
1.25.1. Probabilidade: quantificação da possibilidade de ocorrência do evento.
1.25.2. Impacto: consequência resultante da ocorrência do evento sobre os objetivos.
1.26. Nível de risco: expressa a criticidade ou magnitude de um determinado evento de risco,
decorrente da combinação de seu impacto e probabilidade de ocorrência.
1.27. Nível de risco do processo: resultado da média aritmética do produto entre a probabilidade e
o impacto dos riscos elencados no processo e serve como fator de comparação entre processos
distintos.
1.28. Tolerância a risco: limiar de exposição ao risco, a partir do qual certos resultados das
atividades da organização podem ser comprometidos. É um indicativo da sensibilidade da
organização em relação aos riscos.
1.29. Apetite a risco: nível de risco que uma organização está disposta a aceitar (inciso II do art. 2º
da IN Conj CGU/MP nº 001, de 10 MAIO 16).
1.30. Fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de
confiança. Estes atos não implicam o uso de ameaça de violência ou de força física. As ocorrências
de fraudes ou atos de corrupção caracterizam os riscos à integridade.
1.31. Proprietários de Riscos e Controles (PRisC): são todos os indivíduos com
responsabilidade e autoridade para gerenciar um risco.
1.32. Gestão de riscos: processo de natureza permanente, estabelecido, direcionado e monitorado
pela alta administração e pelos demais gestores, aplicável em todos os escalões que contempla as
atividades de identificar, avaliar, tratar e monitorar potenciais eventos que possam afetar a
organização.
1.33. Plano de contingência: planejamento de ação ou resposta, clara e concisa a evento que
impacte as atividades normais da instituição, a fim de orientar as ações durante a ocorrência de
eventos indesejados.
1.34. Plano de gestão de riscos: documento que detalha a abordagem, os componentes de gestão e
os recursos a serem aplicados para gerenciar os riscos de uma organização. (Observar o Anexo I
desta Apostila, para melhor compreensão do documento.)
1.35. Portfólio de riscos prioritários: relação de quantidade variável, normalmente, de 10 (dez) a
20 (vinte) riscos, com impacto potencialmente elevado para o cumprimento da missão da

6
Organização, cuja gestão deve ser priorizada, tendo os seus indicadores e metas monitorados
regularmente.
1.36. Monitoramento contínuo – é realizado nas operações normais e de natureza contínua da
organização. Inclui a administração, as atividades de supervisão e outras ações que os servidores
executam ao cumprir suas responsabilidades. Abrange cada um dos componentes da estrutura do
controle interno, fortalecendo os controles internos da gestão contra ações irregulares, antiéticas,
antieconômicas, ineficientes e ineficazes. Pode ser realizado pela própria administração por
intermédio de instâncias de conformidade, como comitês específicos, que atuam como segunda linha
(ou camada) de defesa da organização.
1.37. Sistema de Controle Interno do Poder Executivo Federal: compreende as atividades de
avaliação do cumprimento das metas previstas no plano plurianual, da execução dos programas de
governo e dos orçamentos da União e de avaliação da gestão dos administradores públicos federais,
utilizando como instrumentos a auditoria e a fiscalização, e tendo como órgão central a
Controladoria-Geral da União. Não se confunde com os controles internos da gestão, de
responsabilidade de cada órgão e entidade do Poder Executivo Federal.
1.38. Controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos,
rotinas informatizadas ou não, conferências e trâmites de documentos e informações, entre outros,
operacionalizados de forma integrada, destinados a monitorar, controlar, orientar e avaliar o
andamento das ações, processos organizacionais e projetos, de forma a fornecer segurança razoável
para o alcance dos objetivos institucionais, em todos os escalões do EB.
1.38. 5W2H: é uma ferramenta cujos sete caracteres correspondem às iniciais (em inglês) das
diretrizes que, quando bem estabelecidas, eliminam quaisquer dúvidas que possam aparecer ao longo
de um processo ou de uma atividade. São elas: What (o que será feito?), When (quando será feito?),
Where (onde será feito?), Who (por quem será feito?), Why (por que será feito?); 2H: How (como
será feito?), How much (quanto vai estar?).
1.39. Plano de Ação: documento pelo qual são efetivadas as medidas de desenvolvimento e
aperfeiçoamento dos controles internos da gestão e planos de contingência.
1.40. Operação militar: é o conjunto de ações realizadas com forças e meios militares,
coordenadas em tempo, espaço e finalidade, de acordo com o estabelecido em uma diretriz, plano ou
ordem para o cumprimento de uma atividade, tarefa, missão ou atribuição.

2. Premissas e objetivos

7
 No âmbito do Exército Brasileiro (EB), a gestão de riscos é definida como o processo insti-
tucional contínuo e interativo, formulado para dirigir, monitorar e controlar eventos com o potenci-
al para agregar ou desagregar valor, podendo afetar o cumprimento dos objetivos institucionais.
O Manual Técnico da Metodologia de Gestão de Riscos do EB, traz em seu prefácio, a defi-
nição de que o processo de gestão de riscos é a aplicação sistemática de políticas, procedimentos e
práticas de gestão para identificar, analisar, avaliar, priorizar, tratar e monitorar os riscos e, deverá
empregar o modelo das linhas de defesa, cuja finalidade é estabelecer a comunicação entre partes
interessadas no gerenciamento de riscos e controles por meio do esclarecimento das competências e
responsabilidades essenciais.
Com base nas definições supracitadas, verifica-se que é de fundamental importância para a
gestão de riscos o estabelecimento de princípios, objetivos, diretrizes e responsabilidades relaciona-
das aos planos estratégicos, programas, projetos e processos das Organização Militares e da Insti-
tuição.
Os comandantes de OM, em todos os níveis, são os principais responsáveis pela implemen-
tação da estratégia da organização e da estrutura de gestão de riscos, incluindo o estabelecimento, a
manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão.
A avaliação dos riscos das atividades em execução deverá ser realizada, no mínimo, a cada
ano ou quando houver mudança de processos, cabendo ressaltar que as anotações deverão ser efetu-
adas em planilhas e arquivos previstos no Manual Técnico da Metodologia de Gestão de Riscos do
EB, enquanto não for implantado um sistema informatizado para a gestão de riscos. Cada risco
identificado deve estar associado a um PRisC com responsabilidade suficiente para orientar e
acompanhar as ações de identificação, avaliação e tratamento do risco.
As ações preconizadas no programa de integridade devem ser observadas no planejamento e
na execução da gestão de riscos, cabendo a implementação da gestão de riscos ocorrer de forma
gradual, sendo priorizados os programas, projetos e processos que impactam diretamente no alcan-
ce dos objetivos das OM.
Os riscos e controles internos da gestão devem ser gerenciados de forma integrada, objeti-
vando o estabelecimento de um ambiente de controle e gestão que respeite os valores, interesses e
expectativas dos militares e servidores civis que integram a organização e a integração da gestão de
riscos à toda ordem de atividades da Instituição permitirá ao gestor melhores condições para o atin-
gimento dos objetivos.
Os encargos de gestão de riscos poderão ser exercidos de forma cumulativa por outras estru-
turas e/ou funções existentes.

8
 O fluxo da comunicação deve proporcionar que as informações sobre os riscos possam che-
gar, de forma tempestiva, a todas organizações e pessoas que tenham a necessidade de conhecê-las.
A capacitação de todos os militares e servidores civis que exerçam, direta ou indiretamente,
atividades relacionadas à gestão de riscos deve ocorrer de forma contínua.

3. Classificação dos Riscos

Para fins de aplicação da metodologia de gestão de riscos do EB, os riscos são classificados
da seguinte forma:
3.1. estratégicos: eventos que possam impedir ou dificultar a execução do Plano Estratégico do
Exército (PEEx) na consecução dos Objetivos Estratégicos do Exército (OEE). Neste contexto,
inserem-se as decisões sobre os programas estratégicos e seus projetos vinculados, bem como
eventos que possam comprometer a capacidade do EB em contar com recursos orçamentários e
financeiros necessários à realização de suas atividades ou, ainda, eventos que possam comprometer a
própria execução orçamentária, como atrasos no cronograma de licitações ou contingenciamento de
recursos.
3.2. operativos - eventos que possam impedir ou dificultar a realização de atividades
eminentemente militares pela Força Terrestre (F Ter). Dividem-se em:
3.2.1 segurança orgânica: segmento da contrainteligência que preconiza a adoção de um conjunto
de medidas destinado a prevenir e obstruir possíveis ameaças de qualquer natureza dirigidas contra
pessoas, dados, informações, materiais, áreas e instalações;
3.2.2. preparo: ensino de formação e de especialização que tem por finalidade desenvolver
aptidões individuais, por meio da instrução nos campos militar, técnico-especializado e científico.
Normalmente realizado em ambiente e tempo controlados; e
3.2.3. emprego: atuação de elementos da F Ter na condução de operações militares de forma
singular ou conjunta:
a. São exemplos de emprego do poder militar em situação de não guerra:
- Garantia dos Poderes Constitucionais;
- Garantia da Lei e da Ordem (GLO);
- atribuições subsidiárias;
- prevenção e combate ao terrorismo;
- ações sob a égide de organismos internacionais;
- emprego em apoio à política externa em tempo de paz ou crise; e
- outros empregos de não-guerra.

9
3.3. gestão interna: eventos que podem comprometer os objetivos e as atividades
administrativas das OM, normalmente associados a falhas, deficiências ou inadequação de
processos internos de gestão de recursos organizacionais, dentre os quais, obrigatoriamente, deverão
constar os seguintes processos de apoio:
a) tecnologia da informação;
b) aquisições e contratação;
c) gestão financeira e orçamentária;
d) gestão de pessoal; e
e) gestão do patrimônio.
3.4. integridade: riscos que configurem ações ou omissões intencionais que possam favorecer
a ocorrência de fraudes ou atos de corrupção, podendo ser causa, evento ou consequência de outros
riscos.

4. Controles Internos da Gestão

Os controles internos da gestão se constituem em instrumentos que materializam a 1ª linha
de defesa na Gestão de Riscos, de modo a facilitar o alcance dos objetivos institucionais, em todos
os escalões do EB e representam um conjunto de ações necessárias para assegurar as respostas
visando adequação aos níveis de riscos desejados.
Os controles internos da gestão devem ser posicionados de forma adequada ao longo do
mapeamento dos macroprocessos e dos processos internos de trabalho, de modo a mitigar a
probabilidade de ocorrência dos riscos ou o seu impacto sobre os objetivos da organização.
Os controles internos da gestão de cada OM não devem ser confundidos com as atividades
do sistema de controle interno, relacionadas no artigo 74 da Constituição Federal de 1988, nem com
as atribuições da auditoria interna, cuja finalidade específica é a medição e avaliação da eficácia e
eficiência dos controles internos da gestão da organização.

4.1. Princípios dos Controles Internos da Gestão

a. contribuir com o processo de gestão de riscos de modo a facilitar o alcance dos objetivos
institucionais, em todos os escalões do EB;
b. ser efetivos e coerentes com a natureza, complexidade e risco das operações realizadas;

c. integrar atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que
trabalhem na OM;

10
 d. ser proporcional ao nível do risco, de maneira a considerar suas causas, fontes,
consequências e impactos, observada a relação custo-benefício;

e. ser, preferencialmente, automatizado; e

f. ser implementado de forma gradual e planejada, a fim de se evitar controles

desnecessários.

4.2. Objetivos dos Controles Internos da Gestão

Os objetivos dos controles internos da gestão são:
a. dar suporte à missão, à continuidade e à sustentabilidade institucional, pela garantia
razoável de atingimento dos objetivos estratégicos;
b. proporcionar a eficiência, a eficácia e a efetividade operacional, mediante execução
ordenada, ética e econômica das operações;
c. assegurar que as informações produzidas sejam íntegras e confiáveis à tomada de decisões,
ao cumprimento de obrigações de transparência e à prestação de contas;
d. assegurar a conformidade com as leis e regulamentos aplicáveis, incluindo normas,
políticas, programas, planos e procedimentos de governo e da própria organização; e
e. salvaguardar e proteger bens, ativos e recursos públicos contra desperdício, perda, mau
uso, dano, utilização não autorizada ou apropriação indevida.
Cabe ressaltar que os controles internos da gestão, serão aplicados nas operações e
atividades desenvolvidas nas OM, motivo pelo qual se faz necessário apresentar sua classificação.
As operações de um órgão serão:
a. econômicas quando a aquisição dos insumos necessários se der na quantidade e qualidade
adequadas, forem entregues no lugar certo e no momento preciso, ao custo mais baixo;
b. eficientes quando consumirem o mínimo de recursos para alcançar uma dada quantidade e
qualidade de resultados, ou alcançarem o máximo de resultado com uma dada qualidade e
quantidade de recursos empregados;
c. eficazes quando cumprirem objetivos imediatos, traduzidos em metas de produção ou de
atendimento, de acordo com o estabelecido no planejamento das ações; e
d. efetivas quando alcançarem os resultados pretendidos a médio e longo prazos, produzindo
impacto positivo e resultando no cumprimento dos objetivos das organizações.

5. Maturidade da Gestão de Riscos

A maturidade da gestão de riscos da OM será expressa por uma escala de 4 (quatro) níveis:

11
 a. inicial: as práticas são inexistentes, não implementadas, não funcionais ou são realizadas
de maneira informal e esporádica em algumas áreas relevantes para consecução dos objetivos da
OM;
b. básico: as práticas são realizadas de acordo com as normas e metodologias definidas em
algumas áreas relevantes para consecução dos objetivos da OM;
c. intermediário: as práticas são realizadas de acordo com normas e metodologias definidas
na maior parte das áreas relevantes para os objetivos da OM; e
d. aprimorado: as práticas são realizadas de acordo com normas e metodologias definidas
em todas as áreas relevantes para consecução dos objetivos da OM.
A maturidade da gestão de riscos servirá como parâmetro para identificação das áreas
vulneráveis que possam dificultar ou comprometer o atingimento dos objetivos da OM e será obtida
através da realização da autoavaliação (diagnóstico) da gestão organizacional do EB.

6. Gestão de Riscos
Segundo consta no § 2 do art 2º do Decreto nº 9.203, de 22 NOV 17, a gestão de riscos é
definida como o processo de natureza permanente, estabelecido, direcionado e monitorado pela alta
administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que
possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus
objetivos.
O processo de gestão de riscos consiste na aplicação sistemática de políticas, procedimentos
e práticas de gestão para identificar, analisar, avaliar, priorizar, tratar e monitorar os riscos.

6.1. Princípios da Gestão de Riscos

A gestão de riscos, em todos os níveis, deve atender aos seguintes princípios:
a. agregação de valor e proteção às atividades da organização;
b. alinhamento ao Sistema de Planejamento Estratégico do Exército (SIPLEx);
c. integração aos processos organizacionais;
d. integração ao processo de tomada de decisão;
e. respostas adequadas à relevância do risco;
f. sistematização e oportunidade;
g. alinhamento aos contextos interno e externo da organização; e
h. dinamismo, interatividade e capacidade de reação à mudanças.
A tomada de decisão, em todos os níveis, deverá ser baseada pela qualidade da informação
que deve ser apropriada, tempestiva, atual, precisa e acessível.

12
6.2. Objetivos da Gestão de Riscos
A gestão de riscos deve possibilitar ao EB atingir os seguintes objetivos:
a. aumentar a probabilidade de alcance dos objetivos estratégicos e organizacionais,
reduzindo os riscos a níveis aceitáveis;
b. fomentar uma gestão proativa;
c. aperfeiçoar a eficiência, eficácia e efetividade dos programas, projetos e processos
organizacionais;
d. melhorar a governança;
e. atender a normas, requisitos legais e regulatórios pertinentes;
f. salvaguardar recursos públicos para prevenir perdas de toda ordem, mau uso e danos
ao erário;
g. aperfeiçoar os controles internos da gestão;
h. estabelecer uma base confiável de conhecimentos para tomada de decisão e
planejamento em todos os níveis;
i. melhorar a identificação de oportunidades e riscos; e
j. contribuir para o programa de integridade.

6.3. Linhas de Defesa

O modelo das linhas de defesa tem a finalidade de estabelecer a comunicação entre partes
interessadas no gerenciamento de riscos e controles por meio do esclarecimento das competências e
responsabilidades essenciais e será útil ao acompanhamento e avaliação da gestão de riscos.

6.3.1. Composição das linhas de defesa

a. 1ª Linha: os PRisC das OM, apoiados pelas EGRiC, quando estabelecidas, e
supervisionadas pelas AGRiC;
b. 2ª Linha:
1) o Escalão Superior, de acordo com o canal de comando, será a 2ª Linha para suas
organizações militares diretamente subordinadas (OMDS); e
2) as OM em que, pelo canal técnico, haja subordinação em assuntos específicos.
c. 3ª Linha: o Centro de Controle Interno do Exército (CCIEx) e aos Centros de Gestão,
Contabilidade e Finanças do Exército (CGCFEx).
Todas as OM são a 1ª Linha de Defesa de seus próprios processos.

13
 O EME, o ODOp, os ODS, os OADI, os comandos militares de área (C Mil A) e as OM
listadas no inciso III fazem a 2ª Linha de Defesa de seus próprios processos.
Para o Comando do Exército, o EME, o ODOp, os ODS, os C Mil A, os OADI e as
Entidades Vinculadas representam a 2ª Linha de Defesa.
O EGRiCEx é uma estrutura técnico-normativa e não atua como linha de defesa, com
exceção de seus próprios processos.

6.3.2. Atribuições das linhas de defesa

a. 1ª Linha: realizar, por intermédio de todos os envolvidos na condução das atividades e
tarefas, os controles internos da gestão no âmbito dos macroprocessos finalísticos e de apoio das
organizações;
b. 2ª Linha: supervisionar e monitorar os controles internos da gestão executados pela 1ª
Linha, garantindo que esta funcione como pretendida no tocante ao gerenciamento de riscos; e
c. 3ª Linha: realizar auditoria interna, de forma independente e objetiva, sobre a eficácia da
governança, do gerenciamento de riscos e controles internos da gestão, por intermédio dos órgãos
do Sistema de Controle Interno do EB.

6.4. Estrutura de Governança, Gestão de Riscos e Controles Internos da Gestão

São elementos estruturais da governança, gestão de riscos e controles no âmbito do Exército
Brasileiro:
a. o Alto Comando do Exército (ACE);
b. o Comitê de Governança, Riscos e Controles do Exército (CGRiCEx);
c. o Escritório de Gestão de Riscos e Controles do Exército (EGRiCEx);
d. as Assessorias de Gestão de Riscos e Controles (AGRiC); e
e. os Proprietários de Riscos e Controles (PRisC).
Poderão ser criadas Equipes de Gestão de Riscos, Integridade e Controles (EGRIC) das se-
ções e demais repartições das organizações militares (OM), a critério do Comandante/Chefe/Dire-
tor, em todos os níveis e escalões.
As AGRiC deverão ser constituídas no âmbito do Órgão de Direção Operacional (ODOp),
dos Órgãos de Direção Setorial (ODS), Órgãos de Assistência Direta e Imediata ao Comandante do
Exército (OADI), Órgãos de Apoio, Comandos Militares de Área, Regiões Militares, Divisões de
Exército, Grupamentos de Engenharia, Brigadas e demais OM da Força Terrestre.

6.4.1. Competências

14
 Com intuito de proporcionar uma visão ampla das competências dos elementos estruturais,
serão apresentadas conjuntamente as competências previstas na Política de Gestão de Riscos do
Exército Brasileiro e na Diretriz Reguladora da Política de Gestão de Riscos do Exército Brasileiro,
como segue:
a. Compete ao ACE, para decisão do Cmt Ex:
1) propor atualização da Política de Gestão de Riscos do Exército, quando necessário;
2) examinar as matérias de relevância concernentes à gestão de riscos, especialmente
quando relacionados ao planejamento estratégico do Exército e ao programa de integridade;
3) propor os níveis adequados de exposição aos riscos institucionais, com a finalidade de
promover o alinhamento estratégico da gestão de riscos ao planejamento estratégico do Exército; e
4) deliberar sobre a pauta apresentada pelo CGRiCEx;

b. Compete ao CGRiCEx:
1) emitir recomendações para o aprimoramento e atualização da governança, gestão de ris-
cos e dos controles internos da gestão, quando necessário;
2) fomentar uma cultura comum de governança, gestão de riscos e controles internos da ges-
tão, em todas as atividades, principalmente em relação ao alinhamento entre a gestão da estratégia e
a gestão de riscos;
3) propor matérias relacionadas à gestão de riscos, como objeto de análise e parecer pelo
ACE para decisão do Cmt Ex; e
4) coordenar as ações de implantação, desenvolvimento da gestão de riscos e controles inter-
nos da gestão, no âmbito do EB.
5) auxiliar o Alto Comando do Exército (ACE) na implementação e na manutenção de pro-
cessos, estruturas e mecanismos adequados à governança;
6) assessorar o ACE na proposição de iniciativas que visem à melhoria do processo decisó-
rio, desempenho e acompanhamento dos resultados institucionais;
7) apreciar as matérias relacionadas à gestão de riscos, integridade e controles internos da
gestão; e
8) estudar e propor ao ACE os Portfólios de Riscos Estratégicos e Prioritários do Exército,
consolidados no âmbito do EME, visando ao alinhamento estratégico da gestão de riscos com o pla-
nejamento estratégico do Exército.

c. Compete ao EGRiCEx:

15
 1) apoiar o CGRiCEx nas ações de implantação, desenvolvimento e atualização da gestão
de riscos e controles internos da gestão, no âmbito do EB;
2) coordenar os trabalhos para a atualização da metodologia de gestão de riscos do EB;
3) conduzir o processo de implantação da gestão de riscos e controles internos da gestão
no âmbito do EB;
4) propor a Diretriz para implantação da Política de Gestão de Riscos do EB;
5) realizar a supervisão da gestão de riscos e dos controles internos da gestão nas AGRiC;
6) coordenar as atividades de comunicação e monitoramento da gestão de riscos e dos
controles internos da gestão no âmbito do EB; e
7) Assessorar os trabalhos do CGRiCEx.
8) propor matérias relacionadas à gestão de riscos, integridade e controles internos da ges-
tão, como objeto de análise e discussão pelo CGRiCEx;
9) realizar a supervisão da gestão de riscos, integridade e dos controles internos da gestão
nas AGRiC, o que poderá envolver visitas de orientação técnica (VOT);
10) elaborar o Relatório Anual de Gestão de Riscos consolidado do Exército;
11) estudar, consolidar e propor ao CGRiCEx os Portfólios de Riscos Estratégicos e Prioritá-
rios recebidos dos órgãos que compõem a 2ª Linha de Defesa do Exército;
12) em conjunto com o CCIEx, coordenar as atividades de capacitação dos militares e servi-
dores civis no tocante aos assuntos relacionados à gestão de riscos, integridade e de controles inter-
nos da gestão;
13) coordenar a implantação, capacitação e atualização de um sistema informatizado de ges-
tão de riscos do EB, com o apoio do Departamento de Ciência e Tecnologia (DCT);
14) gerenciar o atendimento às demandas de órgãos externos ao EB, no tocante à gestão de
riscos e controles internos da gestão;
15) promover, juntamente com o Centro de Comunicação Social do Exército (CCOMSEx), a
divulgação institucional, por diversas mídias, das ações de gestão de riscos e controles internos da
gestão do EB;
16) expedir diretrizes, normas complementares e difundir melhores práticas, em coordena-
ção com o CCIEx, com o objetivo de orientar as AGRiC, EGRIC e os PRisC, visando a facilitar o
processo de implantação da gestão de riscos;
17) propor, em coordenação com o CCIEx, a atualização da metodologia do processo de
gestão de riscos;

16
 18) coordenar a implementação do Programa de Integridade do EB, visando ao aperfeiçoa-
mento da prevenção, detecção e do combate à ocorrência de atos lesivos; e
19) monitorar o cumprimento das recomendações e orientações deliberadas pelo CGRiCEx.

d. Compete às AGRiC:
1) assegurar que os riscos inerentes à sua organização sejam gerenciados de acordo com os
princípios, objetivos e diretrizes da Política de Gestão de Riscos do EB;
2) implementar a gestão de riscos e operacionalizar os controles interno da gestão no âmbito
do órgão; e
3) realizar a supervisão da gestão de riscos e dos controles internos da gestão das OM su-
bordinadas, quando for o caso.

e. Compete aos PRisC, como gestores dos processos de sua responsabilidade e sob coorde-
nação das AGRiC, executarem as atividades inerentes ao processo de gestão dos riscos de sua pro-
priedade e aos controles internos relativos a esses riscos, como segue:
1) identificar, avaliar, tratar e monitorar os riscos inerentes às suas atividades, de acordo com
as normas em vigor, levando em consideração a probabilidade de ocorrência e o impacto nos objeti-
vos;
2) monitorar os riscos ao longo do tempo, de modo a garantir que as respostas adotadas
resultem na sua manutenção em níveis adequados;
3) implementar os planos de ação definidos para tratamento dos riscos sob sua responsabili-
dade;
4) garantir que as informações sobre os riscos estejam disponíveis em todos os níveis da
organização, considerando o seu respectivo sigilo; e
5) operacionalizar e aperfeiçoar os controles internos da gestão.

f. Compete às EGRiC, em coordenação com as AGRiC e com os PRIsC diretamente envol-

vidos:
1) auxiliar no processo de gestão de riscos da OM, com base nos processos organizacionais
de sua responsabilidade;
2) contribuir para a confecção e atualização do Portfólio de Riscos Prioritários da OM; e
3) contribuir para a confecção do relatório anual de gestão de riscos da OM.

17
 g. Compete ao EME, ao ODOp, aos ODS, aos C Mil A, aos OADI e às Entidades Vincu-
ladas, por intermédio das AGRiC:
1) implantar, monitorar, supervisionar e, quando for o caso, atualizar o processo de gestão de
riscos, integridade e controles internos da gestão no próprio âmbito e das OMDS, de acordo com as
normas em vigor;
2) identificar, avaliar, tratar e monitorar os riscos inerentes às suas atividades, levando em
consideração a probabilidade de ocorrência e o impacto nos objetivos;
3) realizar, de acordo com o calendário previsto no art. 31, reuniões de análise da gestão de
riscos;
4) elaborar e, quando necessário, atualizar o Portfólio de Riscos Estratégicos do Exército e o
Portfólio de Riscos Prioritários no âmbito do respectivo órgão e OMDS;
5) monitorar e aperfeiçoar os controles internos da gestão no âmbito do órgão e orientar a re-
alização destas ações em suas OMDS; e
6) consolidar e encaminhar ao EGRiCEx o Relatório Anual de Gestão de Riscos, o Portfólio
de Riscos Estratégicos e o Portfólio de Riscos Prioritários do próprio órgão e de suas OMDS. Pa-
rágrafo único. As Entidades Vinculadas deverão remeter ao EME apenas o Portfólio de Riscos Prio-
ritários.

h. Compete ao CCIEx:
1) apoiar o CGRiCEx quanto às demandas referentes à gestão de riscos oriundas dos órgãos
de controle externo;
2) apoiar o EGRiCEx na promoção da capacitação de pessoal e a disseminação de conheci-
mentos para a melhoria da cultura de gestão de riscos, integridade e controles internos da gestão;
3) apoiar o EGRiCEx, por intermédio de atividades de avaliação e consultoria, na adequa-
ção, eficiência e eficácia da estrutura e do processo de gestão de riscos, integridade e dos controles
internos da gestão;
4) emitir recomendações e diretrizes específicas, em coordenação com o EGRiCEx, para o
aprimoramento da gestão de riscos, integridade e dos controles internos da gestão e da auditoria ba-
seada em riscos; e
5) propor, em coordenação com o EGRiCEx, a atualização da Metodologia de Gestão de
Riscos do Exército Brasileiro.

i. Compete às OM, por intermédio das AGRiC:

18
 1) assegurar que os riscos sejam gerenciados de acordo com a Metodologia para a Gestão de
Riscos do Exército Brasileiro;
2) implantar, monitorar, supervisionar e, quando for o caso, atualizar o processo de gestão de
riscos, integridade e controles internos da gestão, de acordo com as normas em vigor;
3) orientar os PRisC na identificação, avaliação, tratamento e monitoramento dos riscos ine-
rentes às suas atividades, levando em consideração a probabilidade de ocorrência e o impacto nos
objetivos;
4) monitorar a execução dos planos de ação;
5) monitorar e propor o aperfeiçoamento dos controles internos da gestão;
6) encaminhar ao escalão superior o Relatório Anual de Gestão de Riscos;
7) realizar, quando julgadas necessárias, reuniões de análise da gestão de riscos;
8) estabelecer indicadores de desempenho de gerenciamento de riscos alinhados com os do
escalão enquadrante;
9) estabelecer, quando julgadas necessárias, as EGRiC; e
10) supervisionar os trabalhos das EGRiC e dos PRisC.

j. Compete aos militares e servidores civis em geral:

1) participar das atividades de identificação e avaliação dos riscos inerentes aos processos de
sua responsabilidade;
2) comunicar tempestivamente, seguindo a cadeia de comando, os riscos inerentes aos pro-
cessos dos quais participa, não mapeados anteriormente; e
3) apoiar os PRisC e as EGRiC na definição dos planos de ação necessários para tratamento
dos riscos.

Segue ao final desta Apostila o Anexo I, no qual consta o “Modelo Comentado do Plano de
Gestão de Risco” - Anexo A ao Manual Técnico da Metodologia de Gestão de Riscos do Exército
Brasileiro (EB20-MT-02.001), 1a Edição, 2019.

Para finalizar a primeira parte desta apostila, cabe ressaltar o teor do art. 29 da Política de
Gestão de Riscos do EB:
“ Os comandantes, chefes ou diretores, em todos os níveis, são os principais responsáveis
pelo estabelecimento da estratégia da OM e da estrutura de gerenciamento de riscos, incluindo o es-

19
tabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da ges-
tão.”

FIM

20
Anexo I

21
22
23
24