Curso

Gestão de riscos na Administração

Pública

Apresentação
Governadora em exercício do Distrito Federal
Celina Leão

Secretário de Planejamento, Orçamento e Administração

Ney Ferraz Júnior

Secretária Executiva de Gestão Administrativa

Ana Paula Cardoso da Silva

Diretora-Executiva da Escola de Governo do Distrito Federal

Juliana Neves Braga Tolentino

A elaboração, a formatação e a revisão do material didático são de responsabilidade

da instrutoria.

Escola de Governo do Distrito Federal

Endereço: SGON Quadra 1 Área Especial 1 – Brasília/DF – CEP: 70610-610
Telefones: (61) 3344-0074 / 3344-0063

www.egov.df.gov.br
 1

Curso
Gestão de riscos na Administração
Pública
Robson Lopes da Gama Júnior

Instrutor Robson Lopes da Gama Júnior

 Auditor de Controle Interno;
 Atualmente, é Coordenador de Auditoria de Riscos e
Integridade da Controladoria-Geral do Distrito Federal
(CGDF);
 Graduado em Engenharia de Redes de Comunicação,
pela Universidade de Brasília (UnB);
 Pós-graduado em Auditoria Fiscal e Tributária e em
Gestão e Governança da Tecnologia da Informação;
 Pós-graduado em Gestão de Riscos e Cibersegurança;
 Tem certificação como Auditor Líder de Sistema de
Gestão de Compliance e Antissuborno – IS0 37001:2017
e ISO 37301:2021.
2

Objetivo do curso
Capacitar os servidores do Governo do Distrito Federal em gestão de
riscos, fundamentado na NBR ISO 31000:2018, com vistas a habilitá-los
para a realização do gerenciamento de riscos corporativos, nas suas
respectivas unidades, em atendimento à Lei Nacional no 13.303/2016 e
aos Decretos Distritais no 37.302/2016 e 39.736/2019.

Estrutura do curso
Tópicos

3 5
1 Etapas do processo de
Introdução Etapas do processo de
implantação: tratamento
implantação: escopo,
de riscos, comunicação e
contexto e critérios
consulta, monitoramento e
análise crítica

2 4 6
Política de gestão de riscos Etapas do processo de Aplicações da Gestão de
e as estruturas formais/ implantação: identificação, riscos no setor público.
informais de análise e avaliação de riscos
gerenciamento de riscos
 3

1. Introdução
4

11 mar. 2011 –
Naka, Japão.
 5

6 fev. 2018 –
Brasília, Brasil.

17 mar. 2011 –
(06 dias após o incidente)
Naka, Japão.
6

4 jun. 2019 –
Brasília, Brasil.

11

EXERCÍCIO DE ANTECIPAÇÃO
 7

RISCOS estão presentes em toda atividade humana.

Existe risco em:
 tomar um cafezinho;

 caminhar pela calçada;

 escolher uma profissão;

 investir em um negócio;

 tomar decisões;

 administrar uma organização.

8

A decisões que tomamos estão associadas à incertezas?

Qual a capacidade de sua Unidade identificar

 Mountain bike? os riscos e responder a eles?
 Bote inflável? Como adquirir ou aumentar esta capacidade?
 Capa de chuva?
 Quanto tempo
na estrada? Gestão de riscos
 9

Risco
É a possibilidade de ocorrência de um
evento que venha a ter impacto no
cumprimento dos objetivos.
É uma oportunidade ou uma ameaça
aos objetivos da organização.

Gestão de riscos
Já ocorreu. Poderia ocorrer.

Mitigação Prevenção

Emergência Futuro
Crise
Continuidade
10

Gestão de riscos
 Diferença entre conceitos

Riscos

Problemas

Gestão de riscos e gerenciamento de riscos

Risco X Problema

RISCO
PROBLEMA
INCERTEZA
CERTEZA
FUTURO
PRESENTE/FUTURO
PLANO DE CONTROLES
GERENCIAMENTO DE CRISE
GERENCIAMENTO DE RISCOS
PLANO DE AÇÃO
EVITAR QUE O RISCO SE LIÇÕES APRENDIDAS –
CONCRETIZE OU DIMINUIR DESENVOLVER CONTROLES
O IMPACTO DO EVENTO PARA MANTER COMO RISCO
(PROBLEMA)
 11

Gestão de riscos
 Diferença entre conceitos

Gestão de riscos

Gerenciamento de riscos

GESTÃO GERENCIAMENTO
DE RISCOS DE RISCOS
12

A gestão de riscos pode ser aplicada ao setor público?

A gestão de riscos pode ser aplicada ao setor público?

Fonte: TCU
 13

A gestão de riscos pode ser aplicada ao setor público?

Fonte: TCU
14

1) Riscos estratégicos
2) Riscos operacionais
3) Riscos nos processos
4) Riscos de informações – TI
5) Riscos ambientais
Organizações de todos
6) Riscos de saúde e segurança do trabalhador
os tipos e tamanhos 7) Riscos de segurança patrimonial
enfrentam influências 8) Riscos financeiros
e fatores internos 9) Riscos legais
e externos que tornam 10) Riscos sociais
11) Riscos de sustentabilidade
incerto se e quando
12) Riscos de comunicação
atingirão seus objetivos. 13) Riscos de fraudes
14) Riscos no projeto
15) Riscos de imagem
16) Riscos produtos
17) Outros tantos riscos

O processo de GESTÃO DE RISCOS é válido...

para qualquer tipo de risco:
 à proteção e à privacidade de dados pessoais (nova LGPD no Brasil);
 às questões ambientais, sociais e de governança (ESG, na sigla em inglês);
 a programas de integridade, antissuborno e compliance;
àsegurança da informação, à segurança e saúde no trabalho, à segurança
de sistemas e processos de trabalho;
a sistemas de gestão da qualidade, gestão da inovação, gestão
ambiental, gestão de crises e continuidade de negócios; ao COSO de
controles internos;
 aos processos de contratação e aquisição.
 15

Contexto histórico

Decisão Ordinária no 3.320/2015

Lei no 13.303/2016

Decreto Distrital no 37.302/2016

Decreto Distrital no 39.736/2019

Lei no 14.133/2021

Implantação da gestão de riscos

16

“No que diz respeito aos padrões internacionais de gestão de riscos, a

melhor escolha para qualquer organização não financeira é, de longe, o
ISO 31000:2009. No momento da redação, o padrão tinha sido
oficialmente traduzido e adotado em 44 dos 50 maiores países pelo PIB,
tornando-o verdadeiramente global.”
SIDORENKO; DEMIDENKO, 2016.

Conceitos
ISO 31000: efeito da incerteza nos objetivos. Objetivos podem possuir
diferentes aspectos e categorias, e podem ser aplicados em diferentes
níveis.
COSO II: evento futuro e incerto que, caso ocorra, pode impactar
negativamente o alcance dos objetivos da organização.
IN 01/2016: possibilidade de ocorrência de um evento que venha a ter
impacto no cumprimento dos objetivos.
 17

Implantação da gestão de riscos

Norma ISO 31000:2018
 Descreve princípios para caracterização de gestão de riscos eficaz e
eficiente;
 Apresenta estrutura para apoiar a integração da gestão de riscos, em
atividades significativas e funções;
 Apresenta processo de gestão de riscos envolvendo a aplicação
sistemática de políticas, procedimentos e práticas.

Gestão de riscos engloba atividades coordenadas para dirigir e controlar

uma organização no que se refere a riscos. (ISO, 2018.)
Processo sistemático desenvolvido para:
 identificar,

 analisar,

 avaliar,

 tratar,

 registrar e relatar

os riscos de qualquer natureza e em qualquer tipo de organização.

18

ISO 31000:2018

Princípios – ISO 31000:2018

ISO, 2018.
 19

Princípios – ISO 31000:2018

O propósito da gestão de riscos é a criação e a proteção de valor. Ela
melhora o desempenho, encoraja a inovação e apoia o alcance dos
objetivos.
a) Integrada
A gestão de riscos é parte integrante de todas as atividades
organizacionais.
b)Estruturada e abrangente
Uma abordagem estruturada e abrangente para a gestão de riscos
contribui para resultados consistentes e comparáveis.

37

c) Personalizada
A estrutura e o processo de gestão de riscos são personalizados e
proporcionais aos contextos externos e internos da organização
relacionados aos seus objetivos.
d)Inclusiva
O envolvimento apropriado e oportuno das partes interessadas
possibilita que seus conhecimentos, pontos de vista e percepções
sejam considerados. Isso resulta em melhor conscientização e gestão
de riscos fundamentada.

38
20

e) Dinâmica
Riscos podem emergir, mudar ou desaparecer à medida que os
contextos externo e interno de uma organização mudem. A gestão de
riscos antecipa, detecta, reconhece e responde a essas mudanças e
eventos, de maneira apropriada e oportuna.
f) Melhor informação disponível
As entradas para a gestão de riscos são baseadas em informações
históricas e atuais bem como em expectativas futuras. A gestão de
riscos explicitamente leva em consideração quaisquer limitações e
incertezas associadas a essas informações e expectativas. Convém que
a informação seja oportuna, clara e disponível para as partes
interessadas pertinentes.

39

g) Fatores humanos e culturais

O comportamento humano e a cultura influenciam significativamente
todos os aspectos da gestão de riscos, em cada nível e estágio.
h)Melhoria contínua
A gestão de riscos é melhorada continuamente por meio do
aprendizado e das experiências.

40
 21

Estrutura – ISO 31.000:2018

ISO, 2018.

Gestão de riscos
 Planejar – política, recursos e objetivos;

 Fazer – processo, treinamento e prevenção;

 Verificar – auditoria, inspeção e verificação;

 Agir– melhoria contínua, ações preventivas

e ações corretivas.
22

Processo – ISO 31.000:2018

ISO, 2018.

Processo de
gestão de riscos
Detalhamento O PGR descrito na norma ISO
31000 compreende cinco
etapas principais que, embora
mostradas sequencialmente na
imagem ao lado, na prática, são
aplicadas de forma iterativa.
 23

Maturidade de riscos: grau de adoção e aplicação, por parte da direção,

de uma abordagem de gestão de riscos robusta, conforme planejada, em
toda a organização, a fim de identificar, avaliar, decidir sobre respostas e
relatar oportunidades e ameaças que afetam a consecução dos objetivos
da organização.

Avaliação de maturidade de riscos

Avaliação de maturidade de riscos

24

Exercício 1
Realizar, em grupo, a Avaliação de Maturidade da Gestão de
Riscos da respectiva área ou da unidade de lotação.
30 minutos

Exercício 1
 25

2. Política de Gestão de Riscos e as estruturas

(in)formais de gerenciamento
26

Revisando...
Norma ISO 31000:2018
 Descreve princípios para caracterização de gestão de riscos eficaz e
eficiente;
 Apresenta estrutura para apoiar a integração da gestão de riscos, em
atividades significativas e funções;
 Apresenta processo de gestão de riscos envolvendo a aplicação
sistemática de políticas, procedimentos e práticas.

O que é gestão de riscos?

É o processo completo que envolve atividades e ações destinadas a
controlar os riscos de uma organização, neutralizando o seu impacto.
 Processo sistemático desenvolvido para:

identificar, analisar, avaliar, tratar

os riscos de qualquer natureza.
 27

Princípios, estrutura e processo

ISO 31000:2018 – Estrutura para gerir riscos

28

ISO 31000:2018 – Processo para gerenciar riscos

Gestão de riscos – um modelo de implantação

LIDERANÇA E
ESTRUTURA PARA A GR E POLÍTICA DE GR
COMPROMETIMENTO

AVALIAÇÃO DE MATURIDADE

RISCOS CONTROLES

ESCOPO, CONTEXTO E
AVALIAÇÃO DOS CONTROLES
CRITÉRIOS

IDENTIFICAÇÃO ESTABELECIMENTO DOS

CONTROLES

ANÁLISE
PINHO FILHO, 2015.

AVALIAÇÃO
 29

Liderança e comprometimento
 Convém que a alta direção e os órgãos de supervisão, onde aplicável,
assegurem que a gestão de riscos esteja integrada em todas as
atividades da organização.

ISO, 2018.

 Convém que demonstrem liderança e comprometimento por:

» personalizar e implementar todos os componentes da estrutura;

» emitirdeclaração ou política que estabeleça abordagem, plano ou

curso de ação da gestão de riscos;
» assegurar que os recursos necessários sejam alocados para gerenciar
riscos;
» atribuir autoridades, responsabilidades e responsabilização nos
níveis apropriados dentro da organização.

ISO, 2018.
30

 Isso ajuda a organização a:

» alinhar a gestão de riscos com seus objetivos, estratégia e cultura;

» reconhecere abordar todas as obrigações bem como seus

compromissos voluntários;
» estabelecera quantidade e o tipo de risco que pode ou não ser
assumido para orientar o desenvolvimento de critérios, assegurando
que sejam comunicados às suas partes interessadas.

» comunicar o valor da gestão de riscos para a organização e suas

partes interessadas;
» promover o monitoramento sistemático de riscos;

» assegurar que
a estrutura de gestão de riscos permaneça apropriada
ao contexto da organização.

ISO, 2018.
 31

 Cabe aos órgãos de supervisão:

» assegurar que os riscos sejam adequadamente considerados no
estabelecimento dos objetivos da organização;
» compreender os riscos aos quais a organização está exposta na busca de
objetivos;
» assegurarque sistemas para gerenciar esses riscos estejam
implementados e operem eficazmente;
» assegurarque esses riscos sejam apropriados no contexto dos objetivos da
organização; e
» assegurarque a informação sobre esses riscos e a gestão seja
apropriadamente comunicada.
ISO, 2018.

Política de Gestão de Riscos

O documento deve conter:
 objetivo;

 princípios;

 diretrizes;

 responsabilidades;

 definição do processo de gerenciamento de riscos.

“Convém que a política de gestão de riscos seja comunicada

apropriadamente.”
32

Instância de Governança (Comitê de GR; CIG)

Competência:
I. fomentar as práticas de gestão de riscos;
II. acompanhar de forma sistemática a gestão de riscos com o objetivo de
garantir a sua eficácia e o cumprimento de seus objetivos;
III. zelar pelo cumprimento da Política de Gestão de Riscos;
IV. monitorar a execução da Política de Gestão de Riscos;

V. estimular a cultura de gestão de riscos;

VI. decidir sobre as matérias que lhe sejam submetidas, assim como
sobre aquelas consideradas relevantes;
VII. verificar o cumprimento de suas decisões;
VIII. revisar a política de gestão de riscos e aprovar o processo de gestão
de riscos;
IX. indicar os proprietários de riscos;
X. estabelecer o Plano de Gestão de Riscos;
XI. retroalimentar informações para a Auditoria Baseada em Riscos
(ABR).
 33

Exercício 2
Analisar e discutir, em grupos, as políticas de gestão
de riscos e as estruturas de gerenciamento de riscos.
Ao final, apresentar para a sala as impressões debatidas.
40 minutos

Exercício 2
34

3. Etapas de Implantação: escopo, contexto e critérios

Gestão de riscos – um modelo de implantação

LIDERANÇA E
ESTRUTURA PARA A GR E POLÍTICA DE GR
COMPROMETIMENTO

AVALIAÇÃO DE MATURIDADE

RISCOS CONTROLES

ESCOPO, CONTEXTO E
AVALIAÇÃO DOS CONTROLES
CRITÉRIOS

IDENTIFICAÇÃO ESTABELECIMENTO DOS

CONTROLES

ANÁLISE
PINHO FILHO, 2015.

AVALIAÇÃO
 35

Processo de gerenciamento de riscos

O PGR começa definindo o que a

organização deseja alcançar e os fatores
externos e internos que podem
influenciar o sucesso em alcançar tais
objetivos. Essa etapa é chamada
de escopo, contexto e critérios e é um
precursor essencial para a etapa de
identificação de riscos.

ISO, 2018.

Escopo, contexto e critérios

Trata-se da definição dos parâmetros externos e internos a serem levados
em consideração ao se gerenciar riscos e ao se estabelecer o escopo e os
critérios de risco.
36

Contexto interno (variáveis fundamentais):

 cultura, política, estrutura e recursos;

 objetivos, metas, estratégias e programas;

 pontos fortes e pontos fracos;

 partes internas.

Contexto externo:
 ambiente empresarial, social, regulamentar, cultural, competitivo,
financeiro e político;
 oportunidades e ameaças;

 percepções e valores das partes externas envolvidas.

Aspectos a serem considerados na definição do escopo:

 objetivos e decisões que precisam ser tomadas;

 resultados esperados das etapas a serem realizadas no processo;

 tempo, localização, inclusões e exclusões específicas;

 ferramentas e técnicas apropriadas para o processo de avaliação de

riscos;
 recursos requeridos, responsabilidades e registros a serem mantidos;

 relacionamentos com outros projetos, processos e atividades;

 37

Aspectos a serem considerados na definição dos critérios de risco:

 natureza e tipos de incertezas que podem afetar resultados e objetivos;

 como as consequências e as probabilidades serão definidas e medidas;

 fatores relacionados ao tempo;

 consistência no uso de medidas;

 como o nível de risco será determinado;

 como a combinação de múltiplos riscos serão levadas em consideração;

 capacidade da organização.

Categoria de riscos

Elaborado com base no COSO ERM, 2004.

38

Critérios de riscos

http://www.gestaoderiscos.cg.df.gov.br/

Níveis de riscos

http://www.gestaoderiscos.cg.df.gov.br/
 39

Alguns escopos escolhidos

Exercício 3
Estabelecer, nos grupos, o escopo e o contexto de um processo,
subprocesso ou ação de sua unidade.
60 minutos
40

Exercício 3

4. Etapas da Implantação: identificação,

análise e avaliação de riscos

Processo de gerenciamento de riscos
ISO, 2018.
O propósito da
identificação é encontrar,
reconhecer e descrever
riscos que possam ajudar
ou impedir que uma
organização alcance seus
objetivos. [...] (ISO, 2018.)
Detalhar as fontes de
riscos (proprietários dos
riscos, consequências,
fragilidades, entre outros).
41
A espinha dorsal do processo de gestão
de riscos está voltada para a preparação
e a condução do Processo de Avaliação
de Riscos (risk assessment) que leva,
conforme necessário, ao tratamento de
riscos.
A identificação de riscos requer a
aplicação sistemática de técnicas e de
ferramentas para entender o que pode
acontecer, como, quando e por quê.
Identificar as fontes de
riscos (ameaças/perigos)
relacionadas com os
processos/macroprocessos
chaves constantes do
escopo definido.
Identificação de riscos
Produzir uma lista de
riscos.
42

Assim, ao fim do processo de identificação de riscos teremos uma

listagem que será a base para a análise de riscos:

Devem ser consideradas na identificação de riscos:

 mudanças organizacionais (fusão, extinção e incorporação de novas
atividades, por exemplo);
 mudanças em processos/macroprocessos organizacionais.
 43

Técnicas para a identificação de riscos recomendáveis

1. Relatórios de eventos anteriores
Consiste na catalogação de todos os eventos de riscos anteriormente
ocorridos/identificados na organização ou indicados por fontes externas
como a CGDF ou o TCDF, por exemplo.

2. Brainstorming
Em Língua Portuguesa, “tempestade cerebral” é uma técnica de dinâmica
de grupo que consiste em que os participantes expressem uma (ou
várias, preferencialmente) palavra/conceito relacionada com uma
determinada problemática, sem que haja um preliminar julgamento
(certo ou errado).
44

Forma de aplicação da técnica Brainstorming:

 realização de reunião com grupo previamente selecionado;

 registro de todas as palavras/conceitos;

 análise de pertinência temática de todas as palavras/conceitos;

 consolidação documental dos resultados.

3. Método What-If
Segundo Silva (2012),
método qualitativo que se baseia na formulação de questões: “e se tal
coisa ocorrer?”. Avaliações científicas salientam versatilidade e robustez
dos resultados decorrentes da análise What-If na prospecção de
tendências, o que, contudo, depende da acuracidade na formulação de
perguntas.
 45

Forma de aplicação do Método What-If:

 reunião para a preparação de questões;
 realização individual ou coletiva da resposta ao questionário;

 discussão dos resultados;

 consolidação documental dos resultados.

Ruppenthal (2013) apresenta-nos alguns exemplos da aplicação do Método

What-If, como este:
46

4. Análise SWOT
Técnica de diagnóstico organizacional desenvolvida pelo luminar Peter
Drucker (em que pese a atribuição de autoria a Albert Humphrey), com
base nos ensinamentos do livro a Arte da Guerra (Sun Tzu), na qual, em
forma matricial, são registradas variáveis relacionadas com o ambiente
interno (forças – strengths – e fraquezas – weaknesses) e com o ambiente
externo (oportunidades – opportunities – e ameaças – threats) de uma
organização (de qualquer natureza).

Forma de aplicação da técnica Análise SWOT:

 coleta de dados de fontes diversas;

 registro das informações por tipo de variável;

 discussão dos resultados;

 consolidação documental dos resultados.

 47

Processo de gerenciamento de riscos

A análise de riscos, por sua vez, está

preocupada em desenvolver uma
compreensão de cada risco, suas
consequências e a probabilidade
dessas consequências.

ISO, 2018.

Análise de riscos
O propósito da análise de riscos é compreender a natureza do risco e
suas características, incluindo o nível de risco, onde apropriado. [...] Um
evento pode ter múltiplas causas e consequências e pode afetar
múltiplos objetivos.
A análise de riscos pode ser realizada com vários graus de detalhamento
e complexidade, dependendo do propósito da análise, da disponibilidade
e confiabilidade e dos recursos disponíveis.
48

O risco é analisado considerando-se as suas:

 consequências;

 probabilidades.

Fatores que influenciam a análise:

 probabilidade de eventos e consequências;

 natureza e magnitude das consequências;

 complexidade e conectividade;

 fatores temporais e volatilidade;

 eficácia dos controles existentes;

 sensibilidade e níveis de confiança.

Requisitos:
 dados e informações;

 registros, estatísticas de históricos de ocorrências atualizados;

 capacidades analíticas instaladas na organização (processos – recursos –

pessoas).
 49

Tipos de análise:
 qualitativa (semântica);
 quantitativa (percentual – quantitativa);

 semiquantitativa (estimativa – quantitativa).

Análise qualitativa X Análise quantitativa

50

Nível de risco

NR = IMPACTO X PROBABILIDADE

Probabilidade

R 100
 51

Impacto

Nível de risco –
Negativo (ameaça) X Positivo (oportunidade)
52

Processo de gerenciamento de riscos

ISO, 2018.

Avaliação de riscos
A ISO 31000 estabelece que “a análise de riscos fornece uma entrada para
a avaliação de riscos (risk evaluation), para decisões sobre se o risco
necessita ser tratado e como, e sobre a estratégia e os métodos mais
apropriados para o tratamento de riscos”.
Portanto, segundo a norma, “o propósito da avaliação de riscos (risk
evaluation) é apoiar decisões”.
A avaliação de riscos envolve a comparação dos resultados da análise de
riscos com os critérios de riscos estabelecidos para determinar onde é
necessária ação adicional.

ISO, 2018.
 53

Após a avaliação de riscos pode-se decidir:

 evitaro risco ao decidir não iniciar ou continuar com a atividade
que dá origem ao risco;
 assumir ou aumentar o risco de maneira a perseguir uma
oportunidade;
 remover a fonte de risco;
 mudar a probabilidade;
 mudar as consequências;
 compartilhar o risco (por exemplo, por meio de contratos, compra
de seguros);
 reter o risco por decisão fundamentada.

Convém que as decisões levem em conta o contexto mais amplo do risco

e considerem a tolerância aos riscos assumida por partes que não a
própria organização que se beneficia do risco. [...]
A avaliação de riscos pode levar à decisão de não se tratar o risco de
nenhuma outra forma que seja manter os controles existentes. [...]

ISO, 2009.
54

Finalidade: auxiliar na tomada de decisões.

 Quais riscos necessitam de tratamento?

 Quais as prioridades na implantação de controles?

Comparação: nível de risco x critério de risco.

 Considerar o contexto mais amplo e as consequências reais e
percebidas pelas partes interessadas.
É importante que os resultados obtidos sejam registrados,
comunicados e então validados nos níveis apropriados da
organização.

Avaliação de riscos
Consequência

Catastrófica Médio Alto Extremo Extremo Extremo

Maior Médio Médio Alto Extremo Extremo
Moderada Baixo Médio Médio Alto Extremo
Menor Baixo Baixo Médio Alto Alto
Desprezível Baixo Baixo Baixo Médio Alto
Probabilidade
Raro Improvável Possível Provável Quase Certo
Atitude

Risco extremo => modificações e novos controles devem ser

implantados com urgência, com ciência da atuação à alta administração
para acompanhamento;
Risco alto => modificações e novos controles devem ser implantados
de forma célere, sob supervisão da gerência da organização;
 55

Risco médio => modificações e novos controles devem ser

implantados ao longo do ciclo determinado para revisão da gestão de
riscos;
Risco baixo => manutenção de práticas e procedimentos.
Atitude perante o risco
Abordagem da organização para avaliar e, eventualmente, buscar, reter,
assumir ou afastar-se do risco.
56

Exercício 4
Nos grupos, identificar e analisar quatro riscos, considerando
o escopo, o contexto e os critérios anteriormente definidos.
60 minutos

5. Etapas da Implantação: tratamento de riscos,

comunicação e consulta, monitoramento
e análise crítica
 57

Processo de gerenciamento de riscos

ISO, 2018.

Tratamento de riscos
Visa a selecionar e implementar opções para abordar riscos.
A seleção de tratamentos envolve a avaliação de custo/benefício para sua
implantação.
58

O tratamento é um processo iterativo de:

 formular e selecionar opções de tratamento de risco;

 planejar e implementar o tratamento do risco;

 avaliar a eficácia desse tratamento;

 decidir se o risco remanescente é aceitável;

 se não for aceitável, realizar tratamento adicional.

Nota: Iterativo – processo que se repete diversas vezes para se chegar a um

resultado e a cada vez gera um resultado.

Opções de tratamento
Tratar riscos pode envolver uma ou mais das seguintes opções:
 evitar o risco;

 assumir ou aumentar o risco (positivos);

 remover a fonte de riscos;

 mudar a probabilidade;

 mudar os impactos;

 compartilhar os riscos;

 reter o risco por decisão fundamentada.

 59

Respostas aos riscos

MP, 2017.

O tratamento deve ser realizado observando os objetivos da organização,

os critérios de risco e os recursos disponíveis.
Ainda que cuidadosamente concebido e implantado, o tratamento pode
não produzir os efeitos desejados e gerar consequências não
vislumbradas.
Se não houver opções de tratamento ou as existentes não forem
suficientes para mitigar determinado risco, convém registrá-lo e mantê-
lo sob análise crítica contínua.
60

Tratamento de riscos
Método de gerenciamento de atividades: 5W2H.
 What (o que será feito?)

 When (quando será feito?)

 Where (onde será feito?)

 Why (por que será feito?)

 Who (quem fará?)

 How (como será feito?)

 How much (quanto custará?)

Resposta ao risco – Plano de ação

Plano de ação é um conjunto de ações necessárias para adequar os níveis de
riscos, por meio da adoção de novos controles ou da otimização dos controles
atuais do processo.
Para responder aos eventos de riscos, é necessária a elaboração de um plano
de implementação de controles, estabelecendo atividades de controles para
assegurar que a resposta seja conduzida.
 61

Plano de ação – exemplo

Exercício 5
Completar, nos grupos, a matriz de riscos,
indicando/projetando os respectivos controles.
60 minutos
62

Processo de gerenciamento de riscos

Comunicação e consulta às partes

interessadas internas e externas, quando
praticável, para obter seus inputs para o
processo e sua participação ativa nos
outputs do processo. Também é
importante entender os objetivos das
partes interessadas, de modo que seu
envolvimento possa ser planejado e suas
opiniões possam ser levadas em
consideração na definição dos critérios
de risco.

ISO, 2018.

Comunicação e consulta
 Comunicação busca promover a conscientização e o entendimento
do risco.
 Consultaenvolve obter retorno e informação para auxiliar a
tomada de decisões
A comunicação e a consulta têm como propósito auxiliar as partes
interessadas pertinentes na compreensão do risco, evidenciar a base
utilizada para a tomada de decisões e a necessidade de tomar
determinadas ações específicas.
 63

Comunicação e consulta visam a:

 reunirdiferentes áreas de especialização para cada etapa do
processo de gestão de riscos;
 assegurar que pontos de vista diferentes sejam considerados
apropriadamente ao se definirem critérios de risco e ao se
avaliarem riscos;
 fornecer informações suficientes para facilitar a supervisão dos
riscos e a tomada de decisão;
 construir um senso de inclusão e propriedade entre os afetados
pelo risco.

Processo de gerenciamento de riscos

Registro e relato de cada etapa do PGR, visando a:
mostrar às partes interessadas que o processo está
sendo conduzido adequadamente; fornecer
evidências de uma abordagem sistemática de
identificação e análise de riscos; possibilitar que as
decisões ou os processos de tomada de decisão
sejam analisados criticamente; possibilitar o
registro dos riscos e desenvolver uma base de
dados do conhecimento da organização; fornecer
aos responsáveis pela tomada de decisão um plano
de tratamento de riscos para sua aprovação e
posterior implementação; oferecer um mecanismo
e uma ferramenta para a prestação de contas;
facilitar o monitoramento e a análise crítica
contínuos; indicar os caminhos para a auditoria
interna e externa; e compartilhar e comunicar
informações sobre as etapas do processo e os seus
resultados.
ISO, 2018.
64

Registro e relato
O registro e o relato visam a:
 comunicar atividades e resultados de gestão de riscos em toda a
organização;
 fornecer informações para a tomada de decisão;

 melhorar as atividades de gestão de riscos;

 auxiliar
a interação com as partes interessadas, incluindo aquelas
com responsabilidade e com responsabilização por atividades de
gestão de riscos.

O relato é parte da governança da organização, sendo fatores

importantes a considerar:
 conjunto de partes interessadas e suas necessidades de informação
e requisitos;
 custo, frequência e pontualidade do relato;

 método de relato;

 pertinência
da informação para os objetivos organizacionais e para
a tomada de decisão.
Decisões relativas à criação, à retenção e ao manuseio de informação
documentada devem considerar a sensibilidade da informação e o
contexto.
 65

Processo de gerenciamento de riscos

Monitoramento e análise crítica,

para que ações apropriadas sejam
implementadas à medida que surgem
novos riscos, e os riscos existentes
sejam modificados como resultado
de mudanças nos objetivos da
organização ou no ambiente interno
e externo. Isso envolve uma
varredura do ambiente pelos
proprietários de risco e auditores
internos, levando em conta novas
informações disponíveis e lições
aprendidas sobre riscos e controles,
a partir da análise de sucessos
ISO, 2018. e fracassos ocorridos.

Monitoramento e análise crítica

O propósito do monitoramento e da análise crítica é assegurar a
qualidade e a eficácia da concepção, implementação e resultados do
processo.
Convém a realização de monitoramento e avaliação crítica em todos os
estágios do processo bem como a incorporação de seus resultados às
atividades.
66

Enfim...

IBGC, 2017.

6. Aplicações da Gestão de riscos

 67

Aplicações da GR no setor público

Aplicações da GR no setor público

68

Ferramentas de apoio

Ferramentas de apoio
Atividades CGDF
Legislação
Orientações
Dúvidas frequentes
Metodologia GR / PI
Acervo Técnico
Modelos de Matrizes
Capacitações CGDF
Cursos EAD
Sistema SAEWEB
Notícias

http://www.gestaoderiscos.cg.df.gov.br/
 69

Apresentações

Encerrando

“Gerenciamento de Riscos é uma

jornada, não um destino.”
Kevin W. Knight
70

http://egov.df.gov.br