Apostila Curso

Prévia do material em texto

2 
 
Apresentação .............................................................................................................................. 5 
Objetivos do Curso ..................................................................................................................... 7 
Objetivo Geral ....................................................................................................................... 7 
Objetivos Específicos ............................................................................................................. 7 
Estrutura do Curso ..................................................................................................................... 8 
MÓDULO I – FUNDAMENTOS E MODELOS DE GESTÃO DE RISCOS ........................ 9 
Apresentação ............................................................................................................................ 9 
Objetivos do Módulo ............................................................................................................... 10 
Estrutura do Módulo ............................................................................................................... 11 
Aula 1 – Governança Pública e a Gestão de Riscos ................................................................. 12 
Aula 2 – Fundamentos da Gestão de Riscos ........................................................................... 16 
Aula 2.1 – Fundamentos ..................................................................................................... 16 
Aula 2.2 – Controles Internos da Gestão............................................................................. 20 
Aula 2.3 – Evolução histórica .............................................................................................. 23 
Aula 3 – Modelos de Gestão de Riscos ................................................................................... 27 
Aula 3.1 – COSO ................................................................................................................... 27 
Aula 3.2 - ISO 31000 ............................................................................................................ 29 
Aula 3.3 - THE ORANGE BOOK ............................................................................................. 31 
Finalizando .............................................................................................................................. 33 
MÓDULO II - MODELO DE GESTÃO DE RISCOS NA APF - CASO MJSP .................. 36 
Apresentação .......................................................................................................................... 36 
Objetivos do Módulo ............................................................................................................... 37 
Estrutura do Módulo ............................................................................................................... 37 
Aula 1 - A Política e Gestão de Riscos e Controles Internos .................................................... 38 
Aula 2 - Instâncias de Supervisão ............................................................................................ 42 
Aula 3 - Metodologia de Gerenciamento de Riscos do MJSP ................................................. 47 
Aula 3.1 - O Processo de gerenciamento de riscos ............................................................. 47 
Aula 3.2 – O Sistema AGIR ................................................................................................... 49 
Finalizando .............................................................................................................................. 50 
MÓDULO III – PROCESSO DE GESTÃO DE RISCOS - CASO MJSP .......................... 53 
Apresentação .......................................................................................................................... 53 
Objetivos do Módulo ............................................................................................................... 54 
Estrutura do Módulo ............................................................................................................... 54 
Aula 1 - Análise de Ambiente e Fixação de Objetivos ............................................................. 55 
Aula 1.1 - Contexto .............................................................................................................. 55 
 
 3 
Aula 1.2 - Análise do contexto operacional ........................................................................ 58 
Aula 1.3 - Análise do contexto ambiental ........................................................................... 62 
Aula 1.4 - Documentação da Etapa ..................................................................................... 64 
Aula 2 - Identificação dos Riscos ............................................................................................. 65 
Aula 2.1 - Elementos Básicos do Risco ................................................................................ 66 
Aula 2.2 - Categorias de Riscos ............................................................................................ 66 
Aula 2.3 - Identificação e Análises ....................................................................................... 67 
Aula 3 - Avaliação de Riscos .................................................................................................... 72 
Aula 3.1 - Probabilidade e Impacto - Mensuração .............................................................. 72 
Aula 3.2 - Matriz de Risco - Nível do Risco e Incerteza ....................................................... 75 
Aula 3.3 - Documentação e Artefatos Previstos ................................................................. 77 
Aula 4 - Tratamento de Riscos ................................................................................................ 79 
Aula 4.1 - Resposta aos Riscos ............................................................................................ 79 
Aula 4.2 - Plano de Implementação de Controles ............................................................... 81 
Aula 4.3 - Documentação e Artefatos Previstos ................................................................. 84 
Aula 5 - Informação, Comunicação e Monitoramento ........................................................... 87 
Aula 5.1 - Monitoramento ................................................................................................... 89 
Aula 5.2 - Relatório .............................................................................................................. 91 
Aula 5.3 - Documentação e Artefatos Previstos ................................................................. 92 
Aula 6 - Técnicas úteis para a Gestão de Riscos ...................................................................... 96 
Aula 6.1 – Brainstorming ..................................................................................................... 96 
Aula 6.2 - Análise de Árvore de Falhas – AAF ...................................................................... 98 
Aula 6.3 - Diagrama de causa e efeito ............................................................................... 100 
Aula 6.4 - Análise BOW TIE ................................................................................................ 101 
Aula 6.5 - Priorização de Processos ................................................................................... 102 
Aula 6.6 - FMEA – Análise dos Modos de Falha e Efeitos ................................................. 103 
Aula 6.7 - Entrevistas estruturadas ou semiestruturadas ................................................. 104 
Aula 6.8 - DELPHI ............................................................................................................... 106 
Aula 6.9 - Análise de Perigo e Pontos Críticos de Controlegarantia razoável de cumprimento dos objetivos da entidade. 
Para o TCU (BRASIL, 2020b), implantar o processo de gestão 
de riscos deve ser incorporado aos demais processos 
organizacionais, a começar do planejamento estratégico, de 
forma a subsidiar a tomada de decisão e assegurar o alcance 
dos objetivos, sejam eles estratégicos, operacionais, específicos 
de um projeto, processo, função, serviço, produto, ativo ou 
programa. 
Conforme estabelecido na Política e Gestão de Riscos e Controles 
Internos do MJSP, a metodologia de gestão de riscos e controles internos do 
Ministério deve ser estruturada com base no modelo do Committee of 
Sponsoring Organizations of the Treadway Commission - COSO, da Norma 
Internacional ISO 31000 e de boas práticas, contemplando os seguintes 
componentes: 
a) ambientes interno e externo; 
b) fixação de objetivos; 
c) identificação de eventos; 
d) avaliação de riscos; 
e) resposta a riscos; 
f) atividades de controles internos, informação e comunicação; e 
 
 48 
g) monitoramento. 
No sentido de garantir a integração ao processo de Planejamento 
Estratégico - PE do Ministério, conforme previsto na metodologia do MJSP, o 
ciclo do processo de gerenciamento de riscos acompanha o ciclo do PE e ocorre 
em até 90 (noventa) dias da data de aprovação do Plano Estratégico do MJSP, 
ou 60 (sessenta) dias, nos casos de repactuação. 
A metodologia estabelecida no MJSP contempla cinco etapas, as quais 
serão apresentadas detalhadamente no Módulo III. 
A Análise de Ambiente e Fixação de Objetivos tem por finalidade 
priorizar os processos de trabalhos viabilizadores dos objetivos estratégicos do 
Ministério e identificar os fatores que podem interferir na condição que a 
organização tem de atingir seus resultados, bem como definir e estruturar um 
conjunto de informações que servirá de apoio às demais etapas do processo de 
gerenciamento de riscos. 
Na Identificação de Riscos, são documentadas as características de 
todos os eventos associados aos processos de trabalho das unidades do MJSP, 
priorizados na etapa anterior, que possam comprometer a capacidade do 
Ministério alcançar os resultados propostos em sua estratégia. 
A Avaliação de Riscos tem como objetivo mensurar a probabilidade dos 
riscos identificados ocorrerem, os seus impactos sobre os objetivos e, ainda, 
determinar a magnitude do risco (nível do risco), elementos que servirão de base 
para as decisões sobre o tratamento desses riscos. 
O Tratamento de Riscos envolve a identificação das alternativas mais 
adequadas para modificar o nível do risco (Resposta ao Risco) e o planejamento 
do conjunto de medidas a serem implementadas para tratar esses riscos. 
A etapa Informação, Comunicação e Monitoramento tem por finalidade 
garantir a qualidade da informação e o acesso adequado para que aqueles que 
necessitam dessas informações possam cumprir as suas responsabilidades. 
Orientada pela política e estabelecida pelo Comitê de Gestão Estratégica – CGE, 
a gestão de riscos no âmbito do MJSP é integrada ao seu planejamento 
estratégico, conforme o fluxo do processo de gerenciamento de riscos a seguir: 
 
 49 
 
 
 
Figura 13 - Processo de Gerenciamento de Riscos e Controles Internos do MJSP 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Aula 3.2 – O Sistema AGIR 
 
Dentre as medidas para implantação da gestão de riscos no âmbito do 
Ministério, o lançamento do Sistema de Apoio à Gestão da Integridade e Riscos 
(AGIR), em novembro de 2019, representou a consolidação do Modelo de 
Gerenciamento de Riscos e Controles Internos da Gestão do MJSP. 
Desenvolvido pela equipe técnica da AECI, o sistema AGIR tem por objetivo ser 
um instrumento de apoio e facilitação da implantação e aplicação da metodologia 
de gerenciamento de riscos e controles internos da gestão do MJSP. 
Nesse sentido, o Sistema Agir deve ser utilizado por todos os servidores 
envolvidos no gerenciamento de riscos em cada unidade do MJSP, destacando 
o papel dos servidores que compõem a instância de supervisão denominada 
Unidade de Gestão de Riscos e Controles Internos - UGRC e Gestores dos 
Processos de trabalho constantes da cadeia de valor. 
 
 
 
 50 
 
 
 
Figura 14 - Tela Inicial do sistema AGIR 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
SAIBA MAIS! 
1. O TCU elaborou um GUIA com dez passos que, se 
observados, contribuirão para o êxito da sua organização 
na incorporação da gestão de riscos aos seus processos 
de governança e gestão. (BRASIL, 2018k) 
 
Finalizando 
 
Neste módulo, você aprendeu que implementar e fortalecer a gestão de 
riscos em sua organização implica: 
• Definir e implementar uma estrutura de gestão de riscos adequada à 
organização. Essa estrutura exige o comprometimento explícito da 
liderança, o que deve ser formalizado por meio de uma política. 
• Definir claramente os papéis e as responsabilidades dos atores e das 
unidades da organização de forma que todos compreendam os limites 
de suas responsabilidades e como se posicionam na estrutura de 
gestão de riscos, possibilitando que estejam informados, habilitados e 
https://portal.tcu.gov.br/data/files/3F/D5/65/C0/27A1F6107AD96FE6F18818A8/10_passos_boa_gestao_riscos.pdf
 
 51 
autorizados a exercer seus papéis e responsabilidades no 
gerenciamento de riscos. 
• Implantar o processo de gestão de riscos, que deve ser incorporado 
aos demais processos organizacionais, a começar do planejamento 
estratégico, de forma a subsidiar a tomada de decisão e assegurar o 
alcance dos objetivos, sejam eles estratégicos, operacionais, 
específicos de um projeto, processo, função, serviço, produto, ativo ou 
programa. 
• Ser a Política e Gestão de Riscos e Controles Internos, no caso do 
MJSP, um dos elementos constantes do normativo que institui o 
Sistema de Governança do Ministério e está disposta no ANEXO VIII, 
da Portaria MJSP nº 2/2022 (BRASIL, 2022). 
• Saber que a responsabilidade pelo gerenciamento de risco cabe a 
cada agente público no desempenho de suas atividades na unidade 
de seu trabalho. 
• Saber que as Instâncias de Supervisão e as competências para o 
gerenciamento de riscos e controles internos estão definidas no Anexo 
IV do Sistema de Governança da PGRCI do MJSP, abrangendo os 
níveis estratégico, tático e operacional. 
• Estar a metodologia de gestão de riscos e controles internos do 
Ministério estruturada com base no modelo do Committee of 
Sponsoring Organizations of the Treadway Commission - COSO, da 
Norma Internacional ISO 31000 e de boas práticas, contemplando os 
seguintes componentes: 
• a) ambientes interno e externo; 
• b) fixação de objetivos; 
• c) identificação de eventos; 
• d) avaliação de riscos; 
• e) resposta a riscos; 
• f) atividades de controles internos, informação e 
comunicação; e 
• g) monitoramento; 
 
 52 
• Entender que o ciclo do processo de gerenciamento de riscos 
acompanha o ciclo do PE e ocorre em até 90 (noventa) dias da data 
de aprovação do Plano Estratégico do MJSP, ou 60 (sessenta) 
dias, nos casos de repactuação. 
• Saber que o Sistema de Apoio à Gestão da Integridade e Riscos 
(AGIR) é a ferramenta que consolida o Modelo de Gerenciamento 
de Riscos e Controles Internos da Gestão do MJSP, devendo ser 
utilizado por todos os servidores envolvidos no gerenciamento de 
riscos em cada unidade, destacando o papel dos servidores que 
compõem a instância de supervisão denominada Unidade de 
Gestão de Riscos e Controles Internos - UGRC e Gestores dos 
Processos de trabalho constantes da cadeia de valor. 
 
 
 53 
MÓDULO III – PROCESSO DE GESTÃO DE RISCOS - 
CASO MJSP 
 
Apresentação 
 
As etapas do processo de gestão de riscos são basicamente as mesmas 
nos diversos modelos citados neste referencial, com algumas variações 
terminológicas. Por exemplo, o COSO IIdenomina “resposta a risco” o que a ISO 
31000 chama de “tratamento de riscos”. 
Este módulo descreve o processo de gestão de riscos implantado no 
MJSP, com fundamento na norma ISO 31000 e no COSO II. 
A partir da definição dos processos prioritários, os Gestores dos 
processos estratégicos e suas equipes, com o uso do sistema AGIR, conduzem 
as etapas de identificação e avaliação dos riscos a eles relacionados, definição 
da opção de tratamento do risco e elaboração do plano de implementação de 
controle, sinteticamente apresentadas no diagrama a seguir: 
Figura 15 - Diagrama do processo de gerenciamento de riscos do MJSP 
 
Fonte: Manual de Gerenciamento de Riscos e Controles Internos do MJSP (BRASIl, 2020a). 
 
 
 
 54 
Objetivos do Módulo 
 
Tendo como referência o processo implantado no âmbito do MSJP, o 
módulo tem o objetivo de fornecer as informações básicas sobre o processo de 
identificação, avaliação e controle de riscos organizacionais. 
Estrutura do Módulo 
 
Este módulo compreende as seguintes aulas: 
Aula 1 – Análise de Ambiente e Fixação de Objetivos. 
Aula 2 – Identificação dos Riscos. 
Aula 3 – Avaliação de Riscos. 
Aula 4 – Tratamento de Riscos. 
Aula 5 – Informação, Comunicação e Monitoramento. 
Aula 6 – Técnicas úteis para a Gestão de Riscos. 
 
 
 55 
Aula 1 - Análise de Ambiente e Fixação de Objetivos 
 
 
Nesta etapa você deve obter uma visão abrangente de todos os fatores 
que podem influenciar a capacidade da organização de atingir os resultados 
esperados. O resultado desta etapa será o relato conciso dos objetivos 
organizacionais e os critérios específicos para que se tenha êxito; dos objetivos 
e do escopo da gestão de riscos e do conjunto de elementos-chave para a 
estruturação da atividade de identificação dos riscos. 
É especialmente importante que o escopo da gestão de riscos seja 
definido claramente, para que o restante do processo permaneça dentro dos 
limites desejados. Tendo como referência os produtos do Planejamento 
Estratégico do MJSP, serão coletadas, analisadas e documentadas informações 
sobre os objetivos a serem atingidos e como fazer para alcançá-los, de modo a 
identificar os principais processos de trabalho das unidades do Ministério que 
contribuem para a consecução dos projetos estratégicos e, consequentemente, 
para o alcance dos objetivos propostos na estratégia do MJSP. 
Com os processos de trabalho definidos e priorizados, e com os objetivos 
estabelecidos, o próximo passo será demonstrar as características ambientais e 
contextuais destes processos de trabalho. 
 
Aula 1.1 - Contexto 
 
 
De acordo com Chiavenato (2012), os objetivos de uma organização 
devem ser definidos pela alta administração e servir de direção a todos os 
principais planos, além de especificar os resultados desejados e os pontos finais 
nos quais se pretende chegar, para, assim, conhecer cada etapa a ser 
percorrida. É no momento do planejamento, dessa parte integrante das funções 
administrativas, que aparece a pergunta: “para onde se quer ir?” 
As funções administrativas de uma organização são 
desenvolvidas dentro de um processo administrativo, composto 
 
 56 
pela interação das funções de planejar, organizar, dirigir e 
controlar. 
É na fase do planejamento que se desenvolve o processo para alcançar 
uma situação futura almejada, que pode ser a longo, médio ou curto prazos. Vale 
ressaltar que os objetivos fixados devem ser alcançáveis e mensuráveis. Além 
disso, eles precisam estar alinhados à missão e à visão da organização, pois, de 
acordo com o COSO (2007; 2017), é a partir dos motivos da sua existência que 
a alta administração estabelece os objetivos relacionados às operações, à 
conformidade e à comunicação. 
Com relação aos níveis de planejamento, eles se estruturam em 
estratégico, tático e operacional. Nesse sentido, o COSO (2007; 2017) explica 
que os objetivos são fixados no nível estratégico, estabelecendo-se uma base 
para os objetivos operacionais e, ainda, acrescenta que eles são um pré-
requisito para identificação eficaz de eventos, avaliação de riscos e respostas a 
esses riscos. 
No âmbito do MJSP, é por meio do processo de Gestão Estratégica que 
se dá o estabelecimento, para toda a organização, dos objetivos a serem 
atingidos e de como fazer para alcançá-los. 
“Gestão Estratégica é o processo gerencial contínuo e 
sistemático que objetiva definir a direção a ser seguida pelo 
Ministério, visando otimizar sua relação com os ambientes 
interno e externo, por meio do alcance dos objetivos 
propostos.” (Anexo X, art. 1º - Portaria nº 2/2022) 
Conforme apresentado na Figura a seguir, a elaboração do Planejamento 
Estratégico é composta por seis etapas, tendo como produto quatro documentos 
essenciais: a cadeia de valor; o mapa estratégico; os indicadores e metas; e a 
carteira de projetos estratégicos. 
 
 
 57 
Figura 16 - Processo de Planejamento Estratégico do MJSP 
 
Fonte: Manual de Gerenciamento de Riscos e Controles Internos do MJSP (BRASIL, 2020a). 
 
Os objetivos do MJSP estão elencados no Mapa Estratégico 2020-2023 e 
foram estabelecidos em consonância com o PPA sob três dimensões: Sociedade 
e Governo, Habilitadores e Fundamentos. 
Figura 17 - Mapa Estratégico: Dimensão X Objetivos Estratégicos 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Para avaliar o alcance desses objetivos, foram definidos Indicadores e 
Metas, por meio dos quais se avalia o sucesso da estratégia. 
 
 58 
A Carteira de Projetos Estratégicos é um conjunto de projetos 
que contribui para o alcance dos objetivos propostos na 
estratégia e é gerenciado pelas unidades e acompanhado por 
todo o Ministério. Adicionalmente, a Cadeia de Valor compõe o 
MJSP em suas atividades de relevância estratégica, o que 
possibilita compreender os principais processos primários que o 
Ministério executa para entregar valor à sociedade, assim como 
permite conhecer também os processos de suporte e 
gerenciamento que contribuem para o funcionamento da 
organização. 
Assim, integram o planejamento estratégico do MJSP os quatro 
documentos essenciais (cadeia de valor; mapa estratégico; indicadores e metas 
estratégicos; e carteira de projetos estratégicos), que, associados, definirão o 
objeto da gestão de riscos. 
 
Aula 1.2 - Análise do contexto operacional 
 
A gestão de riscos no âmbito do MJSP deve ser integrada ao 
planejamento estratégico, orientada pela política e estabelecido pelo Comitê de 
Governança Estratégica – CGE, na qual o processo de trabalho constitui-se em 
elemento base para a aplicação da metodologia. A partir da análise do contexto 
operacional, considerando os níveis da organização, é possível a identificação 
de eventos de riscos, avaliação de riscos e escolha de ações mais adequadas 
para assegurar o alcance dos objetivos estratégicos. 
 
 
 59 
Figura 18 - Níveis da estrutura do gerenciamento de risco do MJSP 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
A associação dos elementos apresentados nos quatro documentos 
resultantes do planejamento estratégico do MJSP estabelece uma estrutura 
referencial organizada em níveis e define os processos de trabalho para as 
demais etapas do gerenciamento de riscos. 
Em especial, da Carteira de Projetos Estratégicos, por meio do qual é 
explicitado o conjunto de projetos que contribuem para o alcance dos objetivos 
propostos na estratégia, à Cadeia de Valor, contendo os processos finalísticos e 
de suporte executados pela organização. 
Os processos de trabalho, objeto da gestão de risco, serão os processos 
estratégicos, ou seja, os processos contidos na Cadeia de Valor do MJSP que 
estão vinculados com os atributos dos projetos e indicadores relacionados ao 
Planejamento Estratégico ciclo 2020-2023. O processo será considerado 
estratégico, caso tenha pelomenos 1 (um) projeto ou 1 (um) indicador associado. 
 
 
 60 
Figura 19 - Processo Estratégico – Alinhamento Cadeia de Valor e Indicadores/Projetos 
Estratégicos 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Assim, cada órgão/unidade deve, a partir da criação de equipe 
formalmente constituída com este propósito, identificar quais são os principais 
processos de trabalho e como eles contribuem para o alcance da estratégia sob 
sua responsabilidade. Considerando o mapa estratégico do MJSP, o 
alinhamento dos processos finalísticos será realizado com projetos e indicadores 
associados aos objetivos estratégicos da perspectiva de sociedade e governo e 
habilitadores; já o alinhamento dos processos de governança, gestão e suporte 
será realizado com projetos e indicadores associados aos objetivos estratégicos 
da perspectiva de fundamentos. 
 
Após a identificação dos processos de trabalho que serão objeto da 
gestão de risco, sugere-se o uso do Diagrama de Escopo e Interface do 
Processo (DEIP), utilizado na metodologia de gestão de processos como 
ferramenta para delimitar o escopo de trabalho, permitindo identificar, conhecer 
e documentar o processo. O DEIP possibilita a visualização do processo em nível 
macro, identificando seus principais elementos: entradas, etapas, saídas, 
reguladores, sistemas e infraestrutura; de forma que retrate o funcionamento do 
 
 61 
processo, bem como seja conhecido pela equipe. É importante salientar que é 
necessário definir o objetivo do processo de trabalho que será objeto da gestão 
de risco. 
Figura 20 - Diagrama de Escopo e Interfaces do Processo (DEIP) 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Além disso, no sentido de conhecer e demonstrar as características dos 
referidos processos de trabalho, entre outras, devem ser coletadas informações 
sobre as rotinas e controles existentes e suas formas de execução, os sistemas 
informatizados utilizados, o montante de recursos orçamentários ou financeiros 
alocados (materialidade), as vulnerabilidades, fraquezas, situações críticas 
efetivas ou potenciais já identificadas (criticidade) e a importância relativa ou o 
papel desempenhado pelo processo de trabalho no alcance dos objetivos 
estratégicos (relevância). 
 
 62 
 
 
 
 
Aula 1.3 - Análise do contexto ambiental 
 
 
Adicionalmente, é importante que seja procedida a análise dos ambientes 
internos e externos, nos quais a unidade e seus processos de trabalho estão 
inseridos. Para tanto, com enfoque na identificação das forças e fraquezas, bem 
como das oportunidades e ameaças que podem impactar as atividades 
 
 63 
executadas, sugere-se a utilização da ferramenta Análise de SWOT, ou qualquer 
outra técnica que permita a identificação. A expressão SWOT refere-se à junção 
das iniciais das palavras inglesas Strengths (forças), Weaknesses (fraquezas), 
que devem ser reconhecidas considerando-se o ambiente interno; Opportunities 
(oportunidades) e Threats (ameaças), identificadas na análise do ambiente 
externo. 
Figura 21 - Análise SWOT 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
A utilização desta técnica irá auxiliar a equipe na etapa de identificação 
dos riscos, pois, conhecendo as vulnerabilidades, as fraquezas identificadas no 
ambiente interno e as ameaças do ambiente externo que norteiam o processo 
de trabalho, permitirá a detecção de prováveis eventos de risco e suas causas. 
Assim, essa etapa consiste em priorizar os processos estratégicos para o 
Ministério, documentar as informações colhidas a partir do DEIP, do relato 
sintético do contexto do processo de trabalho e da análise SWOT. Tais 
informações formam os artefatos necessários para a próxima etapa, que será a 
identificação dos riscos. 
 
 
 64 
Aula 1.4 - Documentação da Etapa 
 
 
Figura 22 - Diagrama da Etapa “Análise de Ambiente e Fixação de Objetivos” 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Em síntese a Unidade de Gestão de Riscos e Controles Internos – UGRC 
do Órgão/Unidade, em parceria com a Coordenação-Geral de Gestão 
Estratégica e Inovação Institucional – CGE/SPO/SE, deverá realizar as 
seguintes atividades: 
• Alinhamento Estratégico – Objetivos, Indicadores/Metas, Projetos 
Estratégicos e Processos de Trabalho. 
• Seleção dos processos estratégicos, objeto da gestão de riscos. 
 
O Gestor do Processo e sua equipe deverão realizar as seguintes 
atividades: 
•Elaborar o Diagrama de Escopo e Interface do Processo – DEIP; 
•Descrever o relato sintético do contexto do processo de trabalho; e 
•Elaborar a Análise Swot. 
 
 
 65 
Aula 2 - Identificação dos Riscos 
 
O simples fato de executar alguma atividade abre a possibilidade de 
ocorrência de eventos ou situações cujas consequências constituem 
oportunidades para obter vantagens (lado positivo) ou então ameaças ao 
sucesso (lado negativo). 
Eventos são situações em potencial, de origem interna ou 
externa, que podem provocar impactos positivos ou 
negativos na consecução dos objetivos da organização. Os 
eventos negativos são denominados riscos, enquanto os 
positivos, oportunidades. 
Figura 23 - Conceito de Risco (metodologia MJSP) 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Para que os riscos possam ser gerenciados é necessário primeiro 
identificá-los para, posteriormente, decidir o tipo de resposta e planejar a forma 
de tratamento a ser dada a esses riscos. 
Dessa forma, com o propósito de conhecer os riscos inerentes ao 
cumprimento dos objetivos do MJSP, essa etapa trata da identificação e da 
documentação das características de todos os eventos que possam 
comprometer a capacidade do Ministério de alcançar os resultados propostos 
em sua estratégia. 
 
 
 66 
 
Aula 2.1 - Elementos Básicos do Risco 
 
O risco é tudo que pode acontecer (incerteza) e impactar negativamente 
o alcance do objetivo. De maneira geral, um risco está associado aos seguintes 
componentes: 
• Uma fonte de risco - aquilo que tem o potencial intrínseco de prejudicar; 
• Um evento - algo que pode acontecer de tal forma que a fonte do risco 
tem um impacto envolvido; 
• Uma causa – (o quê e por quê) normalmente uma série de causas 
diretas e intrínsecas para a presença do perigo ou ocorrência do evento; 
• Uma consequência - resultado ou impacto nos objetivos da 
organização. 
Figura 24 – Elementos básicos do risco 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
 
Aula 2.2 - Categorias de Riscos 
 
Embora não haja uma classificação de riscos que seja consensual, 
exaustiva e aplicável a todas as organizações, a classificação de riscos em 
categorias, além de auxiliar na identificação dos eventos, permite a visão dos 
tipos de risco mais relevantes com os quais a organização pode se deparar. 
Conforme disposto na IN Conjunta MP/CGU Nº 01/2016 (BRASIL, 2016) 
e em normativos e orientações internas, para o mapeamento dos riscos, devem 
ser consideradas, entre outras possíveis, as seguintes tipologias de riscos: 
a) Riscos operacionais: eventos que podem comprometer as atividades 
do órgão ou da entidade, normalmente associados a falhas, deficiência ou 
inadequação de processos internos, pessoas, infraestrutura e sistemas; 
 
 67 
b) Riscos de imagem/reputação do órgão: eventos que podem 
comprometer a confiança da sociedade (ou de parceiros, de clientes ou 
de fornecedores) em relação à capacidade do órgão ou da entidade em 
cumprir sua missão institucional; 
c) Riscos legais: eventos derivados de alterações legislativas ou 
normativas que podem comprometer as atividades do órgão ou da 
entidade; 
d) Riscos financeiros/orçamentários: eventos que podem comprometer a 
capacidade do órgãoou da entidade de contar com os recursos 
orçamentários e financeiros necessários à realização de suas atividades, 
ou, ainda, eventos que possam comprometer a própria execução 
orçamentária, como atrasos no cronograma de licitações; e 
e) Riscos para a integridade: riscos que configurem ações ou omissões 
que possam favorecer a ocorrência de fraudes ou atos de corrupção. 
 
 
Aula 2.3 - Identificação e Análises 
 
 
A identificação dos riscos será realizada no nível dos processos de 
trabalho finalísticos e de suporte executados pelas unidades do MJSP, 
especificamente, os que contribuem para a consecução dos projetos 
estratégicos e, consequentemente, para o alcance dos objetivos propostos na 
estratégia. 
Dessa forma, a equipe responsável pela identificação e documentação 
dos riscos deve garantir a participação de servidores que, além da condição de 
aplicar a metodologia de gerenciamento de riscos e controles internos, possuam 
conhecimento e visão holística das competências e dos processos de trabalho 
da unidade, em seus diferentes níveis, na consecução dos objetivos propostos 
na estratégia do MJSP. 
 
 68 
 
Assim, tendo como referência as informações coletadas na fase de 
Análise do Ambiente e Fixação de Objetivos, a equipe responsável irá identificar 
os riscos associados aos processos de trabalho priorizados, sendo que a 
declaração de cada risco, entre outros aspectos, deve, necessariamente, 
contemplar a identificação do evento de risco, suas causas e seus impactos nos 
projetos e nos objetivos estabelecidos no Planejamento Estratégico do MJSP. 
Adicionalmente, é indispensável conhecer, por meio da avaliação dos 
controles internos da gestão existentes, os principais mecanismos, instrumentos 
e agentes de controle que atualmente permitem o enfrentamento do risco 
identificado, bem como o nível de confiança desses controles. São exemplos de 
atividades de controles: aprovações, conferências, autorizações, verificações, 
validações, conciliações, monitoramento, travas em sistemas, segregação de 
funções, entre outras. 
O objetivo desta etapa é levantar potenciais eventos de riscos 
relacionados ao processo de trabalho, objeto da gestão de riscos, e 
posteriormente, as possíveis causas e consequências, e apresentá-los num 
formato estruturado. 
Inicialmente, considerando o objetivo do processo de trabalho, sugere-se 
o levantamento de todos os eventos, tudo o que pode acontecer, todas as 
possibilidades de desvios de objetivo e as incertezas que podem impactar 
negativamente o seu alcance. Para auxiliar esse levantamento, pode-se utilizar: 
• o Diagrama de escopo e interface do processo – DEIP que foi elaborado 
na etapa anterior; 
• informações sobre o contexto do processo; 
 
 69 
• as fontes de risco, elementos que tem o potencial intrínseco de 
prejudicar, como, por exemplo, recursos materiais, financeiros, pessoas, 
tecnologia, ambiente externo, fluxo do processo etc. 
 
Figura 25 – Fontes de Risco (metodologia MJSP) 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
A fim de identificar o maior número possível de riscos, seguem algumas 
perguntas que poderão ser realizadas ao analisar o processo de trabalho: 
1) Qual é a fonte de cada risco? 
2) O que poderia acontecer se pudesse: 
a. aumentar ou diminuir a consecução eficaz dos objetivos? 
 b. tornar a consecução dos objetivos mais ou menos eficiente? 
c. fazer com que as partes interessadas tomem atitudes que possam 
influenciar a consecução dos objetivos? 
d. gerar benefícios adicionais? 
3) Qual seria o efeito nos objetivos? 
4) Qual a probabilidade deles acontecerem? Quando, onde e por quê? 
 
 70 
5) Quem poderia estar envolvido ou sofrer o impacto? 
6) Quais controles existem atualmente para tratar esse risco? 
7) O que poderia fazer com que o controle existente não surtisse o efeito 
desejado sobre o risco? 
Após o levantamento dos eventos de riscos, é preciso identificar as suas 
causas (aquilo que faz com que o evento seja, exista ou aconteça) e as suas 
consequências (efeito direto no objetivo). 
Sugere-se utilizar as fraquezas e ameaças citadas na Análise SWOT para 
identificar as causas dos eventos de risco. É importante destacar que pode haver 
várias causas para um evento de risco, bem como vários efeitos se o evento vier 
a ocorrer. 
 
Em síntese o Gestor do processo e sua equipe deverão realizar as seguintes 
atividades: 
• Identificar todos os eventos de risco que podem impactar negativamente 
o objetivo do processo estratégico, considerando o DEIP e Análise SWOT; 
• Identificar as causas para o evento de risco considerando as fontes de 
risco, análise SWOT ou diagrama de causa e efeito (Ishikawa). É 
imprescindível que as causas sejam fatos evidenciados na realidade do 
processo de trabalho; 
• Identificar as consequências, relação direta do evento de risco sobre o 
impacto no objetivo; 
• Identificar o tipo de risco: operacional, legal, financeiro/orçamentário, 
imagem/reputação do Órgão, 
• Identificar os controles existentes, as ações mitigadoras para tratar o 
risco atualmente. 
• Avaliar os controles existentes em termos da efetividade do desenho e 
da operação. 
 
 71 
 
 
 72 
Aula 3 - Avaliação de Riscos 
 
 
 Identificados os riscos, é importante compreender o efeito combinado de 
suas causas e consequências na realização dos objetivos da organização. 
Nesse sentido, os riscos são avaliados com base em dois aspectos: a 
probabilidade do risco ocorrer e o seu impacto sobre um ou mais objetivos. 
A avaliação de risco deve considerar as perspectivas das partes 
interessadas impactadas pelo risco e, sempre que possível, ser suportada por 
evidências objetivas, fundamentadas em uma identificação bem realizada. 
Nesse contexto, essa etapa, valendo-se das informações coletadas nas 
fases anteriores, tem como objetivo mensurar a probabilidade dos riscos 
identificados ocorrerem e os seus impactos sobre os objetivos, bem como, a 
partir da combinação dos valores obtidos, determinar o nível de cada um desses 
riscos (probabilidade x impacto). 
 
Aula 3.1 - Probabilidade e Impacto - Mensuração 
 
 
Probabilidade é a chance do risco ocorrer. É medida a partir da 
frequência esperada ou observada das causas ou do evento de risco. 
Impacto é o efeito da ocorrência de um risco. É medido ao partir do efeito 
do evento de risco, que terá um nível de impacto sobre o objetivo que se deseja 
alcançar. Assim, deverão ser considerados alguns critérios para a análise, como 
custo, prazo, reputação, qualidade etc. 
A avaliação dos riscos deve ser feita por meio de métodos de análise 
quantitativo, qualitativo ou a combinação de ambos (semiquantitativo), para 
definir o nível de risco e suas escalas, que auxiliam na medição da probabilidade 
e do impacto (muito baixo, baixo, provável, quase certo, raro, quase impossível 
etc.). 
 
 73 
Conforme estabelecido pelo CGE, para a avaliação dos riscos 
identificados, serão utilizadas as escalas de classificações de probabilidade e 
impacto, conforme tabelas abaixo: 
Escala de Probabilidade 
 
Escala de Impacto 
 
Considerando as informações coletadas sobre os eventos de risco, suas 
causas e seus impactos nos processos priorizados, bem como os controles 
existentes, cada risco identificado na etapa Identificação dos Riscos deverá ser 
avaliado em relação aos aspectos de probabilidade do risco ocorrer e o seu 
impacto sobre um ou mais objetivos do processo. 
Para a atividade da avaliação da probabilidade e do impacto do risco, 
poderão ser utilizadas as mesmas abordagens da etapa de Identificação, tais 
como: brainstorming, informações históricas, relatos, entrevistas, workshops e 
seminários. 
É importante salientar que, como as causas dos riscos são fatos 
geradores que motivam a possibilidade da ocorrência do risco (probabilidade) e 
as consequênciasrefletem o “tamanho” do impacto negativo sobre o objetivo, a 
atuação dos controles como mecanismos de mitigação do risco deve ser 
considerada para a etapa da avaliação. 
 
 74 
Nesse sentido, para efeito da mensuração da probabilidade e do impacto, 
avalia-se como os controles existentes respondem aos eventos de riscos 
identificados, pois o controle reduz o risco inerente. 
Assim, para subsidiar a avaliação dos riscos, é indispensável que se faça 
a avaliação dos controles, considerando aspectos como o desenho (a forma 
como foi planejada, a sua eficácia, formalização etc.) e a operacionalidade 
(forma de execução e temporalidade), conforme é sugerido a seguir: 
 
 
 
 
 75 
Aula 3.2 - Matriz de Risco - Nível do Risco e Incerteza 
 
 
O risco é uma relação da probabilidade com o impacto. Portanto, o nível 
de risco é expresso pela combinação da probabilidade de ocorrência do evento 
e das suas consequências e o quanto ele pode afetar os objetivos da instituição. 
Figura 26 – Função Nível de Risco (metodologia MJSP) 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Utilizando-se de métodos qualitativo e/ou quantitativo, os valores das 
dimensões são definidos para estimar a probabilidade e o impacto 
(consequência), tomando-se por base o objetivo a ser alcançado. O produto da 
probabilidade pelo impacto é uma forma de classificar os riscos. 
A metodologia utilizada, no MJSP, para a etapa da Avaliação dos Riscos, 
utiliza as escalas numéricas definidas pelo CGE, a fim de mensurar o risco em 
termos de probabilidade e impacto. Na sequência, é possível construir a matriz 
de riscos, conforme apresentado na figura a seguir, com a finalidade de 
relacionar os níveis de probabilidade e impactos, para definir o nível de risco: 
 
 
 76 
 
Figura 27 - Matriz probabilidade x impacto 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
O resultado desse processo de análise é a definição do nível do risco 
(combinação do produto entre probabilidade e impacto), classificada conforme a 
escala abaixo, que foi aprovada pela CGE mediante a Resolução nº 2/2018 e 
materializada numa matriz de riscos. A escala apresentada a seguir reflete os 
limites de exposição aceitáveis pelo Ministério, ou seja, a tolerância ao risco: 
 
Figura 28 – Escala para classificação de Níveis de Risco 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
 
 
 77 
Figura 29 - Matriz de Riscos 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
 
 
Aula 3.3 - Documentação e Artefatos Previstos 
 
 
 
Figura 30 - Diagrama da Etapa “Avaliação de Riscos” 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
 
 78 
De forma a estruturar a sistemática da avaliação de risco, você pode 
utilizar o seguinte formulário para esta etapa: 
 
Em síntese o Gestor do processo e sua equipe deverão realizar as 
seguintes atividades: 
• Avaliar os controles existentes em termos da efetividade do desenho e 
da operação; 
• Mensurar a probabilidade e o impacto de cada risco identificado 
considerando as suas causas, a possibilidade de ocorrerem, bem como 
os controles internos existentes e sua avaliação. Considerar nessa 
atividade o uso de relatos sobre o processo de trabalho, séries ou 
informações históricas, entrevistas, brainstorming etc. 
• Identificar o nível de risco utilizando a Matriz de Riscos. 
 
 
 
 79 
Aula 4 - Tratamento de Riscos 
 
 
Conhecido o nível de risco, é necessário estabelecer a estratégia que será 
adotada para tratar o evento de risco. 
Figura 31 - Níveis de Risco 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
O tratamento de riscos envolve a identificação das opções de tratamento 
desses riscos, avaliação dessas opções e a seleção das alternativas mais 
adequadas para modificar o nível do risco (Resposta ao Risco), bem como a 
elaboração do Plano de Implementação de Controles contemplando o conjunto 
de medidas a serem implementadas. 
 
Aula 4.1 - Resposta aos Riscos 
 
 
De acordo com o COSO (2007; 2017), as respostas incluem evitar, 
reduzir, compartilhar ou aceitar os riscos: 
 
 80 
1) Evitar - sugere que nenhuma opção de resposta tenha sido identificada 
para reduzir o impacto e a probabilidade a um nível aceitável. Significa 
descontinuação das atividades que geram o risco, ou seja, não executar, 
interromper ou substituir a atividade que gera o risco; 
2) Reduzir - reduz o risco residual a um nível compatível com as tolerâncias 
desejadas ao risco. Serão adotadas medidas para reduzir a probabilidade 
ou o impacto dos riscos, ou, até mesmo, ambos; 
3) Transferir ou Compartilhar - reduz o risco residual a um nível compatível 
com as tolerâncias desejadas ao risco. Sugere-se a redução da 
probabilidade ou do impacto dos riscos pela transferência ou pelo 
compartilhamento de uma porção do risco com as partes interessadas ou 
envolvidas; 
4) Aceitar - indica que o risco inerente já esteja dentro das tolerâncias ao 
risco. Nenhuma medida é adotada para afetar a probabilidade ou o grau de 
impacto dos riscos. Dessa forma, para responder aos riscos em função do 
nível obtido na matriz de risco, o modelo aprovado pelo CGE/MJSP propõe 
a adoção das ações apresentadas na tabela: 
 
(*) Por envolver situações relacionadas a atos de corrupção e/ou fraudes, para riscos classificados como Riscos de 
Integridade, é recomendado aos gestores não selecionar como resposta ao risco o tipo ACEITAR. 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
 
 81 
Assim, conclui-se que o apetite ao risco do MJSP, ou seja, o nível de risco 
que o órgão está disposto a aceitar é baixo (classificação 1-4) e médio 
(classificação 5-11). Já para os riscos de integridade, o apetite é nível baixo, isto 
é, somente poderão ser aceitos os riscos de classificação 1-4, o que significa 
que, para todos os demais níveis (médio, alto e extremo) deverá ser proposto 
tratamento ao risco. 
É importante salientar que, caso o gestor adote uma resposta ao risco 
distinta daquela aprovada pela CGE, deverão ser apresentadas justificativas que 
contemplem aspectos a serem considerados na implementação dos controles. 
Portanto, a etapa de tratamento de risco consiste em selecionar uma 
resposta a partir das ações que deverão ser adotadas para modificar o nível do 
risco. O gestor, juntamente com a sua equipe, selecionará uma resposta 
conforme a estratégia a ser adotada para responder ao evento de riscos, o que 
deverá ser apreciada também pelo titular do Órgão/Unidade. 
 
Aula 4.2 - Plano de Implementação de Controles 
 
 
Depois de selecionadas as respostas para cada risco, o próximo passo é 
a elaboração dos planos ou estratégias para os eventos de risco que receberão 
tratamento. 
No referido plano, são definidas as ações necessárias para assegurar que 
as repostas aos riscos sejam executadas. As ações a serem implementadas para 
tratar os riscos implicarão a introdução de novos controles ou a modificação dos 
já existentes. 
Para tanto, os seguintes aspectos devem ser levados em consideração: 
 
 82 
 
Assim, na elaboração do Plano de Implementação de Controles, cada 
ação de tratamento do risco deve conter, pelo menos, os elementos a seguir: 
1. Evento de Risco/Nível de Risco: produto da probabilidade pelo impacto, 
conforme matriz de risco obtida na fase de Avaliação dos Riscos; 
2. Resposta a Risco: opção de tratamento em função do nível de risco 
residual, conforme o modelo aprovado pelo CGE/MJSP; 
3. Controle Proposto: registrar a ação a ser implementada para responder 
ao evento de risco; 
4. Tipo de controle proposto: preventivo, se atua na causa, ou corretivo, 
se atenua no efeito; 
5.Objetivo do Controle Proposto: melhorar o controle existente ou adotar 
controle novo; 
6. Área responsável pela implementação do controle proposto; 
7. Responsável pela implementação do controle proposto: gestor do 
processo ou servidor designado quando a implementação da ação; 
8. Como será implementado: informar-se por meio de projeto, melhoria no 
sistema, criação de norma, plano de contingência etc; 
9. Intervenientes: outras áreas e servidores intervenientes na ação; e 
10. Período de execução: data prevista para início e para a conclusão da 
ação. Visa auxiliar o gestor na proposição das ações de tratamento, que 
irão compor o Plano de Implementação de Controles. 
 
 83 
Para cada risco a ser mitigado, algumas medidas deverão ser adotadas 
como, por exemplo, capacitação de servidores, redesenho de processos, 
elaboração de normas, procedimentos internos, ações de tecnologia da 
informação, segregação de funções. Cabe destacar que o gestor poderá decidir 
adotar mais de um controle para cada evento de risco. A tabela a seguir 
apresenta uma lista de controles básicos: 
 
 
 
 84 
Aula 4.3 - Documentação e Artefatos Previstos 
 
 
 
Figura 232 – Diagrama da Etapa “Tratamento de Riscos” 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
 
A seguir são apresentadas sugestões de formulários a serem utilizados 
pelo gestor do processo e sua equipe para a definição da resposta ao risco: 
Figura 33 - Mapa de Riscos do Processo 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
 
 85 
Figura 34 – Plano de Implementação de Controles 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Figura 35 - Plano de Implementação de Controles de Detalhes 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Em síntese o Gestor do processo e sua equipe deverão realizar as 
seguintes atividades: 
• Definir a opção de tratamento do risco, selecionando o tipo de resposta; 
e 
 
 86 
• Elaborar o plano de implementação de controle e submeter à aprovação 
pelo titular do Órgão/Unidade e demais dirigentes indicados da Unidade 
de Gestão de Riscos e Controles Internos -UGRC. 
A Unidade de Gestão de Riscos e Controles Internos – UGRC deverá: 
• Propor alterações na resposta ao risco e/ou plano de implementação de 
controles, se for o caso; 
• Aprovar o Plano de Implementação de Controles; 
• Submeter o Plano de Implementação de Controles ao Comitê de Gestão 
de Riscos e Controles Internos- CGRC para conhecimento e ao Comitê 
de Governança Estratégica, quando solicitado. 
 
 
 
 87 
Aula 5 - Informação, Comunicação e Monitoramento 
 
 
Para que o gerenciamento de riscos e controles internos possa alcançar 
seus objetivos, a qualidade da informação e a forma de comunicação constituem-
se em elementos críticos. 
O acesso à informação adequadamente detalhada, confiável, íntegra, 
oportuna, e de fácil obtenção é vital para que aqueles que necessitam dessas 
informações cumpram as suas responsabilidades. 
Ainda, o fluxo das comunicações deve permitir que informações fluam em 
todas as direções e alcance todo o MJSP. Todos os interessados devem ser 
informados dos direcionamentos estratégicos estabelecidos pelo Comitê de 
Governança Estratégica e das responsabilidades de cada um no processo. 
Além disso, as informações externas relevantes aos processos também 
devem ser consideradas e compartilhadas tempestivamente. A comunicação em 
direção à sociedade também é objeto de controle, reduzindo riscos de respostas 
inadequadas às necessidades da população. Nesse sentido, compartilhar e 
comunicar informações é importante para que os processos e as decisões do 
gerenciamento de riscos sejam documentados em uma extensão apropriada. 
Documentar cada etapa do processo de gestão de riscos permite: 
(a) mostrar às partes interessadas que o processo está sendo conduzido 
adequadamente; 
(b) fornecer evidências de uma abordagem sistemática de identificação e 
análise de riscos; 
(c) analisar criticamente as decisões ou processos; 
(d) desenvolver uma base de conhecimento de risco relacionado à 
organização; 
(e) fornecer aos responsáveis pela tomada de decisões um plano de 
gestão de riscos; 
(f) oferecer um mecanismo e uma ferramenta para a prestação de contas; 
e, 
(g) facilitar o monitoramento e a análise crítica contínua. 
 
 88 
Ainda, o monitoramento de toda a estrutura de governança e de 
gerenciamento de riscos e controles internos permite que o MJSP se certifique 
da adequação dessa estrutura aos seus objetivos estratégicos. Com base nesse 
monitoramento, devem ser elaborados os Relatórios dos Planos de 
Implementação dos Controles, que serão avaliados pelas Instâncias de 
Supervisão, cujas atribuições estão ilustradas na Figura a seguir. 
Figura 36 - Atribuições das Instâncias de Supervisão 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Caso sejam percebidas deficiências ou vulnerabilidades, a instância 
responsável pelo aperfeiçoamento dos instrumentos de gerenciamentos de 
riscos e controles fará as devidas recomendações. 
A comunicação entre as Instâncias de Supervisão do gerenciamento de 
riscos e controles internos ocorre por meio dos níveis de relacionamento 
delineados no Modelo de Relacionamento a seguir: 
 
 
 
 
 
 89 
 
Figura 37 - Modelo de Relacionamentos das Instâncias de Supervisão 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
O nível operacional, representado pela Unidade de Gestão de Riscos e 
Controles Internos - UGRC e pelo gestor do processo, poderá acionar o nível 
tático, representado pelo Comitê de Gestão de Riscos e Controles Internos - 
CGRC, para orientações técnicas relativas ao modelo de gerenciamento de 
riscos e controles internos. Ainda, o nível operacional será responsável pelo 
reporte ao nível tático sobre o monitoramento das ações definidas no plano de 
implementação de controles e das ações de gerenciamento de riscos e controles 
de forma ampla. O nível tático, representado pelo CGRC, poderá acionar e ser 
acionado pelo nível estratégico, representado pelo CGE, para o monitoramento 
das ações definidas na política de gestão de riscos e controles internos. 
 
Aula 5.1 - Monitoramento 
 
 
O Mapa de Risco será a principal ferramenta de monitoramento 
do processo de gerenciamento de riscos e controle internos da 
unidade. Além dele, o Relatório do Plano de Implementação de 
Controles será de suma importância para o acompanhamento 
dos trabalhos realizados pela unidade. 
 
 90 
Com o intuito de acompanhar a implementação da estratégia, de 
identificar possíveis desvios e de implementar ações corretivas que visem ao 
alcance dos objetivos estratégicos, os Resultados do Plano de Implementação 
de Controles serão avaliados e monitorados mensalmente. 
Para tanto, as unidades do MJSP deverão elaborar o Relatório do Plano 
de Implementação de Controles, o qual deverá conter informações sobre 
situação das ações e dos trabalhos realizados em relação a riscos identificados 
para os processos sob sua responsabilidade. Destaca-se que, ao executar o 
plano de implementação de controles para tratar os riscos, podem-se gerar 
novos controles ou determinar a modificação dos controles existentes. 
As unidades devem estabelecer indicadores de acompanhamento da 
implementação da metodologia de gerenciamento de riscos e controles internos, 
assim como desenvolver indicadores próprios para o monitoramento da 
implementação dos controles planejados. Sugerimos uma lista exemplificativa e 
não exaustiva de indicadores que podem ser acompanhados e reportados, tais 
como: 
 
Após implementados, os controles devem ser continuamente avaliados ao 
longo do tempo no que dizrespeito ao seu desenho e operação. 
Como fonte de entrada para as avaliações, poderão ser utilizadas 
reclamações e denúncias registradas na Ouvidoria, relatórios, recomendações 
ou demandas da Controladoria Geral da União - CGU e do Tribunal de Contas 
da União - TCU, mudanças nos objetivos estratégicos, nas normas e 
regulamentações, entre outras. 
 
 
 91 
Aula 5.2 - Relatório 
 
 
Cada unidade é responsável por elaborar um relatório sobre o 
gerenciamento de riscos e controles internos para as partes interessadas. Assim, 
no sentido de garantir a integração ao processo de gestão estratégica do 
ministério e viabilizar o gerenciamento dos riscos identificados, as unidades, por 
meio das UGRC, deverão encaminhar o relatório sobre o gerenciamento de 
riscos e controles internos para as Instâncias de Supervisão superiores até 90 
(noventa) dias da data de aprovação do Plano Estratégico do MJSP, ou 60 
(sessenta) dias, nos casos de repactuação do referido Plano. 
 
O relatório deve conter, minimamente, além do conjunto de artefatos, as 
seguintes seções: introdução; estrutura organizacional da unidade; processos de 
trabalho da unidade e processos priorizados; metodologia aplicada; documentos 
de referência; gerenciamento de riscos e controles internos com inventário de 
riscos, avaliação dos riscos e plano de implementação de controles. 
 
 
 
 92 
 
Aula 5.3 - Documentação e Artefatos Previstos 
 
Figura 48 - Diagrama da Etapa Informação, Comunicação e Monitoramento 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
A seguir, você pode conhecer algumas sugestões de formulários a serem 
utilizados pelo gestor do processo e sua equipe para elaboração do Relatório de 
gerenciamento de riscos e controles internos: 
 
 93 
Relatório de gerenciamento de riscos e controles internos
 
 
 94 
 
Em síntese o Gestor do processo e sua equipe deverão realizar as 
seguintes atividades: 
• Executar e monitorar as ações do Plano de Implementação de Controles; 
• Reportar à UGRC sobre o monitoramento das ações definidas no plano 
de implementação de controles e das ações de gerenciamento de riscos 
e controles; e 
• Encaminhar o relatório de gerenciamento de riscos dos processos 
priorizados à UGRC 90 dias após aprovação do Plano Estratégico e 60 
dias após a aprovação da repactuação do Plano Estratégico. 
A Unidade de Gestão de Riscos e Controles Internos – UGRC deverá: 
 
 95 
• Realizar a supervisão da implementação do gerenciamento de riscos na 
sua Unidade; 
• Promover recomendações e orientações, a fim de garantir que os 
controles sejam eficazes e eficientes para a mitigação do risco; 
• Reportar-se ao Comitê de Gestão de Riscos e Controles Internos – 
CGRC e ao Comitê de Governança Estratégica – CGE quando solicitado; 
e 
• Apresentar a evolução dos planos de implementação de controles 
mensalmente. 
 
 
 
 96 
Aula 6 - Técnicas úteis para a Gestão de Riscos 
 
 
Como apresentado anteriormente, para gerenciar os riscos é necessário 
identificá-los, descrevê-los, compreendê-los e avaliá-los. Para tanto, é 
importante utilizar ferramentas que facilitem a execução dessas atividades. 
As técnicas para o processo de gestão de riscos visam 
ajudar as pessoas a entender a incerteza e o risco 
associado em um contexto amplo, complexo e 
diversificado, com o propósito de apoiar decisões e ações 
mais bem informadas. (ABNT, 2021) 
A NBR ISO/IEC 31010:2012 – Gestão de riscos – como uma norma de 
apoio à NBR ISO 31000, apresenta orientações sobre a escolha e aplicação de 
técnicas para o processo de gestão de riscos. 
A seguir, conforme descritas na citada norma, serão apresentas algumas 
das principais técnicas que podem ser utilizadas por gestores e pelo pessoal 
envolvido na realização das etapas do processo de gestão de riscos. 
 
Aula 6.1 – Brainstorming 
 
 
Brainstorming é um processo usado para estimular e encorajar 
um grupo de pessoas a desenvolver ideias relacionadas a um 
ou mais tópicos de qualquer natureza. O termo “brainstorming” 
é frequentemente usado de forma muito vaga para significar 
qualquer tipo de discussão em grupo, mas o brainstorming eficaz 
requer um esforço consciente para garantir que os pensamentos 
dos outros no grupo sejam usados como ferramentas para 
estimular a criatividade de cada participante. Qualquer análise 
ou crítica das ideias é realizada separadamente do 
brainstorming. 
 
 97 
Essa técnica oferece os melhores resultados quando um facilitador 
especialista está disponível e pode fornecer o estímulo necessário, sem limitar o 
pensamento. O facilitador estimula o grupo a cobrir todas as áreas pertinentes e 
garante que as ideias do processo sejam capturadas para análise subsequente. 
Figura 39 – Modelo Brainstorming 
 
Fonte: https://www.edm2.com.br/blog/brainstorm-o-que-e-e-como-fazer/ . 
 
A seguir, os pontos fortes do brainstorming: 
• Incentiva a imaginação e a criatividade, ajudando a identificar novos 
riscos e soluções inovadoras; 
• É útil onde há poucos ou nenhum dado e onde novas tecnologias ou 
soluções são necessárias; 
• Envolve as principais partes interessadas e, portanto, ajuda na 
comunicação e no engajamento; e 
• É relativamente rápido e fácil de configurar. 
Por outro lado, as limitações incluem: 
• Dificuldade para demonstrar que o processo foi abrangente; 
• Grupos tendem a gerar menos ideias do que indivíduos trabalhando 
sozinhos; 
• A dinâmica de grupos específicos pode significar que algumas 
pessoas com ideias valiosas ficam quietas enquanto outras dominam 
a discussão. Isso pode ser superado por uma facilitação eficaz; 
https://www.edm2.com.br/blog/brainstorm-o-que-e-e-como-fazer/
 
 98 
• Incentivo ao pensamento criativo e a novas ideias pode desviar a 
conversa do assunto considerado, que poderá tomar mais tempo da 
reunião. 
 
Aula 6.2 - Análise de Árvore de Falhas – AAF 
 
 
A AAF é uma técnica para identificar e analisar os fatores que podem 
contribuir para um evento específico indesejado ( “evento-topo”). 
O evento-topo é analisado, primeiramente, a partir da identificação das 
suas causas imediatas e necessárias: podem ser falhas de hardware ou 
software, erros humanos ou quaisquer outros eventos pertinentes. 
O relacionamento lógico entre essas causas é representado por um 
número de portas, como “E” e “OU”. Cada causa é então analisada passo a 
passo da mesma maneira até que análises seguintes se tornem improdutivas. O 
resultado é representado pictoricamente em um diagrama em árvore, que é a 
representação gráfica de uma equação Booleana: 
Figura 40 - Exemplo de Árvore de Falhas
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP. 
 
 
 99 
Os pontos fortes da AAF incluem o seguinte: 
• É uma abordagem disciplinada, altamente sistemática, mas, ao 
mesmo tempo, suficientemente flexível para permitir a análise de uma 
variedade de fatores, incluindo interações humanas e fenômenos 
físicos; 
• É especialmente útil para analisar sistemas com muitas interfaces e 
interações; 
• Fornece uma representação pictórica, levando a uma compreensão 
mais fácil do comportamento do sistema e dos respectivos fatores; 
• A análise lógica das árvores de falhas e a determinação dos conjuntos 
de corte são úteis na identificação de caminhos simples de falha em 
um sistema complexo, no qual as combinações particulares de 
eventos e sequências de eventos que levam ao evento-topo podem 
ser ignoradas; e 
• Pode ser adaptada a problemas simples ou complexos com o nível de 
esforço diretamente relacionado à complexidade. 
As limitações incluem o seguinte: 
• Em algumas situações, pode ser difícil verificar se todos os caminhos 
importantes para o evento-topo estão inclusos; por exemplo, a 
inclusão de todas as fontes de ignição de uma análise de um incêndio. 
Nessas situações, não é possível calculara probabilidade do evento-
topo; 
• Interdependências de tempo não são abordadas; 
• A AAF lida apenas com estados binários (sucesso/falha); 
• Embora os erros humanos possam ser inclusos em uma árvore de 
falhas, é difícil de definir a natureza e a extensão dessas falhas. 
• A AAF analisa um evento-topo; não falhas secundárias ou incidentais; 
e 
• Uma AAF pode ficar muito extensa para sistemas de grande escala. 
 
 
 
 100 
Aula 6.3 - Diagrama de causa e efeito 
 
 
Também conhecido como espinha de peixe ou diagrama de Ishikawa, é 
uma técnica para identificação de uma possível causa raiz de um problema. No 
diagrama, conforme ilustrado na Figura 19, cada espinha refere-se a uma causa; 
já a cabeça se refere ao problema trazido pelas causas. Esse método pode ser 
aplicado em workshops e brainstorming, partindo da identificação de um 
problema e, em seguida, das suas possíveis causas. Além disso, também pode 
ser utilizado em conjunto com o método dos “cinco porquês”, o que permite 
aumentar o grau de profundidade de cada causa ou “espinha do peixe” ao se 
questionar o porquê das causas. 
Figura 41 - Diagrama Causa e Efeito (Ishikawa) 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Os pontos fortes da técnica Ishikawa incluem o seguinte: 
• Encoraja a participação através do conhecimento do grupo; 
• Fornece uma abordagem focada para um brainstorm ou técnicas de 
identificação semelhantes; 
• Pode ser aplicada a uma ampla variedade de situações; 
• Fornece uma análise estruturada de causa com uma saída gráfica de 
fácil leitura; 
• Permite que pessoas relatem problemas em um ambiente neutro; e 
• Pode ser usada para identificar fatores contributivos para efeitos 
almejados ou não almejados. 
 
 101 
As limitações incluem o seguinte: 
• A separação de fatores causais em categorias maiores no início da 
análise significa que interações entre categorias podem não ser 
consideradas adequadamente; e 
• Causas potenciais não cobertas pelas categorias selecionadas não 
são identificadas. 
 
Aula 6.4 - Análise BOW TIE 
 
 
Técnica que busca analisar e descrever os caminhos de um evento de 
risco, desde suas causas até as consequências, por meio de uma representação 
pictográfica semelhante a uma gravata borboleta (bow-tie). O método tem como 
foco as barreiras entre as causas e o evento de risco; e as barreiras entre o 
evento de risco e suas consequências. 
Figura 42 - Esboço de diagrama “bow-tie” 
 
Fonte: Referencial básico de gestão de riscos do TCU (BRASIL, 2018j). 
 
Pontos fortes da análise de bow-tie incluem o seguinte: 
• É simples de entender e fornece uma representação gráfica clara de 
um evento e suas causas e consequências; 
• Foca a atenção nos controles supostamente existentes e sua eficácia; 
 
 102 
• Pode ser usada para consequências desejáveis ou indesejáveis; e 
• Não necessita de um alto nível de especialização para utilizar. 
Limitações incluem o seguinte: 
• A bow-tie não representa caminhos de causas para eventos não 
independentes (ou seja, onde houver portas “AND” em uma árvore de 
falhas); 
• Pode simplificar demasiadamente situações complexas, 
particularmente quando se pretende a quantificação. 
 
Aula 6.5 - Priorização de Processos 
 
 
Ainda que a gestão de riscos deva ser parte integrante de todos os 
processos organizacionais (princípio previsto pela ISO 31000), ela não deve ser 
aplicada a todos os seus processos com a mesma intensidade, visto que os 
recursos da organização são limitados. 
Naturalmente, o investimento na gestão de riscos deve ser maior nos 
processos que mais entregam ou devem entregar valor para as partes 
interessadas, bem como nas atividades de suporte que podem limitar a 
capacidade de entrega dos processos finalísticos. 
Uma ferramenta útil à compreensão de como se organizam 
os processos de uma organização é a cadeia de valor, na 
qual os macroprocessos finalísticos e de suporte, bem 
como os processos que compõem cada macroprocesso 
são representados graficamente. Esse tipo de diagrama 
não indica a estrutura organizacional utilizada para fazer os 
processos funcionarem; sua função é facilitar a 
visualização, de forma sistemática, de como a organização 
estabeleceu processos e de como eles interagem para criar 
valor. 
 
 103 
Quando se define o escopo da gestão de riscos em uma organização, é 
necessário apontar quais processos organizacionais serão submetidos a um 
arranjo de gestão de riscos mais rigoroso. 
A priorização de processos organizacionais é importante para orientar a 
alocação de recursos para a gestão de riscos, bem como quando se planeja uma 
estratégia gradual de implantação dessa abordagem. 
A priorização de processos pode ser mais acurada quando a organização 
estabeleceu, de forma satisfatória, seus contextos interno e externo. 
No estabelecimento do contexto externo, importa especialmente 
descrever as relações da organização com as partes interessadas externas e as 
percepções destas acerca do valor criado. 
No estabelecimento do contexto interno, devem-se descrever os 
objetivos, as estratégias, o escopo e os parâmetros das atividades da 
organização ou daquelas partes da organização em que o processo de gestão 
de riscos pode ser aplicado (ABNT, 2009). 
 
Aula 6.6 - FMEA – Análise dos Modos de Falha e Efeitos 
 
 
A FMEA (Failure Mode and Effect Analysis) objetiva identificar e analisar 
as possíveis falhas, suas causas e seus efeitos dentro de um processo. 
Nessa técnica, cada uma das falhas identificadas é classificada de acordo 
com a sua criticidade. Vários métodos diferentes de criticidade podem ser 
usados, sendo os mais frequentes a matriz de consequência/probabilidade 
qualitativa, semiquantitativa ou quantitativa, ou um número de prioridade de risco 
(RPN). Uma medida quantitativa de criticidade também pode ser derivada das 
taxas reais de falha e de uma medida quantitativa das consequências em que 
elas são conhecidas. 
Para tanto, é necessário realizar o levantamento e a reflexão de vários 
pontos acerca do processo. De forma geral, são os seguintes: 
• a função ou finalidade do processo; 
 
 104 
• as falhas que podem ocorrer (modo de falha); 
• os mecanismos que podem produzir esse modo de falha; 
• a natureza das consequências, se a falha ocorrer; 
• se a falha é inofensiva ou prejudicial; 
• como e quando a falha pode ser detectada; 
• as disposições inerentes que existem para compensar a falha. 
Os pontos fortes do FMEA incluem o seguinte: 
• Pode ser amplamente aplicado aos modos humano e técnico de 
sistemas, hardware, software e procedimentos; 
• Identifica os modos de falha, suas causas e efeitos no sistema, e os 
apresenta em um formato de fácil leitura; 
• Evita a necessidade de modificações dispendiosas de equipamentos 
em serviço, identificando problemas no início do processo de projeto; 
e. 
• Fornece informações para programas de manutenção e 
monitoramento, destacando os principais recursos a serem 
monitorados. 
As limitações incluem o seguinte: 
• O FMEA só pode ser usado para identificar modos de falha única; não 
combinações de modos de falha; 
• A menos que sejam adequadamente controlados e direcionados, os 
estudos podem ser demorados e caros; e 
• O FMEA pode ser difícil e tedioso para sistemas complexos de várias 
camadas. 
 
Aula 6.7 - Entrevistas estruturadas ou semiestruturadas 
 
 
 
A técnica está baseada em um conjunto de perguntas que servem de guia 
para o entrevistador e são respondidas individualmente pelas pessoas 
entrevistadas. 
 
 105 
Nas entrevistas estruturadas, o conjunto de perguntas e as questões são 
elaboradas antecipadamente, de forma que todos os entrevistados abordem as 
mesmas questões. 
As entrevistas semiestruturadas, apesar de semelhantes às estruturadas, 
permitem maior liberdade, com exploração de problemas quesurgem ao longo 
da entrevista. 
A técnica de entrevistas é apropriada para obter informações detalhadas 
e opiniões de indivíduos em um grupo sem interferência ou influência de 
participantes de um outro grupo. 
O produto gerado é a visão dos entrevistados sobre as questões 
propostas, as quais buscam normalmente identificar eventos de risco, fontes, 
consequências e controles. 
Figura 453 – Classificação das Entrevistas 
 
Fonte: Elaborado pelos autores. 
 
Os pontos fortes das entrevistas estruturadas incluem o seguinte: 
• Permitem que as pessoas tenham tempo para refletir sobre um 
assunto; 
• A comunicação individual pode permitir uma análise mais profunda 
das questões do que uma abordagem de grupo; e 
• Entrevistas estruturadas permitem o envolvimento de um número 
maior de partes interessadas do que um grupo face a face. 
 
•Com roteiro e planejamento
•As questões geralmente são interrogaçõesEstruturada
•Parcialmente planejada
•permite explorar questões que surgem ao longo da 
entrevista.
Semi-
estruturada
•Não possui roteiro
•liberdade para o intrevistado falar sobre o tema na 
ordem que preferir.
Não-
estruturada
 
 106 
As limitações incluem o seguinte: 
• As entrevistas consomem tempo para projetar, entregar e analisar; 
• Requerem algum conhecimento para serem elaboradas e entregues, 
se as respostas forem imparciais para o entrevistador; 
• O viés do entrevistado é tolerado e não é moderado ou removido por 
meio de discussão em grupo; e 
• As entrevistas não estimulam a imaginação (o que é uma 
característica dos métodos de grupo). 
 
Aula 6.8 - DELPHI 
 
 
Esta técnica tem por objetivo obter consenso entre opiniões de 
um grupo de especialistas sobre determinado assunto e pode 
ser aplicada em qualquer etapa do processo de gerenciamento 
de riscos. 
A aplicação da técnica se dá por meio de questionários, que são 
respondidos individualmente por cada especialista, de forma anônima e 
independente. 
As respostas são consolidadas e levadas ao conhecimento dos 
especialistas que podem então reconsiderar suas respostas originais em nova 
rodada do questionário, o processo é repetido até que se alcance um consenso, 
ou quase consenso. 
O produto gerado depende da etapa em que a técnica é aplicada, 
podendo ser, por exemplo: lista de riscos identificados, níveis de riscos 
mensurados, opções para tratamento dos riscos acordadas, entre outras 
possibilidades. 
 
 
 107 
Figura 44 – Modelo simplificado da técnica DELPHI 
 
Fonte: https://sites.google.com/site/albertobarrossousa/metodologias-de-educacao/metodo-
delphi. 
 
 
Os pontos fortes incluem o seguinte: 
• Como as opiniões são anônimas, as impopulares são mais prováveis 
de serem expressas e há menos viés de hierarquia; 
• Todas as visões têm peso igual, o que evita o problema de 
personalidades dominantes; 
• Atinge a propriedade de resultados; 
• As pessoas não precisam estar reunidas em um só local ao mesmo 
tempo; 
• As pessoas têm tempo para dar uma resposta ponderada às 
perguntas; e 
• O processo tende a significar que os especialistas devotam toda a sua 
atenção à tarefa. 
https://sites.google.com/site/albertobarrossousa/metodologias-de-educacao/metodo-delphi
https://sites.google.com/site/albertobarrossousa/metodologias-de-educacao/metodo-delphi
 
 108 
As limitações incluem o seguinte: 
• É trabalhoso e demorado; e 
• Os participantes precisam ser capazes de se expressar claramente 
por escrito. 
 
Aula 6.9 - Análise de Perigo e Pontos Críticos de Controle (APPCC) 
 
 
A Análise de Perigos e Pontos Críticos de Controle (APPCC), conhecida 
em inglês por Hazard Analysis and Critical Control Points (HACCP), apesar de 
ter sido desenvolvida para garantir a segurança dos alimentos do programa 
espacial americano da National Aeronautics Space Administration (NASA), 
também pode ser usada para processos ou atividades não alimentares. 
A técnica fornece uma estrutura para identificar fontes de risco (perigos 
ou ameaças) e pôr em prática controles em todas as partes pertinentes de um 
processo para proteger contra estas fontes. 
A APPCC é usada nos níveis operacionais, embora seus resultados 
apoiem a estratégia geral de uma organização. Sua técnica tem como objetivo 
assegurar que os riscos sejam minimizados por monitoramentos e controles ao 
longo do processo, e não pela inspeção ao fim da etapa. 
A APPCC consiste em sete princípios:   
1) identificar os perigos, os fatores que influenciam o risco e as possíveis 
medidas preventivas; 
 2) determinar os pontos no processo em que o monitoramento é possível 
e o processo pode ser controlado para minimizar as ameaças (os Pontos 
Críticos de Controle ou PCC);   
3) estabelecer limites críticos para os parâmetros a serem monitorados, 
ou seja, convém que cada PCC opere dentro de parâmetros específicos 
para assegurar que o risco esteja controlado;   
4) estabelecer os procedimentos para monitorar os limites críticos para 
cada PCC a intervalos definidos; 
 
 109 
 5) estabelecer ações corretivas para uso quando o processo estiver fora 
dos limites estabelecidos; 
 6) estabelecer procedimentos de verificação; e 
 7) implementar a manutenção de registros e procedimentos de 
documentação para cada etapa. 
Os pontos fortes da APPCC incluem o seguinte: 
• a APPCC é um processo estruturado que fornece evidência 
documentada de controle da qualidade, bem como a identificação e a 
redução de riscos; 
• foca nos aspectos práticos de como e onde, em um processo, as 
fontes de risco podem ser encontradas e os riscos, controlados; 
• fornece um controle de risco em todo o processo em vez de depender 
da inspeção do produto final; 
• chama a atenção para o risco introduzido por meio de ações humanas 
e como isso pode ser controlado. 
As limitações incluem o seguinte: 
• a APPCC requer que os perigos sejam identificados; os riscos que 
eles representam definidos; e sua significância entendida como 
entradas no processo. Controles apropriados também precisam ser 
definidos. A APPCC pode necessitar ser combinada com outras 
ferramentas para fornecer suas entradas. 
• tomar ações somente quando os parâmetros de controle excedem 
limites definidos pode levar à perda de alterações graduais nos 
parâmetros de controle, os quais são estatisticamente significativos e 
que, portanto, convêm que sejam acionados. 
 
 
 
 110 
Aula 6.10 - Estudo HAZOP 
 
 
Um estudo HAZOP é um exame estruturado e sistemático de um 
processo, procedimento ou sistema planejado ou existente que envolve a 
identificação de possíveis desvios da intenção do projeto e o exame de suas 
possíveis causas e consequências. 
Em um workshop facilitado, a equipe de estudo: 
• subdivide o sistema, processo ou procedimento em elementos 
menores; 
• concorda com a intenção do projeto para cada elemento, incluindo a 
definição de parâmetros pertinentes (como vazão ou temperatura, no 
caso de um sistema físico); 
• aplica palavras-guia sucessivamente a cada parâmetro para cada 
elemento, para postular possíveis desvios da intenção do projeto que 
poderiam ter resultados indesejáveis (Nem todas as combinações de 
parâmetros de palavras-guia serão significativas); 
• concorda com a causa e as consequências em cada caso, sugerindo 
como elas podem ser tratadas; 
• documenta a discussão e pactua as possíveis ações para tratar os 
riscos identificados. 
Os pontos fortes do HAZOP incluem o seguinte: 
• Fornece os meios para examinar sistematicamente um sistema, 
processo ou procedimento, para identificar como ele pode falhar em 
atingir o seu propósito; 
• Fornece um exame detalhado e completo por uma equipe 
multidisciplinar; 
• Identifica problemas potenciais no estágio de projeto de um processo; 
• Gera soluções e ações de tratamento de riscos; 
• É aplicável a uma ampla gama de sistemas, processos e 
procedimentos; 
 
 111 
• Permite a consideraçãoexplícita das causas e consequências do erro 
humano; e 
• Cria um registro escrito do processo, que pode ser usado para 
demonstrar a devida diligência. 
As limitações incluem o seguinte: 
• Uma análise detalhada pode ser demorada e, portanto, cara; 
• A técnica tende a ser repetitiva, encontrando os mesmos problemas 
várias vezes; portanto, pode ser difícil manter a concentração; 
• Uma análise detalhada requer um alto nível de documentação ou 
sistema/processo e especificações de procedimento; 
• Pode se concentrar em encontrar soluções detalhadas em vez de 
desafiar os pressupostos fundamentais (no entanto, isso pode ser 
mitigado por uma abordagem em fases); 
• A discussão pode ser focada em questões detalhadas de projeto, e 
não em questões mais amplas ou externas; 
• É limitado pelo projeto (rascunho) e pela intenção do projeto, e pelo 
escopo e objetivos dados à equipe; e 
• O processo depende muito da experiência dos projetistas, que podem 
achar difícil ser suficientemente objetivos para buscar problemas em 
seus projetos. 
 
Aula 6.11 - Técnica “e se” estruturada (Swift) 
 
 
SWIFT é uma técnica de identificação de risco de alto nível que 
pode ser usada de forma independente ou como parte de uma 
abordagem em etapas para tornar os métodos ascendentes, 
como HAZOP ou FMEA, mais eficientes. 
Essa ferramenta usa brainstorming estruturado em um workshop 
facilitado, em que um conjunto predeterminado de palavras-guia (tempo, 
quantidade etc.) é combinado com questões trazidas pelos participantes, que 
geralmente começam com frases como “e se?” ou “como poderia?”. 
 
 112 
É semelhante ao HAZOP, mas aplicada em um sistema ou subsistema, e 
não na intenção do projetista. 
Antes do início do estudo, o facilitador prepara uma lista pronta para 
permitir uma revisão abrangente dos riscos ou fontes de risco. No início do 
workshop, o contexto, âmbito e propósito da SWIFT são discutidos e os critérios 
para o sucesso são articulados. 
Usando as palavras-guia e as questões do tipo “e se?”, o facilitador pede 
aos participantes que se levantem e discutam questões como: 
• riscos conhecidos; 
• fontes e fatores de risco; 
• experiências anteriores, sucessos e incidentes; 
• controles conhecidos e existentes; e 
• requisitos regulatórios e restrições. 
O facilitador usa a lista de sugestões para monitorar a discussão e sugerir 
questões e cenários adicionais para a equipe discutir. A equipe considera se os 
controles são adequados e não considera os tratamentos potenciais. Durante a 
discussão, perguntas “e se?” são apresentadas. 
Os pontos fortes da SWIFT incluem o seguinte: 
• É amplamente aplicável a todas as formas de planta ou sistema físico, 
situação ou circunstância, organização ou atividade; 
• Necessita de preparação mínima por parte da equipe; 
• É relativamente rápida e os principais riscos e fontes de risco 
rapidamente se tornam aparentes na sessão do workshop; 
• O estudo é “orientado para sistemas” e permite que os participantes 
observem a resposta do sistema aos desvios, em vez de apenas 
examinar as consequências da falha de componentes; 
• Pode ser usada para identificar oportunidades de melhoria de 
processos e sistemas e geralmente pode ser usada para identificar 
ações que levam e aumentam as suas probabilidades de sucesso; 
 
 113 
• O envolvimento no workshop por aqueles que são responsáveis pelos 
controles existentes e por outras ações de tratamento de risco reforça 
a sua responsabilidade; e 
• Cria um registro de risco e um plano de tratamento de risco com pouco 
mais esforço. 
As limitações incluem o seguinte: 
• Se a equipe da oficina não tiver uma base de experiência ampla o 
suficiente ou se o sistema de “prompt” não for abrangente, alguns 
riscos ou perigos podem não ser identificados; 
• A aplicação de alto nível da técnica pode não revelar causas 
complexas, detalhadas ou correlacionadas; 
• As recomendações são frequentemente genéricas: por exemplo, o 
método não fornece suporte para controles robustos e detalhados 
sem que análises adicionais sejam realizadas. 
 
Aula 6.12 - Análise de Decisão Multicritério (AMC) 
 
 
 
A AMC utiliza uma faixa de critérios para avaliar e comparar, de forma 
transparente, o desempenho global de um conjunto de opções. Em geral, a meta 
é produzir uma ordem de preferência entre as opções disponíveis. 
A análise envolve o desenvolvimento de uma matriz de opções e critérios 
que são classificados e agregados para fornecer uma pontuação global para 
cada opção. 
Essas técnicas também são conhecidas como tomada de 
decisão de multiatributo (ou múltiplo atributo) ou multiobjetivo. 
Há muitas variantes, com muitos aplicativos de software para 
apoiá-las. 
Em geral, um indivíduo ou um grupo de partes interessadas realiza o 
seguinte processo: 
 
 114 
• Define o(s) objetivo(s); determina os atributos (critérios ou medidas 
de desempenho funcional) que se relacionam a cada objetivo; 
• Estrutura os atributos dentro de uma hierarquia de requisitos 
necessários e desejáveis; 
• Determina a importância de cada critério e atribuem pesos a cada 
um; 
• Obtém consenso das partes interessadas sobre a hierarquia de 
pesos; 
• Avalia as alternativas com relação aos critérios (isto pode ser 
representado como uma matriz de pontuações); 
• Combina múltiplas pontuações de atributo único em uma 
pontuação multiatributo ponderada global; 
• Avalia os resultados para cada opção; e 
• Avalia a robustez da classificação das opções executando uma 
análise de sensibilidade para explorar o impacto de mudanças na 
ponderação da hierarquia de atributos. 
 
Existem diferentes métodos pelos quais a ponderação para cada critério 
pode ser alucidada e diferentes formas de agregar as pontuações dos critérios 
para cada opção em uma pontuação única multiatributos. 
Pontos fortes da AMC incluem que ela pode: 
• fornecer uma estrutura simples para uma tomada de decisão eficaz e 
apresentação de premissas e conclusões; 
• tornar mais gerenciáveis problemas complexos de decisão, que não 
são passíveis de análise de custo/benefício; 
• auxiliar a considerar racionalmente problemas nos quais precisam ser 
feitos trade-offs (escolher uma coisa em detrimento de outra); 
• auxiliar a atingir um acordo quando as partes interessadas têm 
objetivos diferentes e, portanto, valores e critérios diferentes. 
 
 
 
 115 
Limitações incluem o seguinte: 
• AMC pode ser afetada por viés e por má seleção dos critérios de 
decisão; 
• Algoritmos de agregação que calculam critérios de ponderação a 
partir de preferências estabelecidas ou agregam diferentes pontos de 
vista podem obscurecer a verdadeira base da decisão; e 
• O sistema de pontuação pode simplificar demais o problema de 
decisão. 
 
Aula 6.13 - Análise de impacto nos negócios (BIA) 
 
 
A Business Impact Analysis (BIA), em português conhecida como Análise 
de Impacto nos Negócios, analisa como incidentes e eventos podem afetar as 
operações de uma organização e identifica e quantifica as “capabilidades” 
(característica/capacidade que pode ser usada ou desenvolvida) necessárias 
para gerenciá-los. Especificamente, uma BIA fornece um entendimento 
acordado de: 
● qual é a criticidade dos principais processos de negócios, funções e 
recursos associados e as principais interdependências existentes para 
uma organização; 
● como eventos disruptivos afetam a capacidade e a “capabilidade” de 
alcançar objetivos críticos de negócios; e 
● a capacidade e “capabilidade” necessárias para gerenciar o impacto 
de uma disrupção e recuperar os níveis de operação acordados. A BIA 
pode ser realizada usando questionários, entrevistas, workshops 
estruturados ou uma combinação dos três. 
A BIA é usada para determinar os prazos críticos e de recuperação dos 
processos e recursos associados (por exemplo, pessoas, equipamentos e 
tecnologia da informação),(APPCC) ................................. 108 
Aula 6.10 - Estudo HAZOP ................................................................................................. 110 
Aula 6.11 - Técnica “e se” estruturada (Swift) .................................................................. 111 
Aula 6.12 - Análise de Decisão Multicritério (AMC) .......................................................... 113 
Aula 6.13 - Análise de impacto nos negócios (BIA) ........................................................... 115 
Aula 6.14 - Análise de árvore de eventos (ETA) ................................................................ 116 
Finalizando ............................................................................................................................ 121 
ANEXOS .................................................................................................................................. 128 
 
 4 
GESTÃO DE RISCOS: GLOSSÁRIO (BRASIL, 2022) .................................................... 128 
 
 
 
 5 
Apresentação 
 
Caro(a) aluno(a), 
Risco é algo inerente a tudo que fazemos, seja viajar em férias, gerir um 
projeto, lidar com clientes, decidir as prioridades de trabalho, adquirir softwares 
e equipamentos, tomar decisões sobre o futuro ou decidir simplesmente não 
tomar nenhuma ação. 
Gerenciam-se riscos constantemente, às vezes de maneira consciente e 
outras vezes inconscientemente. O gerenciamento de riscos está em nosso dia 
a dia. Por exemplo: criar alertas em agendas ou telefones celulares para tomar 
remédios prescritos por médicos e gerenciar o risco de usar medicação diferente 
do que foi indicado e, consequentemente, comprometer o tratamento. 
Então, se todas as ações estão dominadas por incertezas que podem 
afetar a conquista de objetivos com diversas gradações de efeitos negativos, 
identificar essas incertezas (riscos) e implementar ações para mitigar o risco é 
uma decisão madura e responsável. 
No setor público, não pode ser diferente: o gerenciamento de riscos pode 
ajudar a aprimorar a eficiência, a eficácia e a efetividade das organizações 
públicas, além de contribuir para aumentar a confiança do cidadão: 
a) na capacidade do Governo de entregar os serviços prometidos; 
b) no sistema de governança; e 
c) na utilização adequada dos recursos públicos. 
Com a publicação da IN Conjunta CGU/MP Nº 1/2016 (BRASIL, 2016), 
fica explícita a necessidade dos órgãos e entidades do Poder Executivo Federal 
institucionalizarem práticas relacionadas à gestão de riscos, aos controles 
internos e à governança. Desde 2017, o Ministério da Justiça e Segurança 
Pública adota medidas para implementação do seu processo de gerenciamento 
de risco. Mais recentemente, por meio da Portaria nº 2, de 28 de janeiro de 2022 
(BRASIL, 2022), foi instituído o Sistema de Governança do Ministério da Justiça 
e Segurança Pública. 
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Normativos/instrucao-normativa-conjunta-no-1-de-10-de-maio-de-2016-imprensa-nacional.pdf
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Programa%20de%20Integridade/portaria/portaria-no-86-de-23-de-marco-de-2020-sistema-de-governanca-mjsp.docx
 
 6 
O Ministério da Justiça e Segurança Pública atualizou o Plano Nacional 
de Segurança Pública e Defesa Social (PNSP) 2021-2030, por meio do decreto 
nº 10.822, publicado em 29 de setembro de 2021 (BRASIL, 2021a). O Plano 
conta com 13 metas principais, que incluem a redução dos índices de mortes 
violentas e da violência contra mulher e priorizam a atenção aos profissionais de 
segurança pública. Também foram definidas prioridades para sua execução, por 
meio de 12 ações estratégicas. Essas ações vão desde a otimização da gestão 
dos órgãos de segurança pública e defesa social até o combate à corrupção, 
narcotráfico e organizações criminosas, passando pela melhoria no atendimento 
a grupos vulneráveis vitimizados e implemento da qualidade de vida dos agentes 
da segurança pública. 
Merece destaque que o modelo de gerenciamento de riscos do 
MJSP foi aplicado no processo de revisão do PNSP, sendo 
produzido o Plano de Implementação de Controles para 
gerenciamento dos riscos de forma a dar garantia razoável de 
cumprimento dos objetivos estabelecidos na Política Nacional de 
Segurança Pública e Defesa Social – PNSPDS (BRASIL, 
2018b). 
No Plano de Implementação de Controles, estão definidas as ações 
necessárias para assegurar o alcance das repostas aos riscos. As ações 
implicam a introdução de novos controles ou a modificação dos existentes. Para 
tanto, foi identificado o conjunto de atividades atribuídas ao MJSP relacionadas 
aos alinhamentos e aderência dos planos elaborados pelos entes federativos ao 
PNSP, bem como o acompanhamento de execução e avaliação da 
implementação dos Planos de Segurança Pública locais. 
Além disso, sendo os Planos Estaduais e os Planos Municipais de 
Segurança Pública peças essenciais no contexto da efetiva implementação da 
PNSPDS, consta, no PNSP, a recomendação de que o gerenciamento de riscos 
seja um dos componentes da estrutura de governança do plano de segurança 
pública e defesa social dos entes federativos. 
Verifica-se o crescimento, no setor público, da implantação da gestão de 
riscos como um dos elementos importantes de governança nas organizações. 
 
 7 
Nesse contexto, a partir das recomendações contidas no PNSP, essa prática 
gerencial deve ser estimulada pelos órgãos que integram o Sistema Único de 
Segurança Pública - Susp (BRASIL, 2018b). 
Objetivos do Curso 
 
Ao escolher fazer esse treinamento, seja por ter se interessado pela 
temática; por solicitação ou necessidade de uso da prática de gerenciamento de 
riscos em sua organização, ou até mesmo por querer entender melhor sobre o 
assunto, acreditamos que o atingimento desses interesses será alcançado, e, 
portanto, você aluno está no lugar certo! 
Objetivo Geral 
A partir de um referencial teórico e do estudo do modelo implantado no 
MJSP, espera-se que, ao final do curso, você tenha conhecimentos adequados 
para a aplicação de metodologias de gerenciamento de riscos em seu ambiente 
de trabalho e, também, tenha condições de colaborar com a construção do 
modelo a ser adotado em sua organização. 
O curso de Gerenciamento de Riscos tem o objetivo de fornecer as 
informações básicas sobre o processo de identificação, avaliação e controle de 
riscos organizacionais. 
Nesse sentido, além do conteúdo abordado no treinamento, você 
encontrará sugestão de cursos, livros, artigos, manuais e guias que contribuirão 
para o seu desenvolvimento. 
É importante lembrar que o conteúdo abordado e o material indicado no 
treinamento não esgotam a temática. 
Objetivos Específicos 
 
Ao final do curso, o participante deverá ser capaz de: 
a) Compreender a importância e reconhecer a relação da gestão de 
riscos organizacionais com a governança pública; 
b) Conceituar e definir os principais termos relacionados à prática do 
gerenciamento de riscos; 
 
 8 
c) Conhecer os elementos básicos a serem considerados na implantação 
de uma estrutura de Gestão de Riscos; 
d) Conhecer as principais normas internacionais que regulamentam a 
gestão de riscos no mundo, COSO-ERM e ISO 31.000; 
e) Compreender as atividades de identificação, avaliação e controle de 
riscos organizacionais, essenciais ao processo de gestão de riscos. 
Estrutura do Curso 
 
Este curso foi dividido em três partes e compreende os seguintes 
módulos: 
Módulo I – Fundamentos e Modelos de Gestão de Riscos. 
Módulo II – Modelo de Gestão de Riscos na APF - Caso MJSP. 
Módulo III – Processo de Gestão de Riscos. 
 
 9 
MÓDULO I – FUNDAMENTOS E MODELOS DE GESTÃO 
DE RISCOS 
 
Apresentação 
 
Devido às incertezas inerentes aos cenários econômico, político e social, 
todas as organizações, sejam elas públicas ou privadas, estão sujeitaspara permitir o planejamento adequado para eventos 
disruptivos. Ela também auxilia na determinação de interdependências e inter-
relações entre processos, partes internas e externas e quaisquer vínculos na 
 
 116 
cadeia de suprimentos. Também pode ser usada como parte da análise de 
consequências ao considerá-las eventos disruptivos. Além disso, a BIA fornece 
informações que ajudam a organização a determinar e selecionar estratégias de 
continuidade de negócios apropriadas para permitir resposta e recuperação 
efetiva de um incidente disruptivo. 
Os pontos fortes da BIA incluem que ela fornece: 
● um profundo entendimento dos processos críticos que permitem à 
organização atingir seus objetivos e que podem indicar áreas para 
melhoria dos negócios; 
● informações necessárias para planejar a resposta de uma organização 
a um evento disruptivo; 
● um entendimento dos principais recursos necessários no caso de uma 
disrupção; e 
● uma oportunidade de redefinir o processo operacional de uma 
organização para ajudar a melhorar a resiliência da organização. 
As limitações incluem o seguinte: 
● A BIA conta com o conhecimento e as percepções dos participantes 
envolvidos no preenchimento de questionários ou na realização de 
entrevistas ou workshops. Isso pode levar a expectativas simplistas ou 
otimistas demais dos requisitos de recuperação; 
● A dinâmica do grupo pode afetar adversamente a análise completa de 
um processo crítico; 
● Pode ser difícil obter um nível adequado de entendimento das 
operações e atividades da organização. 
 
Aula 6.14 - Análise de árvore de eventos (ETA) 
 
 
O ETA, do inglês Event Tree Analysis, é uma técnica gráfica que 
representa as sequências mutuamente exclusivas de eventos que podem surgir 
 
 117 
após um evento iniciador, conforme ocorra ou não o funcionamento dos vários 
sistemas projetados para alterar as consequências. A árvore pode ser 
quantificada para fornecer as probabilidades dos diferentes resultados possíveis 
(ver a Figura). 
A árvore começa com o evento iniciador e, para cada controle, linhas são 
desenhadas para representar seu sucesso ou falha. A probabilidade de falha ou 
sucesso pode ser atribuída a cada controle, por julgamento especializado, a 
partir de dados ou de análises individuais da árvore de falhas. As probabilidades 
são condicionais. Por exemplo, a probabilidade de um item funcionar não é a 
mesma obtida de testes em condições normais, mas sim a chance de funcionar 
sob as condições do evento iniciador. 
A frequência dos diferentes resultados é representada pelo produto das 
probabilidades condicionais individuais e a probabilidade ou frequência do 
evento iniciador, dado que os vários eventos são independentes. 
Figura 45 - Exemplo de análise de árvore de eventos 
 
Fonte: Adaptado (ABNT, 2021). 
 
Os pontos fortes da ETA incluem o seguinte: 
● Os cenários potenciais após um evento iniciador são analisados e a 
influência do sucesso ou falha dos controles é mostrada de uma maneira 
diagramática clara que pode, se necessário, ser quantificada; 
 
 118 
● Identifica eventos finais que não seriam previstos de outra forma; 
● Apresenta possíveis falhas pontuais, áreas de vulnerabilidade do 
sistema e medidas reativas de baixo retorno e, portanto, pode ser usado 
para melhorar a eficiência do controle; e 
● A técnica representa o tempo e os efeitos de dominó que são difíceis de 
modelar em árvores de falhas. 
As limitações incluem o seguinte: 
● Para uma avaliação abrangente, todos os possíveis eventos iniciadores 
precisam ser identificados. Existe sempre a possibilidade de perda de 
alguns eventos iniciadores ou sequências de eventos importantes; 
● Somente os estados de sucesso e falha de um sistema são tratados e 
é difícil incorporar controles parcialmente operacionais, eventos de 
sucesso atrasados ou eventos de recuperação; 
● Qualquer caminho está condicionado a uma relação de eventos que 
ocorrem em pontos anteriores, sendo tratadas muitas dependências 
durante o percurso. Entretanto, algumas delas, como componentes 
comuns, sistemas de consumo e operadores podem ser ignoradas 
levando a estimativas otimistas da probabilidade de consequências 
específicas; e 
● Para sistemas complexos, construir “do zero” a árvore de eventos pode 
ser difícil. 
A tabela a seguir apresenta um resumo das técnicas, bem como qual a 
aplicação delas nas etapas do processo de gestão de riscos: 
Técnica Descrição Aplicação 
Brainstorming Técnica usada em oficinas para 
incentivar o pensamento 
imaginativo. 
Obter pontos de 
vista. 
Análise de Árvore de 
Falhas – AAF 
Analisa as causas de um evento de 
foco usando a lógica “booleana” para 
descrever combinações de falhas. 
Analisar 
probabilidades e 
causas. 
 
 119 
Técnica Descrição Aplicação 
As variações incluem uma árvore de 
sucesso em que o evento principal é 
desejado e uma árvore de causa 
usada para investigar eventos 
passados. 
Diagrama de causa e 
efeito 
Identifica fatores contribuintes para 
um resultado definido (desejado ou 
indesejado). Os fatores contributivos 
são, geralmente, divididos em 
categorias predefinidas e exibidos 
em uma estrutura de árvore ou em 
um diagrama de espinha de peixe. 
Analisar as fontes de 
risco. 
Análise BOW TIE Uma maneira diagramática de 
descrever os caminhos das fontes de 
risco aos resultados e de analisar 
criticamente os controles. 
Analisar e descrever 
riscos. 
 
FMEA – Análise dos 
Modos de Falha e 
Efeitos 
Considera as maneiras pelas quais 
cada componente de um sistema 
pode falhar e as causas que isso 
afeta. O FMEA pode ser seguido por 
uma análise de criticidade que 
determina o significado de cada falha 
modo (FMECA). 
Identificar risco. 
Entrevistas 
estruturadas ou 
semiestruturadas 
Conversas individuais estruturadas 
ou semiestruturadas para obter 
visualizações. 
Obter pontos de 
vista. 
DELPHI Coleta julgamentos por meio de um 
conjunto de questionários 
sequenciais. As pessoas participam 
individualmente, mas recebem 
“feedback” sobre as respostas dos 
Obter pontos de 
vista. 
 
 120 
Técnica Descrição Aplicação 
outros após cada conjunto de 
pergunta. 
Análise de perigos e 
pontos críticos de 
controle (APPCC) 
Analisa a redução de risco que pode 
ser alcançada por várias camadas 
de proteção. 
Analisar controles 
de monitoramento. 
Estudo HAZOP Um exame estruturado e sistemático 
de um processo ou operação 
planejada ou existente, a fim de 
identificar e avaliar problemas que 
possam representar riscos para o 
pessoal ou para o equipamento ou 
impedir uma operação eficiente. 
Identificar e analisar 
riscos. 
Técnica “E Se” 
estruturada (Swift) 
Uma forma mais simples de HAZOP 
com “prompts” de “e se” para 
identificar desvios do esperado. 
Identificar risco. 
Análise de decisão por 
multicritério (AMC) 
Compara opções de uma maneira 
que tornam explícitas as trocas. 
Fornece uma alternativa à análise de 
custo/benefício que não precisa que 
um valor monetário seja alocado 
para todos os insumos. 
Decidir entre 
opções. 
 
SAIBA MAIS! 
 “10 Passos para a Boa Gestão de Riscos”, 
publicação do Tribunal de Contas da União com 
recomendações de boas práticas de gestão de 
riscos para instituições públicas (BRASIL, 2018k). 
 Metodologia de Gestão de Riscos da Controladoria 
Geral da União. 
 Referencial Básico de Gestão de Riscos do Tribunal 
de Contas da União (BRASIL, 2018j). 
 
https://portal.tcu.gov.br/data/files/3F/D5/65/C0/27A1F6107AD96FE6F18818A8/10_passos_boa_gestao_riscos.pdf
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/outros-documentos-externos/cgu_metodologia_gestao_riscos.pdf
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/outros-documentos-externos/cgu_metodologia_gestao_riscos.pdf
https://portal.tcu.gov.br/data/files/21/96/61/6E/05A1F6107AD96FE6F18818A8/Referencial_basico_gestao_riscos.pdfhttps://portal.tcu.gov.br/data/files/21/96/61/6E/05A1F6107AD96FE6F18818A8/Referencial_basico_gestao_riscos.pdf
 
 121 
Finalizando 
 
Neste módulo, você aprendeu que: 
• Na análise de ambiente e fixação de objetivos, deve-se obter uma 
visão abrangente de todos os fatores que podem influenciar a 
capacidade da organização de atingir os resultados esperados. 
• O processo de gestão de riscos tem o propósito de subsidiar a 
tomada de decisão e assegurar o alcance dos objetivos, sejam eles 
estratégicos, táticos, operacionais, específicos de um projeto, 
processo, função, serviço, produto, ativo ou programa. 
• A gestão de riscos no âmbito do MJSP deve ser integrada ao 
planejamento estratégico, estabelecido pelo Comitê de 
Governança Estratégica – CGE e orientado pela política na qual o 
processo de trabalho constitui-se em elemento base para a 
aplicação da metodologia. 
• Após a identificação dos processos de trabalho que serão objeto 
da gestão de risco, sugere-se o uso do diagrama de escopo e 
interface do processo (DEIP), utilizado na metodologia de gestão 
de processos como ferramenta para delimitar o escopo de trabalho, 
permitindo identificar, conhecer e documentar o processo. 
• É importante que seja procedida a análise dos ambientes internos 
e externos, nos quais a unidade e seus processos de trabalho estão 
inseridos, com enfoque na identificação das forças e fraquezas, 
bem como nas oportunidades e ameaças que podem impactar as 
atividades executadas. 
• O processo de gestão de riscos consiste no conjunto de atividades 
destinadas ao estabelecimento de estratégias para mitigar os 
eventos que podem afetar os objetivos organizacionais. 
• As etapas básicas do processo de gestão de riscos envolvem 
identificar, analisar, compreender, avaliar e priorizar os riscos, a fim 
de decidir quais medidas ou controles internos podem ser adotados 
para tratar os potenciais riscos e monitorar e comunicar o 
desempenho da sua gestão. 
 
 122 
• O processo de gestão de riscos deve ser incorporado aos demais 
processos organizacionais, a começar do planejamento 
estratégico. 
• De maneira geral, um risco está associado aos seguintes 
elementos: 
 O evento - algo que acontece de tal forma que a fonte do 
risco tem um impacto envolvido; 
 A causa – (o quê e por quê) normalmente uma série de 
causas diretas e intrínsecas, para a presença do perigo 
ou ocorrência do evento (Fonte + Vulnerabilidade); 
 A consequência - resultado ou impacto nos objetivos da 
organização. 
• Os riscos são avaliados com base em dois aspectos: a 
probabilidade do risco ocorrer e o seu impacto sobre um ou mais 
objetivos. 
• No Plano de implementação de controles, são definidas as ações 
necessárias para assegurar que as repostas aos riscos sejam 
executadas. As ações a serem implementadas para tratar os riscos 
implicarão a introdução de novos controles ou a modificação dos 
controles existentes. 
• Para gerenciar os riscos, é necessário identificá-los, descrevê-los, 
compreendê-los e avaliá-los, sendo que as técnicas para o 
processo de gestão de riscos são ferramentas que facilitam a 
execução dessas atividades. 
• Para que o gerenciamento de riscos e controles internos possa 
alcançar seus objetivos, a qualidade da informação e a forma de 
comunicação constituem-se em elementos críticos. 
 
 
 123 
REFERÊNCIAS 
 
ABNT. Gestão de Riscos – Diretrizes para a Implementação da ISO 
31000:2009. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2009. 
ABNT. Gestão de Riscos – Diretrizes para a Implementação da ISO 
31000:2018. Rio de Janeiro: Associação Brasileira de Normas Técnicas, 2018. 
ABNT. Gestão de riscos ― Técnicas para o processo de avaliação de riscos 
Gestão de Riscos – Diretrizes para a Implementação da ISO 31010:2012. Rio 
de Janeiro: Associação Brasileira de Normas Técnicas, 2021. 
ASSI, Marcos. Gestão de riscos com controles internos: ferramentas, 
Certificações e métodos para garantir a eficiência dos negócios. São Paulo: 
Saint Paul, 2012. 
BRASIL. Controladoria-Geral da União. Instrução Normativa Conjunta nº 1, de 
10 de maio de 2016. Dispõe sobre controles internos, gestão de riscos e 
governança no âmbito do Poder Executivo Federal. Brasília: Controladoria-
Geral da União, 2016. Disponível em: https://www.in.gov.br/materia/-
/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-instrucao-normativa-
conjunta-n-1-de-10-de-maio-de-2016-21519197 . Acesso em: junho, 2022. 
BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível 
em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm Acesso 
em: junho, 2022. 
BRASIL. Decreto nº 9.203, de 22 de novembro de 2017. Dispõe sobre a política 
de governança da administração pública federal direta, autárquica e fundacional. 
Diário Oficial da República Federativa do Brasil, Poder Executivo, Brasília, 23 
nov.2017a. Seção 1, p. 03-04. 
BRASIL. Decreto nº 9.360, de 7 de maio de 2018. Aprova as Estruturas 
Regimentais e os Quadros Demonstrativos dos Cargos em Comissão e das 
Funções de Confiança do Ministério da Justiça e do Ministério Extraordinário da 
Segurança Pública. Diário Oficial da República Federativa do Brasil, Poder 
Executivo, Brasília, 07 mai.2018a. Edição Extra, p. 09-21. 
BRASIL. Decreto nº 10.822, de 29 de setembro de 2021. Institui o Plano 
Nacional de Segurança Pública e Defesa Social 2021-2030. Diário Oficial da 
República Federativa do Brasil, Poder Executivo, Brasília, 29 set.2021a. p. 03. 
BRASIL. Lei nº 13.675, de 11 de junho de 2018. Disciplina a organização e o 
funcionamento dos órgãos responsáveis pela segurança pública, nos termos do 
§ 7º do art. 144 da Constituição Federal; cria a Política Nacional de Segurança 
Pública e Defesa Social (PNSPDS); institui o Sistema Único de Segurança 
Pública (Susp); altera a Lei Complementar nº 79, de 7 de janeiro de 1994, a Lei 
nº 10.201, de 14 de fevereiro de 2001, e a Lei nº 11.530, de 24 de outubro de 
2007; e revoga dispositivos da Lei nº 12.681, de 4 de julho de 2012. Diário Oficial 
da República Federativa do Brasil, Poder Executivo, Brasília, 12 jun. 2018b. p. 
04-08. 
BRASIL. Ministério da Fazenda. Manual de Gestão Integrada de Riscos 
Corporativos. Programa de Modernização Integrada do Ministério da Fazenda 
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-instrucao-normativa-conjunta-n-1-de-10-de-maio-de-2016-21519197
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-instrucao-normativa-conjunta-n-1-de-10-de-maio-de-2016-21519197
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-instrucao-normativa-conjunta-n-1-de-10-de-maio-de-2016-21519197
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
 
 124 
– Gestão de Riscos. Brasília, 3ed. jul.2018c. Disponível em: 
https://www.legiscompliance.com.br/images/pdf/manual_de_gestao_de_riscos_
3a_edicao.pdf . Acesso em: junho, 2022. 
BRASIL. GESPÚBLICA. Guia de Orientação para o Gerenciamento de 
Riscos. Secretaria de Gestão Pública. Departamento de Inovação e Melhoria da 
Gestão. Brasília: Gerência do Programa GESPÚBLICA, 2013a. Disponível em: 
https://www.bibliotecadeseguranca.com.br/wp-content/uploads/2022/01/guia-de-
orientacao-para-o-gerenciamento-de-riscos.pdf . Acesso em: junho, 2022. 
BRASIL. Ministério da Justiça. Portaria nº 1.516, de 12 de setembro de 2006. 
Aprova o Código de Conduta Ética dos agentes públicos do Ministério da Justiça. 
Diário Oficial da República Federativa do Brasil, Brasília, 15 set.2006. Seção 1, 
p. 39. 
BRASIL. Ministério da Justiça. Portaria nº 32, de 17 de janeiro de 2018. Institui 
o Comitê de Gestão, Governança, Integridade, Riscos e Controles internos do 
Ministério da Justiça. Diário Oficial da República Federativa do Brasil, Brasília, 
18 jan.2018d. Seção 1, p. 49. 
BRASIL. Ministério da Justiça. Portaria nº 33, de 17 de janeirode 2018. Institui 
o processo de planejamento estratégico e o Comitê de Gestão Estratégica do 
Ministério da Justiça. Diário Oficial da República Federativa do Brasil, Brasília, 
18 jan.2018e. Seção 1, p. 49. 
BRASIL. Ministério da Justiça e Segurança Pública. Portaria nº 675, de 14 de 
agosto de 2017. Aprova o Planejamento Estratégico do Ministério da Justiça e 
Segurança Pública para o quinquênio 2015-2019. Diário Oficial da República 
Federativa do Brasil, Brasília, 16 ago.2017b. Seção 1, p. 30. 
BRASIL. Ministério da Justiça e Segurança Pública. Portaria SE nº 1.684, de 10 
de novembro de 2017. Detalha o conteúdo dos documentos essenciais do 
Planejamento Estratégico do Ministério da Justiça e Segurança Pública para o 
quinquênio 2015-2019. Boletim de Serviço, Brasília, 21 nov.2017c. Disponível 
em: https://dspace.mj.gov.br/bitstream/1/2953/4/PRT_SE_2017_1684.pdf. 
Acesso em: junho, 2022. 
BRASIL. Ministério da Justiça e Segurança Pública. Portaria SE nº 1.775, de 08 
de dezembro de 2017. Altera os Anexos II, III e IV da Portaria SE/MJ nº 1.684 
de 10 de novembro de 2017, que detalha o conteúdo dos documentos essenciais 
do Planejamento Estratégico do Ministério da Justiça e Segurança Pública para 
o quinquênio 2015-2019. Boletim de Serviço. Brasília, 12 dez.2017d. Disponível 
em: https://dspace.mj.gov.br/bitstream/1/2964/1/PRT_SE_2017_1775.pdf. 
Acesso em: junho, 2022. 
BRASIL. Ministério da Justiça e Segurança Pública. Portaria nº 31, de 17 de 
janeiro de 2018. Dispõe sobre a instituição da Política de Gestão, Governança, 
Integridade, Riscos e Controles Internos do Ministério da Justiça e Segurança 
Pública. Diário Oficial da República Federativa do Brasil, Brasília, 18 jan.2018f. 
Seção 1, p. 47. 
BRASIL. Ministério da Justiça e Segurança Pública. Resolução CGE nº 2, de 10 
de abril de 2018 - Aprova as diretrizes para gerenciamento de riscos e controles 
internos no âmbito do Ministério da Justiça. Disponível em: 
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-
https://www.legiscompliance.com.br/images/pdf/manual_de_gestao_de_riscos_3a_edicao.pdf
https://www.legiscompliance.com.br/images/pdf/manual_de_gestao_de_riscos_3a_edicao.pdf
https://www.bibliotecadeseguranca.com.br/wp-content/uploads/2022/01/guia-de-orientacao-para-o-gerenciamento-de-riscos.pdf
https://www.bibliotecadeseguranca.com.br/wp-content/uploads/2022/01/guia-de-orientacao-para-o-gerenciamento-de-riscos.pdf
https://dspace.mj.gov.br/bitstream/1/2953/4/PRT_SE_2017_1684.pdf
https://dspace.mj.gov.br/bitstream/1/2964/1/PRT_SE_2017_1775.pdf
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Resolucoes_CGE/bs_n__66__de_11_de_abril_de_2018-somente-a-parte-de-girc.pdf/view
 
 125 
Riscos/biblioteca/Resolucoes_CGE/bs_n__66__de_11_de_abril_de_2018-
somente-a-parte-de-girc.pdf/view 
BRASIL. Ministério da Justiça e Segurança Pública. Livreto - O QUE É E PARA 
QUE SERVE A GESTÃO DE RISCOS? (Ana Carolina Carvalho), Brasília, 
setembro 2021. 
BRASIL. Ministério da Justiça e Segurança Pública. Manual de gerenciamento 
de riscos e controles internos. Brasília, 2020a. Disponível em: 
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-
Riscos/biblioteca/Manual/manual-de-gerenciamento-de-riscos-mjsp-
2021.pdf/view Acesso em: junho, 2022. 
BRASIL. Ministério da Justiça e Segurança Pública. Portaria nº 2, de 28 de 
janeiro de 2022. Institui o Sistema de Governança do Ministério da Justiça e 
Segurança Pública. Diário Oficial da República Federativa do Brasil, Brasília, 31 
jan.2022. Seção 1, p. 193-204. 
BRASIL. Ministério da Transparência e Controladoria-Geral da União. Portaria 
nº 1.089, de 25 de abril de 2018. Estabelece orientações para que os órgãos e 
as entidades da administração pública federal direta, autárquica e fundacional 
adotem procedimentos para a estruturação, a execução e o monitoramento de 
seus programas de integridade e dá outras providências. Diário Oficial da 
República Federativa do Brasil, Brasília, 26 abr.2018h. Seção 1, p. 81-82. 
BRASIL. Tribunal de Contas da União. Governança pública – o que é? Brasília, 
19 nov. 2013b. Disponível em: https://www.youtube.com/watch?v=kGYdT1mJ-
0c Acesso em: junho, 2022. 
BRASIL. Tribunal de Contas da União. Roteiro de Auditoria de Gestão de 
Riscos. Brasília: TCU, Secretaria de Métodos e Suporte ao Controle Externo, 
2017f. Disponível em: 
https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A15EAB
92B3015F2F41DB870250. Acesso em: junho, 2022. 
BRASIL. Tribunal de Contas da União. Roteiro de Avaliação de Maturidade da 
Gestão de Riscos. Brasília: TCU, Secretaria de Métodos e Suporte ao Controle 
Externo, 2018i. Disponível em: 
https://portal.tcu.gov.br/data/files/0F/A3/1D/0E/64A1F6107AD96FE6F18818A8/
Gestao_riscos_avaliacao_maturidade.pdf. Acesso em: junho, 2022. 
BRASIL. Tribunal de Contas da União. Referencial básico de gestão de riscos. 
Brasília: TCU, Secretaria Geral de Controle Externo, 2018j. Disponível em: 
https://portal.tcu.gov.br/data/files/21/96/61/6E/05A1F6107AD96FE6F18818A8/
Referencial_basico_gestao_riscos.pdf. Acesso em: junho, 2022. 
BRASIL. Tribunal de Contas da União. 10 passos para a boa gestão de riscos. 
Brasília: TCU, Secretaria de Métodos e Suporte ao Controle Externo (Semec), 
2018k. Disponível em: 
https://portal.tcu.gov.br/data/files/3F/D5/65/C0/27A1F6107AD96FE6F18818A8/
10_passos_boa_gestao_riscos.pdf. Acesso em: junho, 2022. 
BRASIL. Tribunal de Contas da União. Referencial básico de governança 
aplicável a organizações públicas e outros entes jurisdicionados ao TCU. 
Brasília: TCU, Secretaria de Métodos e Suporte ao Controle Externo, 2020b. 
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Resolucoes_CGE/bs_n__66__de_11_de_abril_de_2018-somente-a-parte-de-girc.pdf/view
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Resolucoes_CGE/bs_n__66__de_11_de_abril_de_2018-somente-a-parte-de-girc.pdf/view
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Manual/manual-de-gerenciamento-de-riscos-mjsp-2021.pdf/view
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Manual/manual-de-gerenciamento-de-riscos-mjsp-2021.pdf/view
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Manual/manual-de-gerenciamento-de-riscos-mjsp-2021.pdf/view
https://www.youtube.com/watch?v=kGYdT1mJ-0c
https://www.youtube.com/watch?v=kGYdT1mJ-0c
https://portal.tcu.gov.br/data/files/0F/A3/1D/0E/64A1F6107AD96FE6F18818A8/Gestao_riscos_avaliacao_maturidade.pdf
https://portal.tcu.gov.br/data/files/0F/A3/1D/0E/64A1F6107AD96FE6F18818A8/Gestao_riscos_avaliacao_maturidade.pdf
https://portal.tcu.gov.br/data/files/21/96/61/6E/05A1F6107AD96FE6F18818A8/Referencial_basico_gestao_riscos.pdf
https://portal.tcu.gov.br/data/files/21/96/61/6E/05A1F6107AD96FE6F18818A8/Referencial_basico_gestao_riscos.pdf
https://portal.tcu.gov.br/data/files/3F/D5/65/C0/27A1F6107AD96FE6F18818A8/10_passos_boa_gestao_riscos.pdf
https://portal.tcu.gov.br/data/files/3F/D5/65/C0/27A1F6107AD96FE6F18818A8/10_passos_boa_gestao_riscos.pdf
 
 126 
Disponível em: 
https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A81881F7AB5
B041017BABED4CC852BB . Acesso em: junho, 2022. 
BRASIL. Tribunal de Contas da União. Dez passos para a boa governança. 
Ed. 2. Brasília: TCU, Secretaria de Controle Externo da Administração do Estado, 
2021b. Disponível em: 
https://portal.tcu.gov.br/data/files/D5/F2/B0/6B/478F771072725D77E18818A8/1
0_passos_para_boa_governanca_v4.pdf. Acesso em: junho, 2022. 
BRASIL. Tribunal de Contas da União. Portal de Governança Pública: 
Glossário. Brasília: TCU, 2022. Disponível em: 
https://portal.tcu.gov.br/governanca/governancapublica/gestao-de-
riscos/glossario.htm Acesso em: junho, 2022. 
BRASIL. Tribunal Superior do Trabalho. Plano de Gestão de Riscos da 
Secretaria do Tribunal Superior do Trabalho. Brasília: TST,2015.47p. 
Disponível em: https://juslaboris.tst.jus.br/handle/20.500.12178/73831. Acesso 
em: junho, 2022. 
CADBURY, A. Report of the Committee on the financial aspects of corporate 
governance. Londres: Gee and Company Ltd, 1992. Disponível em: 
https://ecgi.global/sites/default/files/codes/documents/cadbury.pdf . Acesso em: 
junho, 2022. 
CHIAVENATO, Idalberto. Administração Geral e Pública. 3ª ed. Barueri, SP: 
Monole, 2012. 
COSO. Committee of Sponsoring Organizations of the Treadway Commission. 
Gerenciamento de Riscos Corporativos – Estrutura Integrada. Estados 
Unidos da América: Tradução: Instituto dos Auditores Internos do Brasil (Audibra) 
e Pricewaterhouse Coopers Governance, Risk and Compliance, 2007. 
COSO. Committee of Sponsoring Organizations of the Treadway Commission. 
Gerenciamento de riscos corporativos – Integrado com estratégia e 
performance. Estados Unidos da América: Tradução: Instituto dos Auditores 
Internos do Brasil (IIA Brasil) e Pricewaterhouse Coopers Governance, Risk and 
Compliance, 2017. Disponível em 
HUBBARD, Douglas W. The Failure of Risk Management: Why It’s Broken 
and How to Fix It. New Jersey (EUA): John Wiley & Sons, Inc., 2009. 
IIA BRASIL. Instituto dos Auditores Internos. Modelo das três linhas do IIA 2020 
– uma atualização das Três Linhas de Defesa. São Paulo, 2020. Disponível em: 
https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-
editorHTML-00000013-20072020131817.pdf Acesso em: junho, 2022. 
INTOSAI. International Organization of Supreme Audit Institutions. Diretrizes 
para as Normas de Controle Interno do Setor Público. GOV 9130. INTOSAI 
PSC Subcommittee on internal control standards. Bahia: TCE, 2007. Disponível 
em: https://www.tce.ba.gov.br/images/intosai_diretrizes_p_controle_interno.pdf. 
Acesso em: junho, 2022. 
KLOMAN, H. Felix, The Risk Management Revolution, Fortune, July, 1976. 
https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A81881F7AB5B041017BABED4CC852BB
https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A81881F7AB5B041017BABED4CC852BB
https://portal.tcu.gov.br/data/files/D5/F2/B0/6B/478F771072725D77E18818A8/10_passos_para_boa_governanca_v4.pdf
https://portal.tcu.gov.br/data/files/D5/F2/B0/6B/478F771072725D77E18818A8/10_passos_para_boa_governanca_v4.pdf
https://portal.tcu.gov.br/governanca/governancapublica/gestao-de-riscos/glossario.htm
https://portal.tcu.gov.br/governanca/governancapublica/gestao-de-riscos/glossario.htm
https://juslaboris.tst.jus.br/handle/20.500.12178/73831
https://ecgi.global/sites/default/files/codes/documents/cadbury.pdf
https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-00000013-20072020131817.pdf
https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-00000013-20072020131817.pdf
https://www.tce.ba.gov.br/images/intosai_diretrizes_p_controle_interno.pdf
 
 127 
SOUZA, Flávio Sergio Rezende Nunes de et al. Incorporação de modelos 
internacionais de gerenciamento de riscos na normativa federal. Revista de 
Administração Pública, v. 54, p. 59-78, 2020. 
UK. The Orange Book Management of Risk - Principles and Concepts. 
Londres, Reino Unido: Her Magesty’s Treasury, 2004. Disponível em: 
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/2
20647/orange_book.pdf . Acesso em: Junho, 2022. 
 
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/220647/orange_book.pdf
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/220647/orange_book.pdf
 
 128 
ANEXOS 
GESTÃO DE RISCOS: GLOSSÁRIO (BRASIL, 2022) 
 
Accountability pública – obrigação das pessoas, físicas ou jurídicas, públicas 
ou privadas, às quais se tenha confiado recursos públicos, para assumir as 
responsabilidades de ordem fiscal, gerencial e programática que lhes foram 
conferidas, e informar a sociedade e a quem lhes delegou essas 
responsabilidades sobre o cumprimento de objetivos e metas e o desempenho 
alcançado na gestão dos recursos públicos. É, ainda, obrigação imposta a uma 
pessoa ou entidade auditada de demonstrar que administrou ou controlou os 
recursos que lhe foram confiados em conformidade com os termos segundo os 
quais eles lhe foram entregues (TCU, 2011). Ver também Responsabilização. 
Aceitar risco – ver Resposta a risco. 
Alta administração – gestores que integram o nível executivo mais elevado da 
organização com poderes para estabelecer as políticas, os objetivos e conduzir 
a implementação da estratégia para realizar os objetivos da organização. 
Análise de riscos – processo de compreender a natureza e determinar o nível 
(magnitude, severidade) de um risco ou combinação de riscos, mediante a 
combinação das consequências e de suas probabilidades (ABNT, 2009). 
Apetite a risco – quantidade de risco que uma organização está disposta a 
aceitar na busca de seus objetivos (INTOSAI, 2007). Quantidade e tipo de riscos 
que uma organização está preparada para buscar, reter ou assumir (ABNT, 
2009). 
Arranjos de contingência – acordos que estabelecem como as partes devem 
proceder, caso um ou mais riscos se concretizem. 
Atividade – termo genérico utilizado para expressar operações, ações ou 
transações que uma organização, pessoa ou entidade realiza com vistas ao 
alcance de objetivos determinados, refletindo os fluxos de trabalho cotidianos 
que formam os processos de trabalho (TCU, 2012). 
Atividades de controle – ações estabelecidas por meio de políticas e 
procedimentos que ajudam a garantir o cumprimento das diretrizes determinadas 
pela administração, para mitigar os riscos da realização dos objetivos (COSO, 
2013). 
 
 129 
Avaliação de riscos – processo de comparar os resultados da análise de riscos 
com os critérios de risco da organização, para determinar se um risco e/ou sua 
magnitude é aceitável ou tolerável (ABNT, 2009). 
Cadeia de Valor - é um modelo que retrata a maneira pela qual os diferentes 
processos organizacionais se conectam e se relacionam para a entrega de valor 
aos clientes finais. É um mapa das principais atividades praticadas pelo 
Ministério na prestação de serviços para a sociedade, em suas diferentes áreas 
de atuação. 
Carteira de Projetos Estratégicos - conjunto de projetos que contribuem para 
o alcance dos objetivos. Esses projetos são gerenciados pelas unidades e 
acompanhados por todo o Ministério. 
Categoria de riscos - classificação dos tipos de riscos definidos pelo Ministério 
que podem afetar o alcance de seus objetivos, observadas as características de 
sua área de atuação e as particularidades do setor público. 
Consequência – resultado de um evento que afeta positiva ou negativamente 
os objetivos da organização. 
Controles internos – ver Atividades de controle. 
Controles internos da gestão - processo que engloba o conjunto de regras, 
procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, 
conferências e trâmites de documentos e informações, entre outros, 
operacionalizados de forma integrada pelos gestores e equipe de servidores, 
destinados a enfrentar os riscos e fornecer segurança razoável para o alcance 
dos objetivos organizacionais. 
Critérios de auditoria – referências usadas para mensurar ou avaliar o objeto 
de auditoria (ISSAI 100; ISA/NBCTA Estrutura Conceitual para trabalhos de 
asseguração). O referencial que indica o estado requerido ou desejado ou a 
expectativa em relação ao objeto de auditoria. Reflete como deveria ser a gestão, 
provendo o contexto para compreensão dos achados de auditoria e para a 
avaliação das evidências de auditoria (BRASIL, 2011). 
Estrutura de gestão de riscos – conjunto de componentes que fornecem os 
fundamentos e os arranjos organizacionais para a concepção, implementação, 
monitoramento, análise crítica e melhoria contínua da gestão de riscos através 
de toda a organização (ABNT, 2009). 
 
 130 
Evento – um incidente ou uma ocorrência de fontes internas ou externas à 
organização,que podem impactar a implementação da estratégia e a realização 
de objetivos de modo negativo, positivo ou ambos (INTOSAI, 2007). Eventos 
com impacto negativo representam riscos. Eventos com impacto positivo 
representam oportunidades; ocorrência ou mudança em um conjunto específico 
de circunstâncias, podendo consistir em alguma coisa não acontecer. A 
expressão “eventos potenciais” é, muitas vezes, utilizada para caracterizar riscos 
(ABNT, 2009). 
Evitar risco – ver Resposta a risco. 
Fonte de risco – elemento que, individualmente ou combinado, tem o potencial 
intrínseco para dar origem ao risco (ABNT, 2009). 
Gerenciamento de riscos - aplicação de uma arquitetura (princípios, estrutura 
e processo) para identificar riscos; analisá-los para avaliar se devem ser 
modificados por algum tratamento, a fim de atender critérios de risco. Ao longo 
desse processo, comunicam-se e se consultam as partes interessadas; 
monitoram-se e se analisam criticamente os riscos e os controles que os 
modificam, a fim de assegurar que nenhum tratamento de risco adicional é 
requerido (ABNT, 2009). 
Gerenciamento de riscos corporativos – processo efetuado pelo conselho de 
administração, gestores e outras pessoas, aplicado na definição da estratégia e 
através de toda a entidade, estruturado para identificar potenciais eventos que 
possam afetar a entidade e gerenciá-los para mantê-los dentro de seu apetite a 
risco, de modo a fornecer uma garantia razoável quanto à realização dos 
objetivos da entidade (COSO GRC, 2007; INTOSAI, 2007). 
Gestão – estruturas responsáveis pelo planejamento, execução, controle, ação, 
enfim, pelo manejo dos recursos e poderes colocados à disposição de órgãos e 
entidades para a consecução de seus objetivos, com vistas ao atendimento das 
necessidades e expectativas dos cidadãos e demais partes interessadas (TCU, 
2014). 
Gestão da Integridade - conjunto de medidas de prevenção de possíveis 
desvios na entrega dos resultados esperados pela sociedade. 
Gestão de riscos – atividades coordenadas para dirigir e controlar uma 
organização no que se refere ao risco (ABNT, 2009). 
 
 131 
Gestor – pessoa que ocupa função de gestão em qualquer nível hierárquico da 
organização. 
Governança – conjunto de políticas e processos que moldam a maneira como 
uma organização é dirigida, administrada, controlada e presta contas do 
cumprimento das suas obrigações de accountability. No setor público, a 
governança compreende essencialmente os mecanismos de liderança, 
estratégia e controle postos em prática para avaliar, direcionar e monitorar a 
atuação da gestão, com vistas à condução de políticas públicas e à prestação 
de serviços de interesse da sociedade (BRASIL, 2014). 
Governança no setor público - compreende essencialmente os mecanismos 
de liderança, estratégia e controle postos em prática para avaliar, direcionar e 
monitorar a atuação da gestão, com vistas à condução de políticas públicas e à 
prestação de serviços de interesse da sociedade. 
Identificação de riscos – processo de busca, reconhecimento e descrição de 
riscos; envolve a identificação das fontes de risco, os eventos, suas causas e 
suas consequências potenciais (ABNT, 2009); pode envolver análise de dados 
históricos, análises teóricas, opiniões de pessoas informadas e de especialistas, 
e as necessidades das partes interessadas. 
Impacto - efeito resultante da ocorrência do evento. 
Incerteza - incapacidade de saber com antecedência a real probabilidade ou 
impacto de eventos futuros. 
Indicadores-chave de desempenho – número, percentagem ou razão que 
mede um aspecto do desempenho na realização de objetivos estratégicos e 
operacionais relevantes para o negócio, relacionados aos objetivos-chave da 
organização, com o objetivo de comparar a medida com metas preestabelecidas 
(TCU, 2010d, adaptado). 
Indicadores-chave de risco – número, percentagem ou razão estabelecido 
para monitorar as variações no desempenho em relação à meta para o 
cumprimento de objetivos estratégicos e operacionais relevantes para o negócio, 
relacionados aos objetivos-chave da organização (TCU, 2010d, adaptado). 
Instâncias de Supervisão - constituídos por Comitês ou servidores que têm 
como função apoiar e dar suporte aos diversos níveis hierárquicos do Ministério 
na integração das atividades de gestão, governança, integridade, riscos e 
controles internos nos processos e atividades organizacionais. 
 
 132 
Macroprocessos – processos mais abrangentes da organização. Representam 
conjuntos de atividades agregadas, em nível de abstração amplo, que formam a 
cadeia de valor de uma organização, explicitando como ela opera para cumprir 
sua missão e atender as necessidades de suas partes interessadas (BRASIL, 
2011). Ver também Processo. 
Mapa Estratégico - representação visual da estratégia do Ministério da Justiça 
a partir da combinação e a integração de objetivos. Formado por um conjunto de 
objetivos que formam os propósitos maiores do Ministério. 
Mapa de processo - representação gráfica da sequência de atividades que 
compõem um processo, fornecendo uma visão dos fluxos operacionais do 
trabalho, incluindo, a depender do nível de análise que se deseja realizar, a 
evidenciação dos agentes envolvidos, os prazos, o fluxo de documentos, o 
processo decisório (BRASIL, 2003). 
Matriz de avaliação de riscos – papel de trabalho que estrutura e sistematiza 
a identificação, a análise e a avaliação de riscos, incluindo controles internos e 
outras respostas a riscos, como decisões sobre o tratamento de cada um deles. 
Matriz de risco – matriz gráfica que exprime o conjunto de combinações de 
probabilidade e impacto de riscos; serve para classificar os níveis de risco. 
Medidas de contingência – ações previamente planejadas que devem ser 
executadas, caso um ou mais riscos se concretizem. 
Mensuração de risco - significa estimar a importância de um risco e calcular a 
probabilidade e o impacto de sua ocorrência. 
Metas - resultados quantitativo ou qualitativo que o Ministério pretende alcançar 
em um prazo determinado, visando ao alcance de seus objetivos. 
Método de priorização de processos - classificação de processos baseada em 
avaliação qualitativa e quantitativa, visando ao estabelecimento de prazos para 
a realização de gerenciamento de riscos. 
Mitigar risco – ver Resposta a risco. 
Monitoramento – verificação, supervisão, observação crítica ou identificação da 
situação, executadas de forma contínua, a fim de identificar mudanças em 
relação ao nível de desempenho requerido ou esperado; também pode ser 
 
 133 
aplicado a riscos, a controles, à estrutura de gestão de riscos e ao processo de 
gestão de riscos. 
Nível de risco – magnitude de um risco ou combinação de riscos expressa em 
termos da combinação das consequências [impacto] e de suas probabilidades 
(ABNT, 2009). 
Objetivos-chave – os macro-objetivos, macroprodutos ou resultados finalísticos 
que geram, preservam e entregam valor público em benefício do conjunto da 
sociedade ou de alguns grupos específicos reconhecidos como destinatários 
legítimos de bens e serviços públicos (SERRA, 2008). 
Obrigações de accountability – ver Accountability pública. 
Órgão de governança – conselho de administração, diretoria colegiada ou 
órgãos com responsabilidade de supervisão geral da direção estratégica de 
entidades e das responsabilidades relacionadas às obrigações de accountability. 
Parceria – arranjo estabelecido, a fim de possibilitar um relacionamento 
colaborativo entre as partes (denominadas parceiras) visando ao alcance de 
objetivos específicos previamente acordados entre elas. 
Parte interessada (stakeholder) – pessoa ou organização que pode afetar, ser 
afetada, ou perceber-se afetada por uma decisão ou atividade da organização 
(ABNT, 2009). 
Plano de gestão de riscos – esquema dentro da estrutura de gestão de riscos 
que especifica a abordagem, os componentes de gestão e os recursos a serem 
aplicados para gerenciar riscos, incluindo,tipicamente, procedimentos, práticas, 
atribuição de responsabilidades, sequência e cronologia das atividades (ABNT, 
2009). Um manual ou complemento à política de gestão de riscos que pode ser 
aplicado a um determinado produto, processo e projeto, em parte ou em toda a 
organização (ABNT, 2009, adaptado). 
Planejamento estratégico - documento que materializa o plano estratégico 
institucional de longo prazo. 
Política de gestão de riscos – documento que contém a declaração das 
intenções e diretrizes gerais relacionadas à gestão de riscos e estabelece 
claramente os objetivos e o comprometimento da organização em relação à 
gestão de riscos. Não se trata de uma declaração de propósitos genérica, mas 
de um documento que, além de declarar os princípios, explica por que a gestão 
 
 134 
de riscos é adotada, o que se pretende com ela, onde, como e quando ela é 
aplicada, quem são os responsáveis em todos os níveis, dentre outros aspectos 
(ABNT, 2009). 
Processo – conjunto de atividades inter-relacionadas ou interativas que 
transformam insumos (entradas) em produtos/serviços (saídas) com valor 
agregado. Processos são geralmente planejados e realizados de maneira 
contínua para agregar valor na geração de produtos e serviços. Processos 
podem ser agrupados em macroprocessos e subdivididos em subprocessos 
(BRASIL, 2011). 
Processo de avaliação de riscos – processo global representado pelo conjunto 
de métodos e técnicas que possibilitam a identificação, a análise e a avaliação 
de riscos que possam impactar os objetivos de organizações, programas, 
projetos e atividades. Envolve a identificação das fontes de risco, dos eventos e 
de sua probabilidade de ocorrência, de suas causas e suas consequências 
potenciais, das áreas de impacto, das circunstâncias envolvidas, inclusive 
aquelas relativas a cenários alternativos (ABNT, 2009, adaptado). 
Processo de gestão de riscos – aplicação sistemática de políticas, 
procedimentos e práticas de gestão em atividades de comunicação, consulta, 
estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, 
monitoramento e análise crítica de riscos (ABNT, 2009). Sinônimo de 
gerenciamento de riscos. 
Processos de governança – os processos que integram os mecanismos de 
liderança, estratégia e controle e que permitem aos responsáveis pela 
governança a avaliar, direcionar e monitorar a atuação da gestão (BRASIL, 
2014). 
Responsabilização (accountability) – responsabilidade de uma organização 
ou indivíduo sobre suas decisões e atividades e prestação de contas a seus 
órgãos de governança, autoridades legais e, de modo mais amplo, às demais 
partes interessadas no que se refere a essas decisões e atividades (ABNT, 
2010). Ver também Accountability pública. 
Responsáveis pela governança – pessoas ou organizações com 
responsabilidade de supervisão geral da direção estratégica da entidade e das 
obrigações de accountability da organização (ISSAI 1003). 
Respostas a risco – opções e ações gerenciais para tratamento de riscos. Inclui 
evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá 
 
 135 
origem ao risco porque o risco está além do apetite a risco da organização e 
outra resposta não é aplicável; transferir ou compartilhar o risco com outra parte; 
aceitar o risco por uma escolha consciente; ou mitigar o risco diminuindo sua 
probabilidade de ocorrência ou minimizando suas consequências (INTOSAI, 
2007). 
Risco – possibilidade de um evento ocorrer e afetar adversamente a realização 
de objetivos (COSO GRC, 2007); possibilidade de algo acontecer e ter impacto 
nos objetivos, sendo medido em termos de consequências e probabilidades 
(BRASIL, 2010c); efeito da incerteza nos objetivos (ABNT, 2009). 
Risco de controle – possibilidade de que os controles adotados pela 
administração não sejam eficazes para tratar o risco a que se propõe. 
Risco de oportunidade – risco associado a aproveitar oportunidades que 
podem gerar benefícios à organização. 
Risco estratégico – risco de longo prazo ou risco de oportunidade relacionado 
aos objetivos estratégicos e às estratégias adotadas para alcançá-los. 
Risco inerente –risco intrínseco à natureza do negócio, do processo ou da 
atividade, independentemente dos controles adotados. 
Risco operacional – risco de perdas resultantes direta ou indiretamente de falha 
ou inadequação de processos internos, pessoas e sistemas ou de eventos 
externos. 
Risco residual – risco remanescente retido de forma consciente ou não pela 
administração mesmo após o tratamento de riscos. 
Risco significativo – aquele com grande probabilidade de ocorrer e, se ocorrer, 
trará um impacto relevante nos objetivos (LONGO, 2011). 
Riscos-chave – riscos estratégicos e riscos operacionais relevantes para o 
negócio, relacionados aos objetivos-chave da organização. 
Transferir risco – Ver Repostas a riscos. 
Tratamento de riscos – processo de implementar respostas selecionadas a 
riscos. Ver Repostas a riscos. 
 
 136 
Valor público – produtos e resultados gerados, preservados ou entregues pelas 
atividades de uma organização pública que representem respostas efetivas e 
úteis às necessidades ou demandas de interesse público e modifiquem certos 
aspectos do conjunto da sociedade ou de alguns grupos específicos 
reconhecidos como destinatários legítimos de bens e serviços públicos (SERRA, 
2008). 
	Apresentação
	Objetivos do Curso
	Objetivo Geral
	Objetivos Específicos
	Estrutura do Curso
	MÓDULO I – FUNDAMENTOS E MODELOS DE GESTÃO DE RISCOS
	Apresentação
	Objetivos do Módulo
	Estrutura do Módulo
	Aula 1 – Governança Pública e a Gestão de Riscos
	Aula 2 – Fundamentos da Gestão de Riscos
	Aula 2.1 – Fundamentos
	Aula 2.2 – Controles Internos da Gestão
	Aula 2.3 – Evolução histórica
	Aula 3 – Modelos de Gestão de Riscos
	Aula 3.1 – COSO
	Aula 3.2 - ISO 31000
	Aula 3.3 - THE ORANGE BOOK
	Finalizando
	MÓDULO II - MODELO DE GESTÃO DE RISCOS NA APF - CASO MJSP
	Apresentação
	Objetivos do Módulo
	Estrutura do Módulo
	Aula 1 - A Política e Gestão de Riscos e Controles Internos
	Aula 2 - Instâncias de Supervisão
	Aula 3 - Metodologia de Gerenciamento de Riscos do MJSP
	Aula 3.1 - O Processo de gerenciamento de riscos
	Aula 3.2 – O Sistema AGIR
	Finalizando
	MÓDULO III – PROCESSO DE GESTÃO DE RISCOS - CASO MJSP
	Apresentação
	Objetivos do Módulo
	Estrutura do Módulo
	Aula 1 - Análise de Ambiente e Fixação de Objetivos
	Aula 1.1 - Contexto
	Aula 1.2 - Análise do contexto operacional
	Aula 1.3 - Análise do contexto ambiental
	Aula 1.4 - Documentação da Etapa
	Aula 2 - Identificação dos Riscos
	Aula 2.1 - Elementos Básicos do Risco
	Aula 2.2 - Categorias de Riscos
	Aula 2.3 - Identificação e Análises
	Aula 3 - Avaliação de Riscos
	Aula 3.1 - Probabilidade e Impacto - Mensuração
	Aula 3.2 - Matriz de Risco - Nível do Risco e Incerteza
	Aula 3.3 - Documentação e Artefatos Previstos
	Aula 4 - Tratamento de Riscos
	Aula 4.1 - Resposta aos Riscos
	Aula 4.2 - Plano de Implementação de Controles
	Aula 4.3 - Documentação e Artefatos Previstos
	Aula 5 - Informação, Comunicação e Monitoramento
	Aula 5.1 - Monitoramento
	Aula 5.2 - Relatório
	Aula 5.3 - Documentação e Artefatos Previstos
	Aula 6 - Técnicas úteis para a Gestão de Riscos
	Aula 6.1 – Brainstorming
	Aula 6.2 - Análise de Árvore de Falhas – AAF
	Aula 6.3 - Diagrama de causa e efeito
	Aula 6.4 - Análise BOW TIE
	Aula 6.5 - Priorização de Processos
	Aula 6.6 - FMEA – Análise dos Modos de Falha e Efeitos
	Aula 6.7 - Entrevistas estruturadas ou semiestruturadas
	Aula 6.8 - DELPHI
	Aula 6.9 - Análise de Perigo e Pontos Críticos de Controle (APPCC)
	Aula 6.10 - Estudo HAZOP
	Aula 6.11 - Técnica “e se” estruturada (Swift)
	Aula 6.12 - Análise de Decisão Multicritério (AMC)
	Aula 6.13 - Análise de impacto nos negócios (BIA)
	Aula 6.14 - Análise de árvore de eventos (ETA)
	Finalizando
	ANEXOS
	GESTÃO DE RISCOS: GLOSSÁRIO (BRASIL, 2022)a riscos, 
os quais são considerados fontes de oportunidades de criação de valor ou 
desafios na busca pelo atingimento dos objetivos estratégicos. 
Os riscos estão presentes em todos os níveis das organizações em seus 
processos de trabalho, em seus projetos e na atuação de seus gestores em 
processos decisórios. Esses riscos devem ser gerenciados no sentido de mitigá-
los ou, na impossibilidade de saná-los completamente, ao menos permitir que 
eles tornem as atividades críticas razoavelmente aceitáveis. 
No setor público, a gestão de riscos é fundamental para reduzir o efeito 
das perdas, tratar com eficiência as incertezas, aproveitando-se das 
oportunidades ou reduzindo-se a probabilidade ou impacto de eventos com 
consequências negativas, com o propósito de assegurar o alcance dos objetivos 
estabelecidos, ou seja, o sucesso no cumprimento da missão institucional das 
organizações públicas em entregar serviços de qualidade e que atendam 
efetivamente as demandas do cidadão. 
Gerenciar riscos, por meio da identificação, análise e tratamento dos 
eventos de uma forma sistemática e estruturada, implica ao gestor público 
melhores resultados, com a melhoria das informações para a tomada de 
decisões de maneira eficaz. 
Para tanto, sejam elas informais ou altamente estruturadas e 
sistematizadas, as organizações adotam diversas abordagens de gestão de 
riscos, utilizando-se modelos reconhecidos internacionalmente, tais como COSO 
ERM, ISO 31000, Orange Book, entre outros. 
Assim, para a prática de gestão de riscos no setor público, é recomendada 
a adoção de processos consistentes e de uma estrutura abrangente, a fim de 
 
 10 
assegurar que o risco seja gerenciado em todos os níveis da organização de 
maneira eficaz e eficiente. 
“A implantação da gestão de riscos em uma organização é 
um processo de aprendizagem organizacional, que 
começa com o desenvolvimento de uma consciência sobre 
a importância de gerenciar riscos e avança com a 
implementação de práticas e estruturas necessárias à 
gestão eficaz dos riscos. O ápice desse processo se dá 
quando a organização conta com uma abordagem 
consistente para gerenciar riscos em atividades relevantes, 
e com uma cultura organizacional profundamente aderente 
aos princípios e práticas da gestão de riscos.” 
(BRASIL,2017f; 2018) 
Adotar padrões e boas práticas consolidadas em modelos reconhecidos 
é uma maneira eficaz de estabelecer uma abordagem sistemática, oportuna e 
estruturada para a gestão de riscos, que contribua para a eficiência e a obtenção 
de resultados consistentes (ABNT, 2009). 
Desse modo, a definição de uma estrutura gerencial é primordial para o 
sucesso da gestão de riscos em uma organização, pois é nesta estrutura que se 
encontram os fundamentos e os arranjos necessários para tratar os riscos 
inerentes ao cumprimento dos seus objetivos. 
Objetivos do Módulo 
 
Neste módulo, são apresentados alguns dos principais modelos de 
gerenciamento de riscos reconhecidos internacionalmente, que são utilizados 
pelas organizações para implementar a prática de gestão de riscos de forma 
consistente e sistematizada. 
A partir dos conteúdos trabalhados neste módulo, você deverá ser capaz 
de: 
• Compreender a relação entre a Governança Pública e a Gestão de 
Riscos; 
 
 11 
• Reconhecer os fundamentos básicos da gestão de riscos; 
• Compreender a evolução histórica do desenvolvimento dos 
modelos de gestão de riscos; 
• Conhecer as principais normas sobre gerenciamento de riscos. 
Estrutura do Módulo 
 
Este módulo compreende as seguintes aulas: 
Aula 1 – Governança Pública e a Gestão de Riscos. 
Aula 2 – Fundamentos da Gestão de Riscos. 
Aula 3 – Modelos de Gestão de Riscos. 
 
 
 12 
Aula 1 – Governança Pública e a Gestão de Riscos 
 
Antes de se avançar no tema Gestão de Riscos, é importante falar e 
compreender um pouco sobre governança nas organizações públicas e sua 
relação com a gestão e riscos. 
A existência de uma organização pública deve relacionar os seus 
objetivos à necessidade dos seus serviços ou das políticas públicas por ela 
implementadas. 
Nesse sentido, é fundamental atuar de forma a garantir estruturas de 
Estado associadas a essa realidade, menos pesadas, com custos menores, 
menos lentas e burocráticas na entrega de seus resultados. 
Segundo o Tribunal de Contas da União (TCU – BRASIL, 2020), 
em boa parte do mundo, há esforços significativos para rever as 
estruturas de Estado, de modo a aumentar a capacidade de 
entrega dos resultados demandados pela sociedade, em termos 
de serviços e políticas públicas, a reduzir o seu custo e a 
melhorar o gerenciamento dos seus riscos. A governança 
pública serve exatamente para isto: aumentar e preservar o valor 
que o Estado entrega aos que o mantêm. 
Conforme o Decreto nº 9.203, de 22 de novembro de 2017 (BRASIL, 
2017a), que dispõe sobre a política de governança da administração pública 
federal direta, autárquica e fundacional, governança pública refere-se ao 
“conjunto de mecanismos de liderança, estratégia e controle postos em prática 
para avaliar, direcionar e monitorar a gestão, com vistas à condução de políticas 
públicas e à prestação de serviços de interesse da sociedade”. 
Para que as funções de governança (avaliar, direcionar e monitorar) 
sejam executadas de forma satisfatória, o referido decreto apresenta os 
seguintes mecanismos para o exercício da governança pública: 
I.Liderança: conjunto de práticas de natureza humana ou 
comportamental exercida nos principais cargos das organizações, para 
 
 13 
assegurar a existência das condições mínimas para o exercício da boa 
governança, quais sejam: 
a) integridade; 
b) competência; 
c) responsabilidade; e 
d) motivação. 
II. Estratégia: definição de diretrizes, objetivos, planos e ações, além de 
critérios de priorização e alinhamento entre organizações e partes 
interessadas, para que os serviços e produtos de responsabilidade da 
organização alcancem o resultado pretendido; e 
III. Controle: processos estruturados para mitigar os possíveis riscos com 
vistas ao alcance dos objetivos institucionais e para garantir a execução 
ordenada, ética, econômica, eficiente e eficaz das atividades da 
organização, com preservação da legalidade e da economicidade no 
dispêndio de recursos públicos. 
O TCU (BRASIL, 2020), tendo como referência os normativos federais, a 
literatura internacional e nacional e as fiscalizações realizadas, propõe a adoção 
de um conjunto de mecanismos e práticas de governança, sintetizadas na figura 
1. 
 
 
 14 
Figura 1 - Mecanismos e práticas de Governança 
 
Fonte: Referencial Básico de Governança Organizacional (BRASIL, 2020). 
 
Verifica-se que, dentre outras, a prática de gestão de riscos constitui-se 
em um dos elementos da governança organizacional pública. Conforme o TCU 
(BRASIL, 2020), alcançar a boa governança e estabelecer um sistema eficaz de 
gestão de riscos e controles internos é uma das diretrizes a ser atendida pelas 
organizações públicas. Para o TCU a governança pública organizacional: 
“É a aplicação de práticas de liderança, de estratégia e de 
controle, que permitem aos mandatários de uma organização 
pública e às partes nela interessadas avaliar sua situação e 
demandas, direcionar a sua atuação e monitorar o seu 
funcionamento, de modo a aumentar as chances de entrega de 
bons resultados aos cidadãos, em termos de serviços e de 
políticas públicas.” (TCU, 2020, pg. 15) 
Convém destacar que a governança é diferente da gestão. A governança 
tem foco na efetividade do processo decisório, no alcance dos resultados. Já a 
gestão atua de acordo com as diretrizes e determinações superiores, com foco 
na qualidade da implementação das ações para o alcance dos resultados, 
 
 15 
devendo identificar, avaliar e mitigar os riscos que podem impactar os objetivos 
da organização. De acordo com o TCU (BRASIL, 2020), arelação entre a 
governança e a gestão envolve estratégia e accountability, conforme a Figura 2. 
Figura 2 – Relação entre Governança e Gestão 
 
Fonte: Referencial Básico de Governança Organizacional (BRASIL, 2020). 
 
De acordo com o COSO (2007), o gerenciamento de riscos, integrado ao 
planejamento estratégico, serve para identificar e compreender os riscos, a fim 
de que as instâncias responsáveis tenham condições de dar respostas 
apropriadas a eles. 
Nesse sentido, é necessário estruturar a gestão de riscos nas 
organizações públicas, adequando-a a sua governança, na qual o processo de 
gestão de riscos estabelecido é integrado à gestão e à tomada de decisão 
estratégica, o que garante a alocação de recursos necessários e a adequação 
dos canais de comunicação. 
Com o propósito de facilitar a compreensão dos riscos e sua gestão, a 
seguir, será feita uma abordagem dos conceitos fundamentais do tema e 
apresentado um roteiro básico relacionado à gestão de riscos. 
 
 
 16 
Aula 2 – Fundamentos da Gestão de Riscos 
 
Aula 2.1 – Fundamentos 
Tanto você quanto as organizações estão inseridos em um ambiente 
cercado por incertezas, no qual algumas delas representam riscos, 
oportunidades ou ameaças, pois podem, em níveis diferentes, afetar a conquista 
dos objetivos almejados. 
Então, risco, seja ele pessoal ou organizacional, é uma 
incerteza, alguma coisa no futuro que pode ocorrer ou não, 
contudo, se ele ocorrer, terá consequências que afetam as 
chances de sucesso no alcance dos objetivos pretendidos. 
 
 
Nesse contexto, no qual as ações estão inseridas em um ambiente de 
incertezas que podem frustrar o alcance de nossos objetivos, você não pode ficar 
à mercê da sorte e ser apenas vítima do que acontecerá, devendo identificar 
essas incertezas (riscos) e implementar medidas para mitigar os riscos. No caso 
das organizações públicas, a necessidade de gerenciar riscos assume 
 
 17 
relevância e dimensões ainda maiores. Ana Carolina Carvalho, em (2021, p.11) 
afirma o seguinte: 
“Os órgãos não podem e nem devem ficar à mercê de riscos e 
alheios a eles, no polo passivo, sem tomar qualquer atitude 
como um barco à deriva que, a qualquer momento, pode 
naufragar. A administração pública lida com a vida e o bem-estar 
das pessoas e deixar de executar uma política fundamental ou 
fornecer um serviço pelo simples fato da materialização de um 
risco que impactou negativamente aquele órgão – o qual poderia 
ter sido mitigado – é inadmissível.” 
A despeito das eventuais diferenças que possam existir entre os 
processos adotados para o gerenciamento de riscos, todos possuem, em sua 
essência, as fases da análise e da ação. 
Assim, para que seja possível gerenciá-los adequadamente, é necessário, 
inicialmente, identificar, fazer a descrição, compreender e avaliar os riscos. 
Contudo, apesar de indispensável, não basta apenas ficar na fase inicial 
analisando os riscos. Na sequência, é necessário agir, ou seja, definir e 
implementar ações para lidar com riscos identificados. 
Nesse sentido, consciente do ambiente no qual se está inserido, a análise 
desse ambiente visando aos objetivos definidos permite a identificação de 
vulnerabilidades (falhas ou fraquezas das ameaças e oportunidades), 
consequentemente, dos eventos que podem impactar o alcance dos objetivos. 
Conhecidos os impactos nos objetivos se o risco ocorrer e qual a 
possibilidade dele acontecer, é possível decidir quais medidas ou controles 
internos podem ser adotados para tratar os potenciais riscos para mantê-los em 
níveis compatíveis com o apetite (aceitação) e a tolerância (resiliência). 
 
 18 
 
Assim, diante de um mesmo risco, as pessoas e as organizações podem 
ter reações diferentes, a depender de sua maturidade e experiências pregressas, 
de sua capacidade de evitar, mitigar ou potencializar sua ocorrência, bem como 
de reduzir ou tolerar seu impacto. 
De maneira mais formal, a definição de gestão de riscos pode ser 
encontrada em um conjunto de normas, legislações e metodologias. A seguir, os 
principais conceitos: 
a) ISO 31000: atividades coordenadas para dirigir e controlar uma 
organização no que se refere a riscos; 
b) COSO – ERM: processo que permeia toda a organização, colocado em 
prática pela alta administração da entidade, pelos gestores e demais 
colaboradores, aplicado no estabelecimento da estratégia e projetado para 
identificar possíveis eventos que possam afetar a instituição. Serve também para 
gerenciar riscos de modo a mantê-los dentro do seu apetite, com vistas a 
fornecer segurança razoável quanto ao alcance dos objetivos da entidade. 
c) Instrução Normativa Conjunta MP/CGU nº 1/2016: processo para 
identificar, avaliar, administrar e controlar potenciais eventos ou situações, para 
fornecer razoável certeza quanto ao alcance dos objetivos da organização. (art. 
2º, VII) 
d) Decreto nº 9.203/2017 – processo de natureza permanente, 
estabelecido, direcionado e monitorado pela alta administração, que contempla 
as atividades de identificar, avaliar e gerenciar potenciais eventos que possam 
https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/21519355/do1-2016-05-11-instrucao-normativa-conjunta-n-1-de-10-de-maio-de-2016-21519197
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2017/decreto/d9203.htm
 
 19 
afetar a organização, destinado a fornecer segurança razoável quanto à 
realização de seus objetivos. (art. 2º IV) 
Carvalho (2021, p.15) ao agregar esses conceitos, destaca os seguintes 
pontos: 
- A Gestão de Riscos é um processo; 
- A Gestão de Riscos deve ser de caráter permanente; 
- A Gestão de Riscos permeia toda organização; 
- A Gestão de Riscos é direcionada e monitorada pela alta administração 
e colocada em prática por todos; 
- A Gestão de Riscos gerencia riscos que afetam negativamente o 
cumprimento dos objetivos da organização, a fim de fornecer segurança 
razoável; 
- A Gestão de Riscos na administração pública federal contempla as 
atividades de identificar, avaliar e gerenciar esses riscos. 
 
Mitos que precisam ser desmistificados: a gestão de riscos vai 
aumentar o trabalho, os custos da organização e engessar os 
processos de trabalho por que trará mais controles? 
Não! A gestão de riscos pode reduzir os esforços, diminuir 
gastos desnecessários e trazer fluidez para o processo de 
trabalho. Sinteticamente, a gestão de riscos vem, portanto, como 
um instrumento de governança para aperfeiçoar e direcionar a 
gestão pública, a fim de se entregar à sociedade um serviço de 
qualidade, com economicidade e eficiência, fornecendo uma 
segurança razoável no cumprimento dos objetivos da instituição. 
 
A partir destes conceitos iniciais, o TCU (BRASIL, 2018j) sugere que 
você reflita acerca de um empreendimento no qual esteja envolvido e a 
responder às seguintes questões: 
1. Que empreendimento você deseja proteger ou ver bem-sucedido? 
Pode ser um projeto, um processo, um departamento, uma organização, uma 
política. 
 
 20 
2. Quais são os objetivos desse empreendimento? 
3. Que fatores (fraquezas, ameaças, erros, falhas etc) podem afetar o 
alcance desses objetivos? 
4. Que riscos podem se originar da ocorrência desses fatores? 
5. Qual seria a probabilidade e o impacto da ocorrência de cada um 
desses riscos se nada tivesse sido feito para mitigá-los até o momento? Calcule 
o nível de risco inerente (probabilidade inicial x impacto inicial). 
6. Qual é o seu apetite e a sua tolerância a risco? Qual nível de risco você 
considera aceitável? 
Você percebe que as questões indicam uma das possíveis formas de se 
gerenciar riscos: modelos, técnicas, ferramentas e estudos que podem, a 
depender da necessidade, ser utilizados pelas organizações para implementar a 
prática de gestão de riscos de forma consistente e sistematizada. 
 
Aula 2.2 – Controles Internos da Gestão 
 
Como se viu, para gerenciar os riscos deforma adequada, inicialmente é 
necessário identificar, fazer a descrição, compreender e avaliar os riscos, bem 
como definir e implementar controles internos para lidar com riscos identificados. 
Mas o que é controle interno da gestão? 
O conceito de controle interno contempla diversas dimensões, indo desde 
um controle individual, passando por uma visão sistêmica ou de conjunto de 
todos os controles de uma organização (sistema ou estrutura de controle 
interno), até chegar ao conceito de controle como uma das quatro funções 
clássicas da administração (planejar, organizar, dirigir e controlar). 
A IN CONJUNTA MP/CGU Nº 1, de 10 de maio de 2016 (BRASIL, 2016), 
dispõe sobre controles internos, gestão de riscos e governança no âmbito do 
Poder Executivo Federal. Nessa nota, controles internos da gestão referem-se 
ao conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas 
informatizados, conferências e trâmites de documentos e informações 
 
 21 
operacionalizados de forma integrada pelos gestores e equipe de servidores, 
para enfrentar os riscos e fornecer segurança razoável ao alcance dos objetivos 
organizacionais, entre os quais se destacam: 
 
O estabelecimento de controles internos no âmbito da gestão pública visa 
a, essencialmente, aumentar a probabilidade do alcance dos objetivos e metas, 
de forma eficaz, eficiente, efetiva e econômica. 
Os controles internos da gestão são a primeira linha de defesa que as 
organizações públicas dispõem quando implementam processos para atingir 
seus objetivos. Tais controles, exercidos pelo gestor público em geral, 
constituem responsabilidade de todos que atuam na organização, e são mais 
efetivos quando atrelados à gestão de risco, auxiliando a administração a 
alcançar seus objetivos estratégicos. 
Além dos controles internos da gestão, os órgãos e entidades do Poder 
Executivo federal podem estabelecer instâncias que atuam como segunda linha 
de defesa para supervisão e monitoramento desses controles internos. 
Os controles internos da gestão não devem ser confundidos com as 
atividades do Sistema de Controle Interno relacionadas no artigo 74 da 
 
 22 
Constituição Federal de 1988 (BRASIL, 1988), nem com as atribuições da 
auditoria interna que se constituem na terceira linha. 
Figura 3 – Modelo das Três Linhas 
 
Fonte: Modelo das Três Linhas do IIA 2020 (IIA BRASIL, 2020). 
 
Como há várias classificações de controles internos da gestão, este curso 
irá destacar aqueles com foco na relação de risco, isto é, se o controle tem como 
objetivo prevenir, detectar ou remediar a materialização de eventos de riscos. 
Nessa classificação, os controles internos podem ser: 
• Preventivos: concebidos para reduzir a possibilidade de materialização 
dos eventos de risco; o controle preventivo age sobre a probabilidade de 
ocorrência de um determinado evento. 
• Detectivos: detectam a materialização de eventos de risco, contudo não 
impedem a sua ocorrência. Alertam sobre a existência de problemas ou 
desvios do padrão, com o objetivo de provocar a gestão para adotar as 
ações corretivas pertinentes. 
• Compensatórios: concebidos para compensar a não adoção de outros 
controles preventivos ou detectivos; ou para contrabalançar outras 
falhas na estrutura de controle da organização. A adoção desse tipo de 
controle normalmente acontece por razões de custo-benefício. 
Um controle interno adequado é o melhor instrumento utilizado na gestão 
de riscos para tratar riscos. Assim, as ações a serem implementadas para tratar 
 
 23 
os riscos implicarão a introdução de novos controles ou a modificação dos já 
existentes. 
Contudo, o custo de se controlar um risco não deve ser superior aos 
benefícios esperados do controle. A relação custo/benefício é uma limitação ao 
controle interno justamente porque existem riscos que não são controlados 
devido ao alto custo que isso implicaria. Isso quer dizer que nem todos os riscos 
precisam e/ou devem ser controlados. Por exemplo, quando o risco é baixo e o 
impacto na empresa causado pela ocorrência do risco também é baixo, pode-se 
aceitar o risco e não estabelecer controle interno algum. 
 
Aula 2.3 – Evolução histórica 
 
O risco e a decisão do que fazer está presente em qualquer esforço 
humano na tentativa de alcançar alguma coisa. Assim, desde o início da 
civilização, a prática de gerenciar riscos está na realidade do ser humano. 
Mesmo sem existir uma abordagem teórica específica, havia profissionais 
que desempenhavam atividades relacionadas com a mitigação de riscos, por 
exemplo, análise de riscos em seguradoras, proteção contra incêndios, 
segurança e patrimonial, segurança do trabalho e controle de qualidade. 
O desenvolvimento da teoria da probabilidade no século XVII possibilitou 
à gestão de riscos a utilização de métodos quantitativos. Entretanto, até meados 
do século XX, isso estava limitado a setores específicos, como seguros, mercado 
financeiro e saúde pública (HUBBARD, 2009). 
O início da gerência de riscos, especialmente nas organizações 
industriais, ocorreu após a segunda guerra mundial, a expansão das 
indústrias e o crescimento dos riscos inerentes às atividades 
industriais, apresentando a necessidade de proteger as empresas em 
relação aos riscos de acidentes. 
 
 24 
Os estudos da gestão de riscos com enfoque corporativo são 
relativamente novos, com início no final do século XX. Marco importante foi a 
publicação do artigo “The Risk Management Revolution”, na revista Fortune 
(KLOMAN, 1976), o qual sugeria que se estabelecesse a coordenação das várias 
funções de riscos existentes em uma organização e a aceitação pela alta 
administração da responsabilidade por instituir políticas e manter supervisão 
sobre tal função coordenada (BRASIL, 2018j apud FRASER; SIMKINS, 2010). 
Somente no ano de 1992, a ideia de gestão de risco corporativo volta a 
ganhar foco, quando o Committee of Sponsoring Organizations of the Treadway 
Commission – COSO publica o guia Internal Control - integrated framework 
(COSO-IC ou COSO I), com o objetivo de orientar as organizações quanto a 
princípios e melhores práticas de controle interno, o que inclui práticas de gestão 
de riscos (COSO, 2007; 2017). 
No mesmo ano, o Comitê Cadbury, do Reino Unido, emite relatório sobre 
o tema no qual identifica o corpo governante superior da entidade como 
responsável por definir a política de gestão de riscos, assegurar que a 
organização entenda todos os riscos aos quais está exposta e supervisionar o 
processo de gestão de riscos (CADBURY, 1992). 
Em 1995, esforço conjunto das entidades padronizadoras Standards 
Australia e Standards New Zealand resulta na publicação do primeiro modelo 
padrão oficial para a gestão de riscos, a norma técnica Risk Management 
Standard, AS/NZS 4360:1995. Normas técnicas assemelhadas logo são 
publicadas também no Canadá, no Reino Unido e em outros países. 
Como resposta à onda de escândalos relacionados às empresas, entre 
outras, Enron, WorldCom, Adelphia, foi aprovada, em 2002, a chamada Lei 
 
 25 
Sarbanes-Oxley, que destacou a importância dos controles internos e 
estabeleceu como exigência legal nos EUA a adoção de boas práticas de 
governança corporativa, dentre outras, a estruturação de controles internos e da 
gestão de riscos corporativos. 
O COSO publicou o Enterprise Risk Management - integrated framework 
(COSO-ERM ou COSO II), modelo de referência que estendeu o COSO I, tendo 
como foco a gestão de riscos corporativos (COSO, 2007; 2017). No mesmo ano, 
é firmado o Acordo de Basileia II, aplicável a instituições bancárias com 
abrangência mundial, tendo como grande diferencial, em complemento às 
previsões já existentes no documento firmado em 1988, a inclusão de requisitos 
específicos relacionados com a gestão de riscos operacionais (BRASIL, 2018j). 
Ainda em 2004, é lançada versão atualizada e expandida da norma AS/NZS4360 (BRASIL, 2018j). 
Em 2009 é publicada a norma técnica ISO 31.000 Risk management – 
Principles and guidelines, que provê princípios e boas práticas para um processo 
de gestão de riscos corporativos, aplicável a organizações de qualquer setor, 
atividade e tamanho (ABNT, 2009). 
Mais recentemente foi publicada a NBR ISO/IEC 31010:2012 – Gestão de 
riscos – como uma norma de apoio à NBR ISO 31000 (ABNT, 2012), 
apresentando orientações sobre a escolha e aplicação de técnicas para o 
processo de avaliação de riscos. Em 2018 foi editada a segunda versão da 
norma ISO 31.000 (ABNT, 2018). 
 
 
 26 
 
Figura 4 – Evolução do Gerenciamento de riscos 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Fonte: Adaptado do Referencial básico de GESTÃO DE RISCOS (TCU,2018). 
 
 
 27 
Aula 3 – Modelos de Gestão de Riscos 
 
Aula 3.1 – COSO 
 
A estrutura conceitual desenvolvida pelo COSO (Committee of 
Sponsoring Organizations of the Treadway Comission) é, atualmente, a mais 
aceita no cenário corporativo internacional e a mais utilizada entre as 
companhias da América do Norte. O COSO é uma organização privada criada 
nos Estados Unidos em 1985, para prevenir e evitar fraudes em relatórios 
contábeis e financeiros, sendo seu principal objeto de estudo os controles 
internos. 
Em 1992 a Comissão criada na instituição para estudar as causas da 
ocorrência de fraudes publicou o trabalho Internal Control – Integrated 
Framework (Controles Internos – Um modelo integrado), com o objetivo de 
orientar as organizações quanto às melhores práticas de controles internos e 
contábeis. Posteriormente, já como Comitê, foi estabelecida uma definição para 
controles internos como sendo um “processo operado pela alta administração e 
pelas pessoas, desenhado para fornecer segurança razoável quanto à 
consecução de objetivos” e para riscos como a “probabilidade de perda ou 
incerteza associada ao cumprimento de um objetivo”. (ASSI, 2012) 
Ao longo do tempo, diante de um cenário de escândalos financeiros 
principalmente nos EUA, os controles evoluíram e as organizações passaram a 
se preocupar com uma estrutura de gestão com enfoque em riscos. Em 2001 
iniciou-se a elaboração do modelo COSO ERM (Enterprise Risk Management) – 
Gerenciamento de Riscos Corporativos – Estrutura Integrada, concluído em 
2004, o que alterou o foco do modelo anterior, que era voltado unicamente para 
uma estrutura de controle interno, para o foco atual em gestão de riscos no 
ambiente corporativo (COSO, 2007; 2017). 
O objetivo dessa estrutura é contribuir para que a gestão da organização 
adote uma forma de abordar os riscos inerentes ao cumprimento de seus 
objetivos. 
“O gerenciamento de riscos corporativos é um processo 
conduzido em uma organização pelo conselho de administração, 
 
 28 
diretoria e demais empregados, aplicado no estabelecimento de 
estratégias, formuladas para identificar em toda a organização 
eventos em potencial, capazes de afetá-la, e administrar os 
riscos de modo a mantê-los compatíveis com o apetite a risco da 
organização e possibilitar garantia razoável do cumprimento dos 
seus objetivos.” (COSO, 2007) 
A metodologia proposta pelo COSO é apresentada em forma de cubo, por 
meio de uma matriz tridimensional, que contém oito componentes de 
gerenciamento de riscos nas linhas horizontais; quatro categorias de objetivos – 
estratégicos, operacionais, de comunicação e conformidade – representadas 
nas colunas verticais; e a organização e suas unidades e as na terceira dimensão 
do cubo. (COSO, 2007) 
Figura 5 – Cubo do COSO ERM – (versão 2004) 
 
 
Fonte: Referencial básico de GESTÃO DE RISCOS (BRASIL,2018j) 
 
A - Componentes de gerenciamento de riscos (face frontal): ambiente 
interno, fixação de objetivos, identificação de eventos, avaliação de 
riscos, resposta a risco, atividades de controle, informações e 
comunicações e monitoramento. 
B - Categorias de objetivos (face superior do cubo): estratégico, 
operacional, comunicação e conformidade. 
 
 29 
C - Nível Organizacional (face lateral do cubo): representa a estrutura da 
organização (unidade, área, divisão etc.). 
 
Aula 3.2 - ISO 31000 
 
A ISO 31000 é uma norma técnica que fornece princípios e 
diretrizes genéricas para a gestão de qualquer tipo de risco e, 
por se tratar de uma norma geral, poderá ser utilizada por 
qualquer empresa pública ou privada. 
Ela traz uma abordagem comum para harmonizar os processos de gestão 
de riscos, podendo ser aplicada em uma ampla gama de atividades, incluindo 
estratégias, decisões, operações, processos, funções, projetos, produtos, 
serviços e ativos (ABNT, 2009). 
A gestão de riscos, vista sob a ótica da primeira versão desta norma 
técnica, ISO 31000:2009, requer um comprometimento forte e sustentado a ser 
assumido pela administração da organização, necessitando-se para tanto de um 
planejamento rigoroso e estratégico para obter este comprometimento em todos 
os níveis. Além disso, é conveniente: 
• o entendimento da organização e de seus contextos externo e 
interno; 
• o estabelecimento de uma política de gestão de riscos contendo 
claramente os objetivos e o comprometimento da organização em 
relação a este tema; 
• a identificação dos responsáveis (autoridades e competências); 
• a integração dos processos organizacionais; e 
• a alocação de recursos e os mecanismos de comunicação e reportes 
internos e externos 
 
 
 
 
 
 30 
Figura 6 – Processo de Gestão de Riscos – ISO 31000:2009 
 
Fonte: ISO 31000:2009 (ABNT,2009). 
Em 2018, foi editada uma atualização da norma ISO 31000:2018, com a 
revisão de conceitos e da estrutura do modelo, incluindo ao processo um 
componente de registro e relato. 
Figura 7 – Processo de Gestão de Riscos – ISO 31000:2018 
 
Fonte: ISO 31000:2018 (ABNT,2018). 
 
 31 
Aula 3.3 - THE ORANGE BOOK 
 
“The Orange Book Management of Risk – Principles and Concepts” 
(Gerenciamento de Riscos – Princípios e Conceitos) é um documento produzido 
e publicado pelo HM Treasury do Governo Britânico, amplamente utilizado como 
principal referência do Programa de Gerenciamento de Riscos do Governo do 
Reino Unido, iniciado em 2001 (BRASIL, 2018j). Apresenta uma introdução ao 
gerenciamento de riscos com uma abordagem simples e abrangente, o que 
possibilita compreender as organizações que possuem diversos níveis de 
maturidade em relação ao tema. Propõe à organização o gerenciamento de 
riscos em diversos níveis, como, por exemplo, no nível estratégico, de programas 
e de projetos e atividades. 
Cabe ressaltar que, em 2013, o então Ministério do Planejamento, 
Orçamento e Gestão promoveu uma introdução ao tema gerenciamento de 
riscos no setor público, tomando como base o Orange Book ao produzir o Guia 
de Orientação para o Gerenciamento de Riscos, para apoiar o Modelo de 
Excelência do Sistema de Gestão Pública – GESPÚBLICA (BRASIL, 2013a). 
Nesse Guia, o risco é definido como “(...) eventos ou condições incertas, 
que caso ocorram, podem gerar impactos negativos (ameaças) ou positivos 
(oportunidades) nos objetivos de programas, projetos ou serviços a serem 
entregues à sociedade” (BRASIL, 2013a). 
O Modelo de Excelência do Sistema de Gestão Pública propõe o 
gerenciamento de risco como um conjunto de elementos inter-relacionados, 
entre eles o processo de gerenciamento de riscos (identificação de riscos, 
análise e avaliação de riscos, planejamento das respostas aos riscos e 
implementação, monitoramento e controle de riscos), organização estendida, 
macroambiente de riscos e comunicação e aprendizado contínuo. 
 
 
 
 
 
 32 
Figura 8 – Modelo The Orange Book 
 
 
Fonte: Adaptado do Risk Management Model do Orange Book do HM Treasury do Reino Unido 
(BRASIL, 2013a). 
 
SAIBA MAIS! 
1. Conheça outros modelos internacionais de gestão de 
riscos. 
2. Leia o artigo publicado na REVISTA DE 
ADMINISTRAÇÃO PÚBLICA que abordaa Incorporação 
de modelos internacionais de gerenciamento de riscos na 
normativa federal (SOUZA et al., 2020). 
3. Governança Pública - o que é? Por que alguns serviços 
e políticas funcionam e outros não? Conheça trabalho 
realizado pelo TCU em parceria com a OCDE para avaliar 
a governança pública brasileira (BRASIL, 2013b). 
4. Em sua Terceira edição, o Tribunal de Contas da União 
publicou o Referencial Básico de Governança aplicável a 
organizações públicas e outros entes jurisdicionados ao 
TCU (BRASIL, 2020b). 
https://portal.tcu.gov.br/governanca/governancapublica/gestao-de-riscos/modelos.htm
https://portal.tcu.gov.br/governanca/governancapublica/gestao-de-riscos/modelos.htm
https://www.scielo.br/j/rap/a/GKbq8BR9qQSDnPRRRrB9K4D/?format=pdf&lang=pt
https://www.scielo.br/j/rap/a/GKbq8BR9qQSDnPRRRrB9K4D/?format=pdf&lang=pt
https://youtu.be/kGYdT1mJ-0c
https://youtu.be/kGYdT1mJ-0c
https://youtu.be/kGYdT1mJ-0c
https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A81881F7AB5B041017BABED4CC852BB
 
 33 
5. Saiba mais sobre o Controle Interno da Gestão do MInfra 
no vídeo a seguir (BRASIL, 2019). 
 
Finalizando 
 
Neste módulo, você aprendeu que: 
• Governança pública refere-se ao conjunto de mecanismos de 
liderança, estratégia e controle postos em prática para avaliar, 
direcionar e monitorar a gestão, com vistas à condução de políticas 
públicas e à prestação de serviços de interesse da sociedade. 
• A prática de gestão de riscos constitui-se em um dos elementos da 
governança organizacional pública e, conforme o TCU (2020), deve ser 
uma das diretrizes a ser atendida pelas organizações públicas, a fim de 
alcançar a boa governança e estabelecer um sistema eficaz de gestão 
de riscos e controles internos. 
• Risco, seja ele pessoal ou organizacional, é uma incerteza, alguma 
coisa no futuro que pode ocorrer ou não, contudo, se ele ocorrer, terá 
consequências que afetam as chances de sucesso no alcance dos 
objetivos pretendidos. 
• Para que seja possível gerenciar os riscos de forma correta, 
inicialmente é necessário identificar, fazer a descrição, compreender e 
avaliar os riscos. Contudo, apesar de indispensável, não basta apenas 
analisar os riscos. Na sequência, é necessário agir, ou seja, definir e 
implementar ações para lidar com os riscos identificados. 
• Sobre a gestão de riscos, destacam-se os seguintes pontos: 
- A Gestão de Riscos é um processo; 
- A Gestão de Riscos deve ser de caráter permanente; 
- A Gestão de Riscos permeia toda organização; 
- A Gestão de Riscos é direcionada e monitorada pela alta 
administração e colocada em prática por todos; 
https://youtu.be/ENgCYw9EXXA
 
 34 
- A Gestão de Riscos gerencia riscos que afetam negativamente 
o cumprimento dos objetivos da organização, a fim de fornecer 
segurança razoável; e 
- A Gestão de Riscos na administração pública federal contempla 
as atividades de identificar, avaliar e gerenciar esses riscos. 
• Os controles internos da gestão são a primeira linha de defesa que 
as organizações públicas dispõem quando implementam processos 
para atingir seus objetivos, constituindo responsabilidade de todos que 
atuam na organização, sendo mais efetivos quando atrelados à gestão 
de risco, auxiliando a administração a alcançar seus objetivos 
estratégicos. 
• Os controles internos podem ser: 
o Preventivos: agem sobre a probabilidade de ocorrência de 
um determinado evento. 
o Detectivos: alertam sobre a existência de problemas ou 
desvios do padrão, com o objetivo de provocar a gestão para 
adotar as ações corretivas pertinentes. 
o Compensatórios: são concebidos para compensar a não 
adoção de outros controles preventivos ou detectivos, ou 
para contrabalançar outras falhas na estrutura de controle 
da organização. 
• Um controle interno adequado é o melhor instrumento utilizado na 
gestão de riscos para tratar riscos, assim, as ações a serem 
implementadas para tratar os riscos implicarão a introdução de 
novos controles ou a modificação dos controles existentes. 
• O custo de se controlar um risco não deve ser superior aos 
benefícios esperados do controle. 
• O risco e a decisão do que fazer está presente em qualquer esforço 
humano na tentativa de alcançar alguma coisa. Assim, desde o 
início da civilização, gerenciar riscos faz parte da realidade do 
homem. 
 
 35 
• Os modelos de gestão de riscos são estruturas que visam contribuir 
para que a gestão da organização adote uma forma de controlar os 
riscos inerentes para garantir o alcance dos seus objetivos. 
 
 
 36 
MÓDULO II - MODELO DE GESTÃO DE RISCOS NA APF 
- CASO MJSP 
 
Apresentação 
 
A Administração Pública Federal (APF) possui diversas características 
próprias que determinam a adoção de práticas de gestão diferenciadas e, para 
isso, a participação do gestor nesse processo é fundamental, a fim de melhor 
cuidar do bem público. 
A gestão de riscos é um instrumento de governança com o intuito de 
assegurar o alcance dos objetivos estratégicos do setor público, apoiando seus 
agentes no cumprimento de suas responsabilidades de gerar, preservar e 
entregar valor público em benefício da sociedade (BRASIL, 2017f). 
Gerir riscos diz respeito a promover o processo permanente, estabelecido, 
direcionado e monitorado pela alta administração, que contempla as atividades 
de identificar, avaliar e gerenciar potenciais eventos de risco que possam afetar 
a organização, a fim de fornecer segurança razoável quanto à realização de seus 
objetivos. 
Para o TCU (BRASIL, 2020b), gerir os riscos refere-se a: 
a) definir e implementar a estrutura de gestão de riscos. A estrutura exige 
o comprometimento da liderança com a gestão de riscos, por meio de uma 
política. De acordo com a ISO 31.000:2018, os objetivos e o 
comprometimento com a gestão de riscos devem ser formalizados numa 
política. 
b) estabelecer as funções da segunda linha (facilitação, apoio e 
monitoramento das atividades de gestão de riscos). O IIA Brasil (2020) 
explica que essas funções fornecem apoio e questionamento às decisões 
e ações da primeira linha, mas não são totalmente independentes da 
gestão. O IIA Brasil (2020) orienta ainda que deve haver colaboração e 
comunicação entre os papéis de primeira e segunda linhas de gestão e 
auditoria interna, para garantir que não haja duplicação, sobreposição ou 
lacunas desnecessárias. 
 
 37 
 
c) implantar o processo de gestão de riscos, que deve ser incorporado aos 
demais processos organizacionais, a começar do planejamento 
estratégico, de forma a subsidiar a tomada de decisão e assegurar o 
alcance dos objetivos, sejam eles estratégicos, operacionais, específicos 
de um projeto, processo, função, serviço, produto, ativo ou programa. 
d) gerenciar os riscos críticos (aqueles com potencial de impacto 
significativo nas operações e nos resultados), que devem ser avaliados 
com precisão, juntamente com seus respectivos planos de mitigação, que 
também devem ser monitorados. 
e) implementar um processo de gestão de continuidade de negócios, para 
reduzir os efeitos de possíveis incidentes que tenham o potencial de 
interromper as atividades da organização, sejam provocados pelo homem 
(p.ex.: ataques terroristas) ou naturais (p.ex.: incêndios, inundações, 
terremotos, furacões e pandemias). 
Objetivos do Módulo 
 
Neste módulo, você irá conhecer a estrutura de gerenciamento de riscos 
do Ministério da Justiça e Segurança Pública (MJSP), a qual foi concebida tendo 
como referência os normativos federais e a literatura internacional e nacional. 
A partir dos conteúdos trabalhados neste módulo, você deverá ser capaz 
de compreender os elementos básicos mínimos a serem considerados na 
implantação de uma estrutura de Gestão de Riscos. 
Estrutura do Módulo 
 
Este módulo compreende as seguintes aulas: 
Aula 1 – A Política de Gestão de Riscos e Controles Internos. 
Aula 2 – As Instâncias de Supervisão.Aula 3 – Metodologia de Gerenciamento de Riscos do MJSP. 
 
 38 
Aula 1 - A Política e Gestão de Riscos e Controles Internos 
 
A Controladoria-Geral da União (CGU) e o Ministério do Planejamento, 
Desenvolvimento e Gestão (MP) publicaram a Instrução Normativa Conjunta 
MP/CGU nº 01, de 10 de maio de 2016 (BRASIL, 2016), a qual determina a todos 
os órgãos e entidades do Poder Executivo Federal a adoção de medidas para a 
sistematização de práticas relacionadas à gestão de riscos, aos controles 
internos e à governança. 
Com a publicação da IN Conjunta CGU/MP Nº 1/2016 (BRASIL, 
2016), fica explícita a necessidade dos órgãos e entidades do 
Poder Executivo Federal institucionalizarem práticas 
relacionadas à gestão de riscos, aos controles internos e à 
governança. 
O MJSP conduz, desde 2017, diversas medidas para implementação do 
seu processo de gerenciamento de risco. Mais recentemente, por meio da 
Portaria MJSP nº 2/2022 (BRASIL, 2022), foi instituído o Sistema de Governança 
do Ministério da Justiça e Segurança Pública, que contempla, dentre os seus 
elementos, a gestão de riscos e controles internos, definindo no Anexo VI as 
Instâncias de Supervisão de Gestão de Riscos e Controles Internos e, no Anexo 
VIII, a Política de Gestão de Riscos e Controles Internos. 
O Modelo de Gerenciamento de Riscos e Controles Internos da Gestão 
do Ministério da Justiça e Segurança Pública – MJSP, apresentado na figura a 
seguir, é constituído por um conjunto de instrumentos, mecanismos e agentes 
institucionais que, com o propósito de assegurar o alcance dos objetivos 
estratégicos da organização por meio de um gerenciamento de riscos e controles 
internos da gestão eficaz, viabilizam a implementação do gerenciamento de 
riscos e controles internos no âmbito do ministério. 
 
 
 
 
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Normativos/instrucao-normativa-conjunta-no-1-de-10-de-maio-de-2016-imprensa-nacional.pdf
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Programa%20de%20Integridade/portaria/portaria-no-86-de-23-de-marco-de-2020-sistema-de-governanca-mjsp.docx
 
 39 
Figura 9 - Modelo de Gerenciamento de Riscos e Controles Internos do MJSP 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
Gerir riscos implica definir e implementar uma estrutura de gestão de 
riscos adequada à organização. Essa estrutura exige o comprometimento 
explícito da liderança, o que deve ser formalizado por meio de uma política. 
A Política e Gestão de Riscos e Controles Internos, na qual são 
estabelecidos princípios, objetivos, diretrizes e responsabilidades, visa estruturar 
o processo de gerenciamento dos riscos e controles internos de forma que 
fiquem alinhados ao planejamento estratégico e levem em consideração as 
características específicas e a cultura da organização. 
No caso do MJSP, a Política e Gestão de Riscos e Controles Internos é 
um dos elementos constantes do normativo que institui o Sistema de 
Governança do Ministério e está disposta no ANEXO VIII, da Portaria MJSP nº 
2/2022 (BRASIL, 2022). 
No Art. 4º do referido Anexo estão declarados os seguintes princípios da 
Gestão de Riscos no MJSP: 
I - Atuação de forma sistemática, estruturada e oportuna, subordinada 
ao interesse público; 
II - Estabelecimento de níveis adequados de exposição a riscos; 
III - Estabelecimento de procedimentos de controles internos 
proporcionais aos riscos, observada a relação custo-benefício; 
IV - Agregação de valor ao Ministério; 
V - Apoio à tomada de decisão e à elaboração do planejamento 
estratégico; e 
VI - Apoio à melhoria contínua dos processos organizacionais. 
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Programa%20de%20Integridade/portaria/portaria-no-86-de-23-de-marco-de-2020-sistema-de-governanca-mjsp.docx
https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Programa%20de%20Integridade/portaria/portaria-no-86-de-23-de-marco-de-2020-sistema-de-governanca-mjsp.docx
 
 40 
Complementarmente, o Art. 5º do mesmo Anexo dispõe os princípios dos 
Controles Internos: 
I - Aderência à integridade e aos valores éticos; 
II - Supervisão do desenvolvimento e do desempenho dos controles 
internos da gestão pela alta administração; 
III - coerência e harmonização da estrutura de competências e 
responsabilidades dos diversos níveis de gestão; 
IV - Compromisso da alta administração em atrair, desenvolver e reter 
pessoas com competências técnicas, em alinhamento com os objetivos 
do Ministério; 
V - Definição de responsáveis pelos diversos controles internos da 
gestão no âmbito do Ministério; 
VI - Definição de objetivos que possibilitem a eficaz gestão de riscos; 
VII - mapeamento das vulnerabilidades que impactam os objetivos, de 
forma que sejam adequadamente identificados os riscos a serem 
geridos; 
VIII - identificação e avaliação das mudanças internas e externas que 
possam afetar significativamente os controles internos da gestão; 
IX - Desenvolvimento e implementação de atividades de controle que 
contribuam para a obtenção de níveis aceitáveis de riscos; 
X - Adequado suporte de tecnologia da informação para apoiar a 
implementação dos controles internos da gestão; 
XI - definição de políticas e normas que suportem as atividades de 
controles internos da gestão; 
XII - utilização de informações relevantes e de qualidade para apoiar o 
funcionamento dos controles internos da gestão; 
XIII - disseminação de informações necessárias ao fortalecimento da 
cultura e da valorização dos controles internos da gestão; 
XIV - realização de avaliações periódicas para verificar a eficácia do 
funcionamento dos controles internos da gestão; e 
XV - Comunicação do resultado da avaliação dos controles internos da 
gestão aos responsáveis pela adoção de ações corretivas, incluindo a 
alta administração 
A Política e suas eventuais normas complementares, metodologias, 
manuais e procedimentos aplica-se aos órgãos de assistência direta e imediata 
ao Ministro de Estado e aos órgãos específicos singulares e colegiados do 
Ministério, bem como às entidades vinculadas, abrangendo os servidores, 
prestadores de serviço, colaboradores, estagiários, consultores externos e 
quem, de alguma forma, desempenhe atividades no Ministério. 
Àqueles que já adotam uma prática de gestão de riscos e controles 
internos possuem autonomia para mantê-los, desde que compatíveis com as 
 
 41 
disposições da Política disposta no Anexo VIII da Portaria nº 2/2022 (BRASIL, 
2022). 
São objetivos da Gestão de Riscos e Controles Internos do MJSP: 
Figura 10 - Modelo de Gerenciamento de Riscos e Controles Internos do MJSP
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
 
 42 
Aula 2 - Instâncias de Supervisão 
 
A responsabilidade pelo gerenciamento de risco cabe a cada agente 
público no desempenho das atividades na sua unidade de trabalho. 
Temos um papel a desempenhar na gestão de riscos. 
Os órgãos/unidades têm, coletivamente, a responsabilidade e o dever de 
prestação de contas (accountability) sobre o estabelecimento dos objetivos da 
organização, a definição de estratégias para alcançar esses objetivos, e o 
estabelecimento de estruturas e processos de governança para melhor gerenciar 
os riscos durante a realização desses objetivos. 
Dessa forma, a política de gestão de riscos e controles internos contempla 
as Instâncias de Supervisão, que têm a finalidade de assessorar o Ministro de 
Estado na definição e implementação de diretrizes, políticas, normas e 
procedimentos; e assegurar a existência, o monitoramento e a avaliação de um 
efetivo sistema de gestão de riscos, integridade e controles internos, a fim de 
utilizar as informações resultantes desse sistema para apoiar o processo 
decisório (BRASIL, 2022). 
As Instâncias de Supervisão e as competências parao gerenciamento de 
riscos e controles internos estão definidas no Anexo IV do Sistema de 
Governança do MJSP. São Instâncias de Supervisão do Ministério da Justiça e 
Segurança Pública: 
Figura 11 - Instâncias de Supervisão de Gestão de Riscos e Controles Internos do MJSP 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
 43 
O Comitê de Gestão Estratégica (CGE), com o apoio do Comitê de Gestão 
de Riscos e Controles Internos (CGRC), terá como responsabilidade principal a 
concepção, estruturação e implementação da gestão de riscos no Ministério. Já 
os dirigentes máximos e demais gestores de cada UGRC apoiarão a 
disseminação da cultura e a gerência dos riscos dentro de suas esferas de 
responsabilidade, conforme as tolerâncias a risco estabelecidas, alinhadas ao 
apetite a risco do Ministério. 
Figura 12 - Instâncias de Supervisão de Gestão de Riscos e Controles Internos do MJSP 
 
Fonte: Manual de Gerenciamento de riscos e controles internos do MJSP (BRASIL, 2020a). 
 
As responsabilidades de cada instância de supervisão, conforme ANEXO 
IV da Portaria 2/2022 (BRASIL, 2022) são as seguintes: 
 
Art. 7º Compete ao CGRC: 
I - propor aprovação ao CGE de práticas, princípios de conduta e 
padrões de comportamento relacionados à gestão de risco e controle 
internos a serem observados pelos órgãos do Ministério; 
II - submeter à aprovação do CGE a utilização de boas práticas de 
gestão de governança, de riscos e controles internos a serem 
observadas pelos órgãos do Ministério; 
III - coordenar e assessorar os órgãos de assistência direta e imediata 
ao Ministro, os órgãos específicos singulares do Ministério e a 
Fundação Nacional do Índio na implementação das metodologias e dos 
instrumentos para gestão de riscos e controles internos; 
IV - atuar como facilitador na integração dos agentes responsáveis pela 
gestão de riscos e controles internos e prestar assessoria técnica sobre 
regulamentos e padrões exigidos na condução das atividades 
correlatas; 
 
 44 
V - estimular a adoção de práticas institucionais de responsabilização 
dos agentes públicos na prestação de contas e efetividade das 
informações; 
VI - incentivar a integração dos agentes responsáveis pela gestão de 
riscos e controles internos; 
VII - auxiliar no funcionamento das estruturas de gestão de riscos e 
controles internos nos processos de trabalho, observadas as 
estratégias aprovadas pelo CGE; 
VIII - elaborar e propor ao CGE políticas, diretrizes, metodologias e 
mecanismos de comunicação e monitoramento para a gestão de riscos 
e controles internos; 
IX - promover a capacitação e a disseminação da cultura nos assuntos 
de gestão de riscos e controles internos; 
X - orientar e emitir recomendações sobre gestão de riscos e controles 
internos; 
XI - propor método de priorização de processos e categorias de riscos 
para gestão de riscos e controles internos; 
XII - propor limites de exposição a riscos e níveis de conformidade, bem 
como limites de alçada para exposição a riscos dos órgãos de 
assistência direta e imediata ao Ministro, dos órgãos específicos 
singulares do Ministério e da Fundação Nacional do Índio; 
XIII - dar conhecimento ao CGE dos riscos que podem comprometer o 
alcance dos objetivos estratégicos e a prestação de serviços de 
interesse público; 
XIV - avaliar e orientar sobre os resultados de medidas de 
aprimoramento destinadas à correção das deficiências identificadas na 
gestão de riscos e controles internos; 
XV - reportar ao CGE informações sobre a gestão de riscos e controles 
internos para subsidiar a tomada de decisões e assegurar que estejam 
disponíveis em todos os níveis no âmbito do Ministério; e 
XVI - praticar outros atos de natureza técnica e administrativa 
necessários ao exercício de responsabilidades previstas neste artigo. 
Parágrafo único. O modelo de gestão de riscos será aplicado a partir 
dos processos priorizados no MJSP, conforme metodologia de 
priorização de processos estabelecida pela unidade organizacional do 
MJSP responsável pelo tema. 
Art. 8º Compete à UGRC: 
I - assegurar o cumprimento e propor aprimoramentos ao CGRC da 
política de gestão de riscos e controles internos; 
II - assessorar a gestão de riscos e controles internos dos processos 
de trabalho priorizados no âmbito dos órgãos de assistência direta e 
imediata ao Ministro, dos órgãos específicos singulares do Ministério e 
das entidades vinculadas; 
III - aprovar o plano de implementação de controles, acompanhar a 
implementação das ações, avaliar os resultados e monitorar os riscos 
ao longo do tempo; 
IV - assegurar que as informações adequadas sobre a gestão de riscos 
e controles internos estejam disponíveis em todos os níveis no âmbito 
 
 45 
dos órgãos de assistência direta e imediata ao Ministro, dos órgãos 
específicos singulares do Ministério e das entidades vinculadas; 
V - disseminar a cultura, bem como estimular e promover condições à 
capacitação nos assuntos de gestão de riscos e controles internos; 
VI - estimular práticas e princípios de conduta e padrões de 
comportamento no âmbito de sua atuação e fomentar a inovação e a 
adoção de boas práticas de gestão de riscos e controles internos; 
VII - assegurar o cumprimento das recomendações e orientações 
emitidas pelas instâncias de supervisão de gestão de riscos e controles 
internos; 
VIII - proporcionar o cumprimento de práticas que institucionalizem a 
responsabilidade dos agentes públicos responsáveis pela gestão de 
risco na prestação de contas e efetividade das informações; 
IX - promover a integração dos agentes responsáveis pela gestão de 
riscos e controles internos; 
X - promover a implementação de metodologias e instrumentos para a 
gestão de riscos e controles internos; e 
XI - praticar outros atos de natureza técnica e administrativa 
necessários ao exercício de responsabilidades previstas neste artigo. 
Parágrafo único. As entidades vinculadas ao Ministério deverão manter 
metodologia de gestão de riscos aderentes aos dispositivos deste 
Anexo. 
Art. 9º Compete ao Gestor de Processos: 
I - cumprir e propor aprimoramentos à UGRC da política de gestão de 
riscos e controles internos; 
II - gerenciar os riscos dos processos de trabalho e implementar 
mecanismos de controles internos, se necessário; 
III - elaborar e submeter o plano de implementação de controles à 
aprovação da UGRC; 
IV - implementar e gerenciar as ações do plano de implementação de 
controles, avaliar os resultados e monitorar os riscos ao longo do 
tempo; 
V - gerar informações adequadas sobre riscos e controles internos e 
reporta-las à respectiva UGRC; 
VI - disseminar preceitos de comportamento íntegro e de cultura de 
gestão de riscos e controles internos; 
VII - observar a inovação e a adoção de boas práticas de gestão de 
riscos e controles internos; 
VIII - cumprir as recomendações e observar as orientações emitidas 
pelas instâncias de supervisão de gestão de riscos e controles internos; 
IX - adotar princípios de conduta e padrões de comportamento 
relacionados aos riscos e controles internos; 
X - cumprir as práticas institucionalizadas na prestação de contas, 
transparência e efetividade das informações; e 
XI - praticar outros atos de natureza técnica e administrativa 
necessários ao exercício de suas responsabilidades. 
 
 46 
 
 
 
 
 47 
Aula 3 - Metodologia de Gerenciamento de Riscos do MJSP 
 
Aula 3.1 - O Processo de gerenciamento de riscos 
 
Segundo o COSO (2007; 2017), o gerenciamento de riscos corporativos 
é o processo conduzido em uma organização pelo Conselho de Administração, 
pela diretoria executiva e pelos demais funcionários, por meio do 
estabelecimento de estratégias formuladas para identificar, em toda a 
organização, eventos em potencial, capazes de afetar a referida organização, e 
administrar os riscos para mantê-los compatíveis com o seu apetite a risco e 
possibilitar