Livro Digital 14

Aula 13
5 Gestão de riscos: 5.1 Princípios, objetos,

técnicas, modelos nacionais e internacionais,
integração ao planejamento. 5.2 Processo d...
Eixo Temático 1 - Gestão Governamental e

Governança Pública para Bloco 4 do CNU
Prof. Milena de Senne Ranzini

Eixo Temático 1 - Gestão Governamental e Governança Pública ...
Aula 13: 5 Gestão de riscos: 5.1 Princípio...
Sumário
.......................................................................................................................................................................................
O QUE É RISCO?............................................................................................................................................ 3
GESTÃO DE RISCOS...................................................................................................................................... 4
PROCESSO DE GESTÃO DE RISCOS................................................................................................................ 6
ESTABELECIMENTO DO CONTEXTO............................................................................................................. 7
IDENTIFICAÇÃO DOS RISCOS........................................................................................................................ 8
ANÁLISE DE RISCOS...................................................................................................................................... 8
MATRIZ DE RISCOS....................................................................................................................................... 9
AVALIAÇÃO DE RISCOS................................................................................................................................. 10
TRATAMENTO DE RISCOS............................................................................................................................. 11
MONITORAMENTO E ANÁLISE CRÍTICA......................................................................................................... 12
COMUNICAÇÃO............................................................................................................................................ 12
PRINCÍPIOS DA GESTÃO DE RISCOS.............................................................................................................. 15
MODELOS DE GESTÃO DE RISCOS................................................................................................................. 19
COSO-IC (COSO I).......................................................................................................................................... 19
COSO-ERM (COSO II)..................................................................................................................................... 20
COSO-ERM (COSO II) - 2017............................................................................................................................ 21
NORMA ISO 31000 ........................................................................................................................................ 21
INTOSAI - GUIAS GOV 9100 E GOV 9130.......................................................................................................... 22
KING III - KING CODE OF GOVERNANCE PRINCIPLES...................................................................................... 22
THE INSTITUTE OF INTERNAL AUDITORS (IIA) - AS TRÊS LINHAS DE DEFESA................................................. 22
O LIVRO LARANJA (THE ORANGE BOOK)....................................................................................................... 23
FERMA - PADRÃO DE GESTÃO DE RISCOS...................................................................................................... 23
ISACA/COBIT 5.............................................................................................................................................. 24
QUESTÕES DE PROVA COMENTADAS........................................................................................................... 27
RESUMO DIRECIONADO................................................................................................................................ 37
DICIONÁRIO BÁSICO SOBRE GESTÃO DE RISCOS........................................................................................... 37
OPÇÕES DE RESPOSTA AOS RISCOS............................................................................................................. 38
MODELOS DE GESTÃO DE RISCOS................................................................................................................. 39
2 de 40 | www.direcaoconcursos.com.br
O que é risco?
Para compreender o que é a Gestão de Riscos, vamos entender primeiro o conceito de risco.
Para a Fundação Nacional da Qualidade – FNQ o risco é o efeito (positivo ou negativo) da incerteza nos processos,
sistemas e decisões, causando variáveis (esperadas ou inesperadas) em seu desempenho frente aos objetivos das
partes interessadas a uma determinada organização.
Para a Norma Brasileira ISO 31000 – Gestão de Riscos e Diretrizes, risco é o efeito da incerteza dos objetivos.
Para o Tribunal de Constas da União, em seu Manual de Gestão de Riscos (2020), o risco é “a combinação entre a
probabilidade de que determinado evento ocorra e os impactos por ele gerado, caso venham a ocorrer”. Risco é a
possibilidade de ocorrência de eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto
dessa ocorrência sobre os resultados pretendidos.
Risco é a combinação entre a probabilidade de que determinado evento ocorra e os impactos por ele gerados, caso
venham a ocorrer.
Para a Fundação Nacional da Qualidade, o risco pode gerar efeitos positivos ou negativos. Já para o TCU, um efeito
negativo de uma situação é considerado um risco e o impacto positivo seria uma oportunidade. Assim, segundo o
Tribunal de Contas da União, temos:
Risco: é a possibilidade de que um evento afete negativamente o alcance dos objetivos.
Oportunidade: é a possibilidade de que um evento afete positivamente o alcance de objetivos.
O risco é encarado como algo negativo, enquanto as oportunidades são os impactos positivos.
Risco é tudo aquilo que possa vir a acontecer, em maior ou menor probabilidade, e os impactos por eles gerados. Eles
não podem ser totalmente eliminados e devem ser, sempre que possível, minimizados.
Risco = probabilidade de ocorrência + impactos

As organizações se preocupam em identificar os riscos e avaliar onde e como eles impactam os processos
organizacionais. Isto porque, existem processos primários que, se afetados pelos riscos, podem trazer grandes
prejuízos. Assim, é preciso identificar em que processos da organização os riscos aparecem. Ao analisar e avaliar riscos,
a organização deve ponderar onde eles estão. Se houver um risco nos principais processos da organização, deve haver
uma preocupação maior no seu gerenciamento.
Banca: FCC - Órgão: TRF - 3ª REGIÃO - Cargo: Técnico Judiciário – Informática - Ano: 2019
Suponha que determinada organização pretenda adotar um sistema robusto de gestão de riscos, utilizando os
conceitos trazidos pela norma técnica ABN T NBR ISO 31000 - Gestão de Risco. O primeiro passo, então, é a própria
compreensão pelos integrantes da organização do conceito de “risco”, que, nesse contexto, corresponde
a) a consequências e impactos não mensuráveis de ações ou medidas adotadas de forma consciente pela organização.
b) a potenciais consequências negativas de um comportamento inadequado ou imprevidente, cuja certeza de

ocorrência é assumida.
c) a eventos que estão fora da governabilidade da empresa e cuja probabilidade de ocorrência não pode ser aferida.
d) ao efeito da incerteza nos objetivos, cujas consequências podem ser positivas ou negativas.
e) a condições de atuação da organização no cenário em que se situa, quando este se mostra adverso.
Resolução:
a) Os riscos podem ter suas consequências e impactos mensurados. Errada.
b) O erro está em dizer que há certeza da ocorrência. Os riscos são uma probabilidade de ocorrência. Errada.
c) A probabilidade pode ser aferida. Não é porque o risco é provável que esta não possa ser aferida. Risco é tudo aquilo
que possa vir a acontecer, em maior ou menor probabilidade, e os impactos por eles gerados. Errada.
d) O risco gera a incerteza da realização dos objetivos organizacionais. Neste conceito, se assume que podem ser
positivos ou negativos. Certa.
e) Este conceito é o de gerenciamento de risco. Errada.
Resposta: D
Gestão de Riscos
As organizações estão permanentemente expostas a riscos. A preocupação com os riscos da organização não pode
acontecer somente quando algo negativo impactar as estratégias e objetivos organizacionais. A gestão de riscos deve
ser uma preocupação constante. Mesmo que seja para não perder oportunidades.
Na seção anterior, abordamos o conceito de risco. Nesta seção vamos falar sobre a Gestão de Riscos (ou
gerenciamento de riscos). A partir de agora, utilizaremos o termo “risco” no plural – riscos. Isso porque dificilmente
uma organização irá gerenciar um único risco. Ela deve considerar uma multiplicidade de riscos em diversas áreas da
organização e em vários projetos, processos, atividades, etc.
Para o Tribunal de Contas da União (2020), os sistemas de gerenciamento de riscos não devem ser encarados como
trabalho ou burocracia desnecessária, mas sim como instrumento de tomada de decisão, que deve fazer parte dos
processos de planejamento e de execução dos trabalhos relevantes da organização, de modo a garantir que as
finalidades públicas sejam alcançadas.
O conceito de gestão de riscos, para o Tribunal de Contas da União, em seu Manual de Gestão de Riscos (2020), é o
que segue:
Gestão de Riscos consiste em um conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e
monitorar riscos. É o processo que visa conferir razoável segurança quanto ao alcance dos objetivos.
A Gestão de Riscos são as atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
Ela trabalha tanto na probabilidade das ocorrências e nos impactos (maximizando ou minimizando-os).
Na concepção da Norma Brasileira ISO 31000 – Gestão de Riscos e Diretrizes, a Gestão de Riscos refere-se à
arquitetura (princípios, estrutura e processo) para gerenciar riscos eficazmente, enquanto que "gerenciar riscos"
refere-se à aplicação dessa arquitetura para riscos específicos.

Em 2017, foi editado o Decreto nº 9.203, de 22 de novembro de 2017, que dispõe sobre a política de governança da
administração pública federal, que trata, entre outros temas, da gestão de riscos na administração pública.
Art. 17. A alta administração das organizações da administração pública federal direta, autárquica e fundacional
deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à
identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a
implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional
(...). Decreto nº 9.203/17.
O Decreto considera a Gestão de Riscos como o “processo de natureza permanente, estabelecido, direcionado e
monitorado pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos
que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos”
(Decreto nº 9.203/17, art. 2ª, inciso IV).
O Decreto sugere o mecanismo de controle como forma de mitigar os possíveis riscos, com vistas ao alcance dos
objetivos institucionais e para garantir a execução ordenada, ética, econômica, eficiente e eficaz das atividades da
organização, com preservação da legalidade e da economicidade no dispêndio de recursos públicos.
Para o TCU (2020), a Gestão de Riscos está intimamente associada ao princípio constitucional da eficiência, pois sua
implementação só faz sentido quando proporciona ganhos em termos de entrega de resultados e alcance dos objetivos
institucionais. Isso torna a Gestão de Riscos uma grande aliada do gestor no desafio de garantir a qualidade dos
serviços prestados ao cidadão, porque permite a tomada de decisões de forma racional, contribui para aumentar a
capacidade da organização em lidar com eventos inesperados, que podem afetar negativamente os objetivos, estimula
a transparência, favorece o uso eficiente, eficaz e efetivo dos recursos, bem como fortalece a imagem da instituição.
Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e
dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência.
Constituição Federal, 1988.
As organizações adotam a Gestão de Riscos por vários motivos e objetivos, dentre eles:
Alinhar a disponibilidade para assumir riscos com a estratégia organizacional. É o quanto a organização
deseja assumir riscos com as suas estratégias e até que ponto a organização está disposta a correr
determinados riscos. Organizações mais radicais aceitam mais riscos e organizações mais conservadoras
buscam manter o status quo e não aceitam o risco dentro de sua estratégia;
Desenhar decisões em resposta aos riscos. Delinear estratégias às respostas a estes riscos, minimizando a
probabilidade de o risco ocorrer, ou minimizando o impacto;
Redução de surpresas e prejuízos. As organizações perceberam que precisam de uma atitude proativa em
relação aos riscos;
Identificar e gerenciar múltiplos riscos. As organizações são sistemas complexos, compostos por diversos
elementos e não existe um risco isolado. Então, a organização deve ser preocupar com a gestão de uma
multiplicidade de riscos;
Aproveitar oportunidades. Os riscos têm impacto negativo e as oportunidades têm impacto positivo;
Otimizar o uso do capital. Lidar com prejuízos pode causar perdas maiores do que o custo de
gerenciamento.
Processo de Gestão de Riscos

O processo de gestão de riscos compreende a identificação, a análise e a avaliação de riscos, a seleção e a
implementação de respostas aos riscos avaliados, o monitoramento de riscos e controles, e a comunicação sobre riscos
com partes interessadas, internas e externas.
O processo de gestão de riscos é aplicado a projetos, produtos, serviços, estratégias e diversas outras atividades da
organização.
Quadro 01. Processo de Gestão de Riscos
PROCESSO DE GESTÃO DE RISCOS
Estabelecimento Entendimento da organização, dos objetivos e do ambiente, inclusive do controle interno, no

do Contexto qual os objetivos são perseguidos.
É o processo de busca, reconhecimento e descrição dos riscos. O objetivo é produzir uma lista
Identificação dos
abrangente de riscos, incluindo causas, fontes e eventos, que possam ter um impacto na
riscos
consecução dos objetivos.
É o processo de compreender a natureza e determinar o nível de risco, de modo a subsidiar a

Análise de riscos
avaliação e o tratamento de riscos.
É a comparação do nível de risco com os critérios de risco estabelecidos quando o contexto foi
Avaliação de
considerado, para determinar se o risco e/ou sua magnitude é aceitável ou tolerável ou se
riscos
algum tratamento é exigido.
Envolve a seleção de uma ou mais opções para modificar o nível de cada risco e a elaboração de
Tratamento de
planos de tratamento que, uma vez implementados, implicarão em novos controles ou
riscos
modificação dos existentes.
O monitoramento corresponde à verificação, supervisão, observação crítica ou identificação

Monitoramento
da situação, executadas de forma contínua, a fim de identificar mudanças no nível de
e Análise Crítica
desempenho requerido ou esperado.
Processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou
Comunicação de
obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a
riscos
gerenciar riscos. Permeia todas as fases.
O Tribunal de Contas da União apresenta que o processo de avaliação de riscos é a parte do processo de gestão de
riscos que envolve: identificação, análise e avaliação de riscos.
Figura 1. Processo de Gestão de Riscos
Fonte: ISO 31000
Estabelecimento do Contexto
Envolve o entendimento da organização, dos objetivos e do ambiente, inclusive do controle interno, no qual os
objetivos são perseguidos, com o fim de obter uma visão abrangente dos fatores que podem influenciar a capacidade
da organização para atingir seus objetivos, bem como fornecer parâmetros para a definição de como as atividades
subsequentes do processo de gestão de riscos serão conduzidas.
Ao estabelecer o contexto, a organização:
Articula seus objetivos;
Define os parâmetros externos e internos a serem levados em consideração ao gerenciar riscos; e
Estabelece o escopo e os critérios de risco para o restante do processo.
Afinal, o que é o contexto? Contexto é o ambiente no qual a organização busca atingir os seus objetivos. A gestão de
riscos ocorre no contexto dos objetivos da organização.
Abrange a identificação dos fatores do ambiente, interno e externo, no qual a organização persegue seus objetivos e a
identificação das partes interessadas e suas necessidades.
O Estabelecimento do Contexto pode envolver, mas não se limita a estas atividades:
definição das metas e objetivos das atividades de gestão de riscos;
definição das responsabilidades pelo processo e dentro da gestão de riscos;
definição do escopo, bem como da profundidade e da amplitude das atividades da gestão de riscos a serem
realizadas, englobando inclusões e exclusões específicas;
definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e
localização;
definição das relações entre um projeto, processo ou atividade específicos e outros projetos, processos
ou atividades da organização;
definição das metodologias de processo de avaliação de riscos;
definição da forma como são avaliados o desempenho e a eficácia na gestão dos riscos;
identificação e especificação das decisões que têm que ser tomadas; e
identificação, definição ou elaboração dos estudos necessários, de sua extensão e objetivos, e dos recursos
requeridos para tais estudos.
Identificação dos Riscos

É o processo de busca, reconhecimento e descrição dos riscos.
O objetivo da identificação de riscos é produzir uma lista abrangente de riscos, incluindo fontes e eventos de risco que
possam ter algum impacto na consecução dos objetivos identificados na etapa de estabelecimento do contexto.
Formas de identificar os riscos:
Dados históricos;
Análises teóricas;
Opiniões de pessoas informadas e especialistas; e
Necessidades das partes interessadas.
A organização pode utilizar ferramentas e técnicas de identificação de riscos que sejam adequadas aos seus objetivos,
às suas capacidades e aos riscos enfrentados.
Uma abordagem de identificação de riscos é a do tipo top-down que ocorre quando se identificam riscos em um nível
geral ou superior como ponto de partida para se estabelecer prioridades para, em um segundo momento,
identificarem-se e analisarem-se riscos em nível específico e/ou mais detalhado. Outras ferramentas incluem o
brainstorming, entrevistas e Análise de Listas de Verificação de Riscos, entre outras.
Análise de Riscos
É o processo de compreender a natureza e determinar o nível de risco, de modo a subsidiar a avaliação e o tratamento
de riscos. É a etapa de apreciação das causas e fontes de riscos, suas consequências positivas e negativas, e da
probabilidade de ocorrência dessas consequências.

Lembra-se de que o risco é uma relação entre a probabilidade de acontecer o evento e as suas consequências? Assim, o
nível do risco é expresso pela combinação da probabilidade de ocorrência do evento e das consequências resultantes
no caso deste evento realmente ocorrer.
O resultado da análise de riscos é atribuir a cada risco identificado uma classificação, tanto para a probabilidade como
para o impacto do evento. A combinação destes dois aspectos (probabilidade e consequência) determina o nível do
risco. Vamos ver a Matriz de Risco quando abordarmos as ferramentas de Gestão de Riscos.
A análise de riscos pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas, e ser mais ou
menos detalhada.
Métodos qualitativos: definem o impacto, a probabilidade e o nível de risco por qualificadores como “alto”,
“médio” e “baixo”, com base na percepção das pessoas.
A análise qualitativa é geralmente utilizada para realizar uma avaliação inicial de riscos em um nível geral ou superior de
modo a estabelecer prioridades para identificação e análise de riscos em nível específico e/ou mais detalhado, bem
como quando não se exige precisão quantitativa ou ainda quando dados numéricos, tempo e recursos não estão
disponíveis.
Métodos semiquantitativos: usam escalas numéricas previamente convencionadas para mensurar a

consequência e a probabilidade, os quais são combinados, por meio de uma fórmula, para produzir o nível
de risco. A escala pode ser linear, logarítmica ou de outro tipo. As fórmulas também podem variar de acordo
com a necessidade e o contexto.
Análises semiquantitativas geralmente utilizam escalas para estabelecer um entendimento comum das classificações de
probabilidades e impactos. Em situações reais, essas escalas são construídas de modo compatível com o contexto e os
objetivos específicos da atividade objeto da gestão de riscos.
Métodos quantitativos: estimam valores para as consequências e suas probabilidades a partir de

valores práticos e calculam o nível de risco a partir de unidades específicas definidas no
desenvolvimento do contexto.
A análise quantitativa necessita de dados factuais e, devido à falta dessas informações ou ao grau de esforço exigido,
poderá não ser sempre possível ou desejável. Nesses casos, a utilização de um método qualitativo ou semiquantitativo,
baseado na opinião de especialistas, pode ser suficiente e eficaz.
Figura 02. Técnicas de Análise de Riscos
Em análises qualitativas e semiquantitativas, considerando que o nível de risco é proporcional tanto à probabilidade
como ao impacto, a função ‘Risco’ será essencialmente um produto dessas variáveis.
Risco = Probabilidade X Impacto
Porém, essa simples relação pode não refletir situações mais complexos, sendo necessário incluir um fator de
ponderação para um dos componentes (probabilidade ou impacto), de modo a atingir a escala. Além disso, um
operador exponencial pode ser necessário para um ou ambos os componentes.
A política de gestão de riscos da organização geralmente estabelece diretrizes (classes, faixas ou categorias) para
classificar os níveis de risco resultantes do processo de análise, sejam inerentes ou residuais, de modo consistente com
os limites de exposição aceitáveis pela organização. Assim, temos:
Nível de risco inerente (NRI): é o nível de risco antes da consideração das respostas que a organização
adota para reduzir a probabilidade do evento ou os seus impactos nos objetivos, incluindo controles
internos. Resulta da combinação da probabilidade com o impacto.
Nível de risco residual: é o risco que ainda permanece depois de considerado o efeito das respostas
adotadas pela gestão para reduzir a probabilidade e o impacto dos riscos, incluindo controles internos e
outras ações.
Matriz de Riscos
A Matriz de Risco, ou Matriz de Probabilidade/Consequência é uma matriz que faz o cruzamento de dois eixos: um eixo
de consequências (impactos) e outro eixo em que são apresentadas as probabilidades com o objetivo de classificar
os riscos.
Figura 03. Matriz de Risco
Em cima, estão as consequências, ou seja, os impactos de o risco acontecer. O eixo percorre desde as consequências
insignificantes (ou desprezíveis), que a organização não precisa se preocupar, passando pelas consequências médias
(ou moderadas) e chegando a consequências extremas (catástrofe) em que a organização precisará se preocupar
muito.
No eixo das probabilidades, o risco pode ser baixo, considerando-se raro ou improvável, passando pelo nível médio, em
que o risco é possível ou provável e chegando à probabilidade de ser quase certo de acontecer (risco alto).
O cruzamento dos eixos da matriz promove uma matriz 3x3 para cada risco e pode ser classificada em três tipos:
Triviais: a organização não precisa se preocupar;
Moderados: necessário que a organização analise os riscos e monitore as respostas;
Intoleráveis: aquele que a organização deve evitar e buscar respostas com o intuito de contornar estes
riscos.
Cada organização vai decidir o quanto de risco ela quer assumir na próxima etapa (avaliação de riscos), isso é chamado
de “apetite de risco” ou seja, é a quantidade de risco considerado aceitável pela organização.
Apetite de risco: quantidade de risco considerado aceitável pela organização.
ATENÇÃO: Há outras variações de matriz de risco.
Cada organização pode estabelecer a quantidade de níveis irá trabalhar. A matriz acima é do tipo 3 probabilidades X 3
impactos. Mas, uma organização pode ter mais elementos, gerando matrizes maiores.
Avaliação de Riscos
É a comparação do nível de risco com os critérios estabelecidos quando o contexto foi considerado, para determinar se
o risco e/ou sua magnitude é aceitável ou tolerável, ou se algum tratamento é exigido.
Para se definir qual tratamento será dado a determinado risco, o primeiro passo consiste em determinar o seu efeito
potencial, ou seja, o grau de exposição da organização àquele risco. Esse grau leva em consideração pelo menos dois
aspectos: a probabilidade de ocorrência e o seu impacto.
O objetivo da Avaliação de Riscos é auxiliar na tomada de decisões, com base nos resultados da análise de riscos, sobre
quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento.
Avalia se um determinado risco precisa de tratamento e a prioridade para isso, se uma determinada atividade deve ser
realizada ou descontinuada e se controles internos devem ser implementados ou, se já existirem, se devem ser
modificados, mantidos ou eliminados.
Uma boa prática para apoiar o processo de avaliação de riscos é estabelecer critérios para priorização e tratamento
associados aos níveis de risco (nível recomendado de atenção, tempo de resposta requerido, quem deve ser
comunicado etc.). Segue um exemplo:
Figura 04. Exemplo de Critérios de Riscos
A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos
para definir onde dever ser a ação adicional, que pode levar a uma destas ações:
Fazer mais nada;
Considerar as opções de trabalho de riscos;
Reconsiderar os objetivos;
Manter os controles existentes.
Segundo o Guia de Orientação para Gerenciamento de Riscos (2013) do Programa Gespública, os resultados da etapa
de análise e avaliação de riscos permitem criar perfis de riscos dos programas, projetos e processos finalísticos da
organização, os quais:
Facilitam a identificação da prioridade de riscos. Em particular identifica os mais importantes riscos com os
quais a alta administração deve se preocupar);
Capturam as razões pelas quais as decisões tomadas sobre o que é exposição tolerável e não tolerável;
Permitem àqueles envolvidos no gerenciamento de riscos uma visualização de perfis de riscos e como essas
áreas responsabilidades estão relacionadas;
Facilitam a reavaliação e monitoramento dos riscos;
Fornecem uma base de decisão para a etapa de Planejamento de Respostas aos Riscos.
Tratamento de Riscos
O tratamento de riscos possibilita a identificação e seleção de alternativas de respostas aos riscos, através da seleção
de uma ou mais opções que modifiquem o nível de cada risco. Envolve também a elaboração de planos de tratamento
de riscos que proporcionam controles novos ou modifica aqueles já existentes.
Os procedimentos que uma organização estabelece para tratar riscos são denominados de atividades de controle
interno.
As opções de tratamento de riscos incluem evitar, reduzir (mitigar), transferir (compartilhar) e aceitar (tolerar) o risco.
Ao avaliar os efeitos das diferentes respostas possíveis, a gestão decide a melhor forma de tratar o risco.
RESPOSTAS AOS RISCOS
Evitar o risco: é a decisão de não iniciar ou de descontinuar a atividade, ou ainda desfazer-se do objeto
sujeito ao risco;
Reduzir ou mitigar o risco: consiste em adotar medidas para reduzir a probabilidade ou a consequência dos
riscos ou até mesmo ambos;
Compartilhar ou transferir o risco: é a transferência ou compartilhamento de uma parte do risco, mediante

contratação de seguros ou terceirização de atividades nas quais a organização não tem suficiente domínio;
Aceitar ou tolerar o risco: é não tomar, deliberadamente, nenhuma medida para alterar a probabilidade ou a
consequência do risco. Ocorre quando o risco está dentro do nível de tolerância da organização (o risco é
considerado baixo), a capacidade para fazer qualquer coisa sobre o risco é limitada ou, ainda, o custo de
tomar qualquer medida é desproporcional em relação ao benefício potencial (exemplo: gastar mais recursos
financeiros para proteger um ativo do que o próprio valor do ativo). Pode ser uma atitude passiva da
organização (não requer nenhuma ação, exceto documentar a estratégia) ou ativa (estabelecer uma reserva
para contingências ou um plano de contingência).
Respostas positivas aos riscos:
Prevenção e redução dos danos: diminuição da probabilidade de ocorrência e/ou diminuição do impacto
esperado sobre a organização, caso o evento ocorra – e/ou pela remediação – controle dos danos após a
ocorrência do evento;
Capacitação: na avaliação dos riscos, deve-se considerar a capacitação da organização em lidar com os
mesmos, o que significa ser capaz de identificá-los, antecipá-los, mensurá-los, monitorá-los e, se for o caso,
mitigá-los;
Compartilhar: Envolve a alocação integral ou parcial da responsabilidade da oportunidade a um terceiro que
tenha mais capacidade de explorar a oportunidade;
Melhorar: maximizar a probabilidade de obter tais desfechos positivos;
Explorar: adotada para riscos com impactos positivos quando a organização deseja garantir que a
oportunidade seja concretizada.
O processo de tratamento é cíclico e inclui:
avaliação do tratamento já realizado;
avaliação se os níveis de risco residual são toleráveis;
se não forem, definição e implementação de tratamento adicional; e,
avaliação da eficácia desse tratamento.
Importante notar que o tratamento de riscos pode gerar algumas consequências, dentre elas criar novos riscos ou
modificar riscos existentes. Pode acontecer também de se escolher assumir aumentar esse risco em busca de uma
oportunidade. O tratamento de riscos pode gerar também a modificação na probabilidade de ocorrência do risco ou
alterações em suas consequências.
Monitoramento e Análise Crítica

O monitoramento corresponde à verificação, supervisão, observação crítica ou identificação da situação, executadas
de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado.
O monitoramento e a análise crítica têm como objetivos:
detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco e no próprio
risco, que podem requerer revisão dos tratamentos de riscos e suas prioridades, assim como identificar
riscos emergentes;
obter informações adicionais para melhorar a política, a estrutura e o processo de gestão de riscos;
analisar eventos (incluindo os “quase incidentes”), mudanças, tendências, sucessos e fracassos e aprender
com eles; e
assegurar que os controles sejam eficazes e eficientes no projeto e na operação.
As atividades de monitoramento e análise crítica devem assegurar que o registro de riscos seja mantido atualizado,
bem como nele sejam documentados os resultados das ações mencionadas acima.
Comunicação
A Comunicação corresponde a processos contínuos e iterativos que uma organização conduz para fornecer,
compartilhar ou obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a
gerenciar riscos. Não é necessariamente uma etapa da Gestão de Riscos porque a comunicação está permeada em
todo o processo.
É fundamental que a comunicação e a consulta às partes interessadas internas e externas aconteçam durante todas as
fases do Processo de Gestão de Riscos. Os planos de comunicação e consulta devem ser desenvolvidos em um estágio
inicial e abordar questões relacionadas com o risco propriamente dito, suas causas, suas consequências (se
conhecidas) e as medidas que estão sendo tomadas para tratá-los.
Para garantir que os responsáveis pela implementação do processo de gestão de riscos e as partes interessadas
compreendam os fundamentos sobre a gestão de riscos, é importante fazer com que a comunicação e consulta interna
e externa eficazes sejam realizadas.
O processo de comunicação na Gestão de Riscos pode ter mecanismos de comunicação internos e externos, conforme
estabelecido pela ISO 31000.
Quadro 02. Mecanismos de Comunicação internos e externos
MECANISMOS DE COMUNICAÇÃO
INTERNOS EXTERNOS
Plano para se comunicar com

partes interessadas;
Reporte externo para atender
Processo de reporte interno sobre estrutura, eficácia e seus
requisitos legais, regulatórios e
resultados;
de governança;
Informações estejam disponíveis nos níveis e momentos
Fornecer retroalimentação e
apropriados;
reportar sobre a comunicação e
Processo de consulta às partes interessadas;
consulta;
Componentes-chave da estrutura da gestão de riscos, e
Usar comunicação para
quaisquer alterações subsequentes, sejam comunicados
construir confiança;
adequadamente.
Comunicar as partes
interessadas em eventos de crise
ou urgência.
As informações podem referir-se à existência, natureza, forma, probabilidade, significância, avaliação, aceitabilidade,
tratamento ou outros aspectos da gestão de riscos.
A consulta é um processo bidirecional de comunicação sistematizada entre uma organização e suas partes
interessadas ou outros, antes de tomar uma decisão ou direcionar uma questão específica. A consulta é:
Um processo que impacta uma decisão através da influência ao invés do poder; e
Uma entrada para o processo de tomada de decisão, e não uma tomada de decisão em conjunto.
A comunicação e consulta às partes interessadas são importantes na medida em que elas fazem julgamentos sobre
riscos com base em suas percepções. Como os seus pontos de vista podem ter um impacto significativo sobre as
decisões tomadas, convém que as percepções das partes interessadas sejam identificadas, registradas e levadas em
consideração no processo de tomada de decisão.
EXEMPLO PRÁTICO - Pra gravar o processo de gestão de riscos
Imagine uma situação em que você decidiu prestar concurso público e os riscos que envolvem esta decisão. Vamos
passar pelas etapas do processo de gestão de riscos nesta situação.
Estabelecimento do contexto: seu salário atual pode ser muito baixo; não há oportunidades para você
crescer na carreira; existe estabilidade no serviço público; há muitos concursos saindo no momento; várias
pessoas que você conhece já passaram em concurso, etc.
Estabelecimento dos objetivos: baseado neste contexto, você decide PRESTAR
CONCURSO.
Identificação dos riscos: você pode ser reprovado; concorrentes podem estar melhor preparados; o edital
pode sair e você não ter nem começado a estudar; não ter condições de pagar a inscrição do concurso, etc.
Análise dos riscos: você vai avaliar o impacto e a probabilidade de cada risco. Escolhendo o risco "você pode
ser reprovado", vamos supor que a probabilidade é média e o impacto disso acontecer é bem alto. Então,
multiplicando o impacto x a probabilidade, o risco de você reprovar é alto!
Avaliação dos riscos: mesmo sabendo que o risco de não passar é alto, o seu apetite a risco também é alto e
você decide que este é um risco que você escolhe correr.
Tratamento dos riscos: existem alternativas para tratar o risco "você pode ser reprovado". Se escolher
evitar o risco, você nem vai se inscrever no concurso ou nem vai prestar a prova. Se você escolher mitigar o
risco, você vai estudar mais e melhor, para que você seja efetivamente aprovado. Se optar por aceitar o risco,
vai continuar se preparando para a prova sem promover nenhuma mudança na forma como estuda. Se
optar por transferir ou compartilhar o risco, vai agir deixando para o cursinho dizer a você tudo que pode
cair na prova, confiar somente nas notícias de outros concurseiros sobre o que vai cair, etc.
Comunicação e consulta com as partes interessadas: você vai montar um cronograma junto com sua
família e sempre dar satisfação sobre seus estudos. Lembra daquela festa de família que todo mundo
pergunta "já passou"?.
Monitoramento e melhoria contínua: você vai continuamente avaliar se os riscos aumentaram ou
diminuíram e se os tratamentos escolhidos para aquele risco está dando resultado! Pode fazer isso através do
desempenho nos simulados, por exemplo!
Banca: VUNESP - Órgão: FITO - Cargo: Analista de Gestão - Serviços de Apoio - Ano: 2020
A etapa, no processo de gestão de risco, em que se calcula a probabilidade de ocorrência de um determinado risco e o
seu possível impacto na organização por meio de análises qualitativas e quantitativas é
a) a organização do ambiente.
b) a identificação.
c) a resposta.
d) a mensuração.
e) o monitoramento.
Resolução: Em análise do enunciado, devemos identificar a tarefa que “calcula a probabilidade de ocorrência de um
determinado risco e seu possível impacto na organização”. Na organização do ambiente (estabelecimento do
contexto), define-se o funcionário ou setor ambiente pela atividade (alternativa A). A identificação (alternativa B) é o
reconhecimento que existe um risco (saber que o risco existe). A resposta é o tratamento dado ao risco (alternativa C).
A mensuração (avaliação e análse) trabalha com a probabilidade e o impacto do risco ocorrer (alternativa D). Mensurar
significa determinar uma medida e calcular. O monitoramento é verificar se os impactos ocorreram (alternativa E).
Resposta: D
Banca: FCC - Órgão: TRF - 3ª REGIÃO - Cargo: Analista Judiciário – Informática - Ano: 2019
Uma das abordagens mais recentes sobre gestão de riscos no âmbito das organizações está contida na norma técnica
ABNT NBR ISO 31000 - Gestão de Risco, segundo a qual o denominado “tratamento de risco” consiste em
a) processo para modificar o risco, atuando sobre a probabilidade ou consequência do risco.
b) estabelecer referências em face das quais a significância de um risco é avaliada.
c) identificar a natureza do risco, entre provável, possível ou remoto, e determinar a sua alocação.
d) aferir o grau de probabilidade da materialização do risco, utilizando cenários de comparabilidade.
e) avaliar a magnitude da consequência do risco para fins de explicitação e quantificação nas demonstrações
financeiras.
Resolução: Alternativa a) Tratamento de riscos. Certa. As outras erradas sãos: Alternativa b) Critérios de risco.
Alternativa c) Identificação de riscos. Alternativa d) Análise de riscos. E alternativa e) Avaliação de riscos.
Resposta: A
Banca: FCC - Órgão: MPE-PE - Cargo: Analista Ministerial – Informática - Ano: 2018
De acordo com a norma NBR ISO/IEC 31000:2018, a avaliação de riscos envolve a comparação dos resultados da
análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional que pode
levar a uma decisão de
a) calcular os prejuízos.
b) eliminar algum tipo de controle.
c) manter os objetivos.
d) modificar os controles existentes.
e) fazer mais nada.
Resolução: A avaliação de riscos compõe o processo de gerenciamento de riscos. Envolve a comparação dos
resultados da análise de riscos com os critérios de risco estabelecidos para definir onde dever ser a ação adicional, que
pode levar a uma destas ações: fazer mais nada, considerar as opções de trabalho de riscos, reconsiderar os objetivos,
manter os controles existentes.
Resposta: E
Banca: FCC - Órgão: TST - Cargo: Analista Judiciário – Análise de Sistemas - Ano: 2017
Em um programa de Gestão de Riscos, o tratamento de riscos tem como objetivo determinar a resposta mais adequada
para modificar a probabilidade ou o impacto de um risco. A opção
a) mitigar objetiva descontinuar as atividades que geram o risco.
b) transferir objetiva compartilhar o risco com terceiros, como ocorre com os associados à reputação de pessoa ou
organização.
c) mitigar implica na redução da probabilidade e/ou do impacto de um evento de risco adverso para dentro de limites
aceitáveis.
d) transferir envolve avaliar se os demais tipos de respostas ao risco são viáveis. Em situações como risco de baixo
impacto ou custo desproporcional ao benefício do tratamento, a melhor opção é enviar o risco para terceiros.
e) aceitar envolve isolar os objetivos do projeto do impacto do risco ou alterar o objetivo que está em perigo, como
estender o cronograma ou reduzir o escopo.
Resolução: A questão traz as opções de tratamento de riscos: evitar o risco: não iniciar ou descontinuar a atividade;
mitigar o risco: adotar medidas para reduzir a probabilidade ou a consequência dos riscos ou até mesmo ambos;
compartilhar ou transferir o risco: é a transferência ou compartilhamento de uma parte do risco, mediante
contratação de seguros ou terceirização; e aceitar o risco: é não tomar nenhuma medida.
Resposta: C
Princípios da Gestão de Riscos

Para a gestão de riscos ser adequada, é preciso que uma organização, em todos os níveis, atenda aos seguintes
princípios, conforme estabelecido na ISO 31000:
A gestão de riscos cria e protege valor. A gestão de riscos contribui para a realização demonstrável dos
objetivos e para a melhoria do desempenho referente, por exemplo, à segurança e saúde das pessoas, à
conformidade legal e regulatória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto,
ao gerenciamento de projetos, à eficiência nas operações, à governança e à reputação.
A gestão de riscos é parte integrante de todos os processos organizacionais. A organização tem como
responsabilidade a gestão de riscos, portanto, ela está inserida em todos os processos organizacionais.
A gestão de riscos é parte da tomada de decisões. A gestão de riscos auxilia os tomadores de decisão a
fazer escolhas conscientes, priorizar ações e distinguir entre formas alternativas de ação.
A gestão de riscos aborda explicitamente a incerteza. Ela leva em consideração a incerteza, a natureza
dessa incerteza, e como ela pode ser tratada.
A gestão de riscos é sistemática, estruturada e oportuna. Estes fatores contribuem para a eficiência e
para os resultados consistentes, comparáveis e confiáveis.
A gestão de riscos baseia-se nas melhores informações disponíveis. As fontes de informação em que se
baseia a gestão de risco são: dados históricos, experiências, retroalimentação das partes interessadas,
observações, previsões, e opiniões de especialistas. Devem ser consideradas quaisquer limitações dos dados
ou modelagem utilizados, ou a possibilidade de divergências entre especialistas.
A gestão de riscos é feita sob medida. Está alinhada com o contexto interno e externo da organização e
com o perfil do risco.
A gestão de riscos considera fatores humanos e culturais. Ela reconhece as capacidades, percepções e
intenções do pessoal interno e externo que podem facilitar ou dificultar a realização dos objetivos.
A gestão de riscos é transparente e inclusiva. Com a intenção de assegurar uma gestão de riscos
pertinente e atualizada é necessária a transparência e a inclusão das partes interessadas e, em particular, dos
tomadores de decisão em todos os níveis da organização.
A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos percebe e
reage às mudanças de forma contínua. Quando ocorrem mudanças no contexto, eventos externos e
internos, e no próprio conhecimento organizacional, o monitoramento e a análise crítica de riscos são
realizados, novos riscos surgem, alguns se modificam e outros desaparecem.
A gestão de riscos facilita a melhoria contínua da organização. As organizações desenvolvam e
implementem estratégias para melhorar a sua maturidade na gestão de riscos juntamente com todos os
demais aspectos da sua organização.
O Tribunal de Contas da União (TCU), em seu Manual de Gestão de Riscos (2020), também apresenta alguns princípios
que orientam o gerenciamento de riscos no órgão:
Fomentar a inovação e a ação empreendedora responsáveis: Realizar algo que nunca foi feito antes ou
que implique riscos, identificar, avaliar e tratar esses riscos aumenta a chance de sucesso.
Considerar riscos e, também, oportunidades: O gestor precisa estar preparado para aceitar as
oportunidades não somente riscos.
Aplicar-se a qualquer tipo de atividade ou projeto: A gestão de riscos pode ser aplicada a qualquer ação
organizacional que tenha um objetivo claro ou da qual resulte um produto ou serviço definido.
Aplicar-se de forma contínua e integrada aos processos de trabalho: Gerir riscos não pode ser uma
atividade esporádica e descasada do dia a dia do trabalho. Deve ser uma atitude permanente, parte
integrante do processo decisório, desde que apresente relação custo-benefício favorável.
Ser implantada por meio de ciclos de revisão e melhoria contínua: A implantação da gestão de riscos
deve ser um processo gradual e progressivo, com revisões periódicas, a partir de mudanças organizacionais
e/ou no ambiente externo e dos resultados das avaliações do funcionamento do sistema de gestão de riscos.
Considerar a importância dos fatores humanos e culturais: Uma boa gestão de riscos deve considerar a
influência dos fatores humanos e da cultura organizacional na identificação, na avaliação e no tratamento
dos riscos. O sucesso ou fracasso da gestão de riscos depende da cultura organizacional.
Ser dirigida, apoiada e monitorada pela alta administração: A alta administração tem a responsabilidade
de conduzir o processo de implantação, de manter o sistema funcionando com eficiência e economicidade,
de gerenciar os riscos-chave para o TCU e liderar pelo exemplo, demonstrando efetivo compromisso com a
gestão de riscos.
Se você perceber, os princípios do Tribunal de Contas baseiam-se nos princípios da ISO 31000. Então, qual estudar?
Mesmo que a banca cobre um ou outro, os princípios são similares e a ideia por trás deles é a mesma. Então, vale a pena
entender e compreender os conceitos para que você consiga responder qualquer tipo de cobrança.
Modelos de Gestão de Riscos

O Tribunal de Contas da União se baseia em diversos modelos de referência em Gestão de Riscos para estruturar sua
atuação na área. Diversas organizações elaboraram suas próprias metodologias e se basearam nas suas demandas
organizacionais. As bancas podem explorar as características de cada modelo e até mesmo um comparativo entre eles.
Então, vamos conhecer cada modelo.
Em resumo, são eles:
COSO-IC (COSO I);
COSO-ERM (COSO II);
ISO 31000:2009;
INTOSAI - Guias GOV 9100 e GOV 9130;
KING III - King Code of Governance Principles;
The Institute of Internal Auditors (IIA) - As Três Linhas de Defesa;
O Livro Laranja (The Orange Book);
Ferma - Padrão de Gestão de Riscos;
ISACA/Cobit 5;
Ainda há outros modelos de gestão de riscos, porém, os mais cobrados pelas bancas são estes. Alguns são mais
explorados dos que outros, como os modelos COSO, a norma ISO 31000 e as Três Linhas de Defesa.
COSO-IC (COSO I)
Em 1992, as organizações estavam buscando melhorias nas práticas de controle interno. Foi então que o COSO -
Committee of Sponsoring Organizations of the Treadway Comission publicou um documento que tinha como
objetivo orientar as organizações quanto a princípios e boas práticas de controle interno. Além disso, este documento
buscou assegurar a produção de relatórios financeiro confiáveis e a prevenção de fraudes.
O nome deste guia era: Internal Control - integrated framework. Por isso, o nome de referência é COSO-IC ou COSO
I.
E o que a preocupação com o controle interno tem a ver com a gestão de riscos?
É que neste documento (COSO-IC) o controle interno é definido como: “processo implementado pelos gestores para
mitigar riscos e alcançar objetivos”.
O guia também traz uma definição de risco, como: “a possibilidade de ocorrência de um evento que possa afetar o
alcance dos objetivos”.
O modelo COSO-IC é representado por um cubo com três faces visíveis:
Face I: tipos de objetivos: operacionais, assegurar relatórios financeiros confiáveis e assegurar conformidade
legal/regulatória;
Face II: níveis da estrutura organizacional (unidade, divisão, etc); e
Face III: componentes: ambiente de controle, análise de riscos, atividades de controle, informação e comunicação e
monitoração. .
Figura 1. COSO-IC
Os tipos de objetivos que o COSO-IC foca são os operacionais do negócio, assegurar relatórios financeiros confiáveis e
assegurar conformidade legal/regulatória. A visão relativa à estrutura organizacional busca atingir a organização como
um todo, abarcando unidade, departamento, divisão, etc., ou seja, do maior ao menor nível. O modelo concentra-se
nos seguintes componentes: ambiente de controle, análise de riscos, atividades de controle, informação e
comunicação e monitoração.
ATENÇÃO!
Todo o foco do COSO-IC está no processo de controle interno da organização e a avaliação de riscos é apenas um
componente do modelo. Este modelo não contempla todas as atividades e outros aspectos importantes para a
realização de um processo completo de gestão de riscos.
Este modelo é utilizado principalmente no controle interno das organizações preocupadas com seus relatórios
financeiros. O modelo foi atualizado em 2013, mas também surgiu uma outra versão, mais voltada à gestão de riscos. É
o que vamos verificar a seguir!
COSO-ERM (COSO II)

Este modelo tem o nome de COSO-ERM - Enterprise Risk Management - integrated framework, pois tem justamente
o objetivo de orientar as organizações no estabelecimento de um processo de gestão de riscos corporativos. A grande
diferença em relação ao modelo COSO I é que este modelo abrange todo o escopo do modelo anterior e incorpora
ferramentas complementares de gestão de riscos.
Você se lembra de que o COSO-IC é focado no controle interno, não é mesmo? Pois bem, o COSO-ERM não tem a
intenção de substituir o outro modelo, mas incorporá-lo para torná-lo mais abrangente. Assim, além de aplicar a gestão
de riscos nas atividades operacionais, administrativas e de suporte, ela deve ser aplicada também nas atividades de
planejamento voltadas à definição das estratégias da organização.
Figura 2. COSO I x COSO II
O Portal do Tribunal de Contas na internet apresenta a seguinte imagem do COSO II:
O modelo é apresentado na forma de matriz tridimensional (cubo), demonstrando uma visão integrada dos
componentes que os gestores precisam adotar para gerenciar os riscos de modo eficaz, no contexto dos objetivos e da
estrutura de cada organização.
A face superior do cubo apresenta as categorias de objetivos que são comuns a todas as organizações e que a gestão
de riscos deve fornecer segurança razoável de seu alcance. A face lateral esquerda indica os componentes que devem
estar presentes e funcionando de modo integrado à rotina da organização para que a gestão de riscos seja eficaz. Por
fim, a face lateral direita representa a estrutura organizacional, os diversos níveis e/ou funções da organização,
incluindo projetos, processos e demais atividades que concorrem para a realização dos seus objetivos.
Perceba que a atividade “análise de riscos” presente no cubo que representa o COSO-IC foi substituída e
complementada pelas seguintes atividades:
identificação de eventos;
avaliação de riscos; e
resposta a riscos.
O COSO-ERM introduz conceitos como apetite a risco (montante de risco que a organização dispõe-se a aceitar na
criação de valor) e tolerância a riscos (nível de variação aceitável no alcance de um certo objetivo).
COSO-ERM (COSO II) - 2017

Alinhando risco com estratégia e desempenho
O COSO revisou e atualizou os componentes do COSO II, adotando princípios, simplificando suas definições e
enfatizando o papel da cultura e melhora o foco no valor. Este modelo destaca a importância de considerar os riscos
tanto no processo de estabelecimento da estratégia quanto na melhoria da performance.
Foram inseridas três dimensões fundamentais à gestão de uma organização:
(1) missão, visão e valores centrais;
(2) objetivos estratégicos e de negócios; e
(3) desempenho organizacional.
O modelo explora a gestão da estratégia e dos riscos corporativos a partir de três perspectivas diferentes, tornando
mais claras as responsabilidades da governança e da alta administração no seu papel de supervisionar e no seu dever de
se envolver no processo de gerenciamento do risco corporativo de modo efetivo. As perspectivas exploradas são: (a) a
possibilidade de que os objetivos estratégicos e de negócios não se alinharem com a missão, a visão e os valores
centrais da organização; (b) as implicações da estratégica escolhida; e (c) os riscos para a execução da estratégia.
O modelo revisado reduz de oito para cinco os componentes da gestão de riscos: (1) governança e cultura; (2)
estratégia e definição de objetivos; (3) desempenho; (4) revisão e correção; e (5) informação, comunicação e reporte.
Associados aos componentes, foram adotados vinte princípios de gestão de riscos, que representam as práticas que
podem ser aplicáveis de diferentes maneiras por diferentes organizações, independentemente de tamanho ou setor,
cuja implementação permitirá que a governança e a administração tenham uma expectativa razoável de que a
organização entende e é capaz de gerenciar os riscos associados com a estratégia e os objetivos de negócio, em um
nível aceitável.
Norma ISO 31000

A norma técnica ISO 31000 – Guia de Gestão de Riscos (Risk Management – Principles and Guidelines) foi publicada
em 2009. Ela provê princípios e boas práticas para um processo de gestão de riscos corporativos, aplicável a
organizações de qualquer setor, atividade e tamanho.
A ISO 31000 fornece princípios e diretrizes para gerenciar qualquer tipo de risco em toda ou em parte de qualquer tipo
de organização, servindo como um guia em gestão de riscos. Trata-se de uma norma geral, independentemente do tipo
de organização. Pode ser aplicada a uma ampla gama de atividades, incluindo estratégias, decisões, operações,
processos, funções, projetos, produtos, serviços e ativos.
Outras Norma ISO são adotadas para a Gestão da Segurança da Informação e também para a Gestão de Riscos em
Tecnologia da Informação.
INTOSAI - Guias GOV 9100 e GOV 9130

As organizações públicas também precisam realizar a gestão dos seus riscos organizacionais e com este objetivo foi
lançado o Guia GOV 9100 (2004), publicado pela Organização Internacional de Entidades Fiscalizadoras Superiores
(INTOSAI).
O objetivo do Guia foi disponibilizar um modelo de controle interno no setor público e fornecer uma base com a qual o
controle interno pode ser avaliado, aplicável a todos os aspectos relacionados com o funcionamento de uma
organização pública.
Em 2007, este Guia foi complementado com informações adicionais através da publicação do Guia GOV 9130 –
Guidelines for Internal Control Standards for the Public Sector – Further Information on Entity Risk Management.
Estes Guias trazem uma adaptação dos modelos COSO I e COSO II para utilização no setor público.
KING III - King Code of Governance Principles

O modelo King III é um modelo de governança corporativa originado na África do Sul. Em referência à gestão de riscos,
o documento apresenta um modelo formalizado de "Governança dos riscos". Todas as empresas que negociam na
bolsa de valores de Johannesburgo (capital da África do Sul) devem aplicar os códigos de práticas King III.
Esse modelo prevê a realização obrigatória de ao menos uma avaliação de riscos por ano na organização, devidamente
documentada. Outra característica peculiar do modelo é a explícita incorporação de elementos de governança dos
riscos de Tecnologia de Informação no sistema de governança de riscos corporativo: “The risk committee should ensure
that IT risks are adequately addressed” (IODSA, 2009).
The Institute of Internal Auditors (IIA) - As Três Linhas de

Defesa
O IIA - Institute of Internal Auditor (IIA) publicou um guia com o objetivo de deixar mais claros os papeis envolvendo a
gestão de risco.
Em 2012 foi publicado o guia Declaração de Posicionamento do IIA: As Três Linhas de Defesa no Gerenciamento Eficaz
de Riscos e Controles. Este guia serve para o esclarecimento dos papéis e responsabilidades essenciais no
gerenciamento de riscos e controle.
Na abordagem das Três linhas de Defesa proposto, a primeira linha de defesa é realizada pela gerência. A segunda
linha de defesa é referente às diversas funções de controle de riscos e supervisão de conformidade (área de risco,
comitê de risco, etc.). A terceira linha é feita pela auditoria interna, através de uma avaliação independente.
PRIMEIRA LINHA SEGUNDA LINHA TERCEIRA LINHA
Funções que gerenciam e têm Funções que supervisionam Funções que fornecem avaliações
propriedade de riscos riscos independentes
São referentes às funções de

A gestão operacional serve A auditoria interna constitui a terceira linha
gestão. É constituída por
como a primeira linha de defesa de defesa.
funções estabelecidas para
porque os controles são Fornece avaliações independentes e
garantir que a primeira linha
desenvolvidos como sistemas e objetivas sobre os processos de
funcione como pretendido no
processos sob sua orientação e gerenciamento de riscos aos órgãos de
tocante ao gerenciamento de
responsabilidade. governança e à alta gestão.
riscos e controles.
Nesse nível que se identificam, Objetivos: eficiência e eficácia das
Seu papel é coordenar as
avaliam e controlam riscos, operações; salvaguarda de ativos;
atividades de gestão de riscos,
guiando o desenvolvimento e a confiabilidade e a integridade dos processos
monitorar riscos específicos
implementação de políticas e de reporte; conformidade com leis e
(funções de compliance ou de
procedimentos internos e regulamentos) e elementos da estrutura de
conformidade), ajudar a
garantindo que as atividades gerenciamento de riscos e controle interno
desenvolver controles e ou
estejam de acordo com as em todos os níveis da estrutura
monitorar riscos e controles da
metas e objetivos. organizacional da entidade.
primeira linha de defesa.
Figura 3. Três linhas de defesa
Fonte: Tribunal de Contas da União
Esta abordagem é uma forma simples e eficaz para melhorar a comunicação e a conscientização sobre os papéis e as
responsabilidades essenciais de gerenciamento de riscos e controle. Ela pode ser aplicável a qualquer organização –
independente de seu tamanho e de sua complexidade e mesmo que não exista uma estrutura ou sistema formal de
gestão de riscos.
A principal função da auditoria interna é prover avaliações independentes sobre a eficácia da governança, do
gerenciamento de riscos e dos controles internos, incluindo a forma como a primeira e a segunda linhas de defesa
alcançam os objetivos de gerenciamento de riscos e controle.
O Livro Laranja (The Orange Book)

O guia The Orange Book Management of Risk - Principles and Concepts (O Livro Laranja) é uma publicação do órgão
governamental responsável pelo tesouro ou finanças do Reino Unido (HM Treasury). O guia foi publicado em 2001 e
provê um modelo de gestão de riscos que pode auxiliar no desenvolvimento de uma política institucional sobre o tema,
além de ser aplicável em diversos níveis, desde a organização como um todo, até projetos ou operações.
O modelo define que a aceitação de riscos deve considerar critérios definidos pelos administradores, os quais podem
ser (UK, 2004):
apetite de risco corporativo - montante de risco considerado aceitável, definido pela alta administração e
que, na verdade, pode constituir-se de mais de uma declaração, pois constata-se que pode ser definido por
categorias;
apetite de risco delegado - semelhante ao anterior, mas definido no âmbito das unidades e divisões
organizacionais, de acordo com alçadas pré-definidas; e
apetite de risco de projeto - semelhante ao primeiro, mas definido para um projeto específico.
Ferma - Padrão de Gestão de Riscos
A Ferma - Federation of European Risk Management Association publicou em 2003 o guia Risk Management Standard
como resultado do esforço de várias entidades europeias na adoção da gestão de riscos em diversas organizações,
incluindo-se o setor público.
Assim como em outros modelos de gestão de riscos, o guia apresenta diversos princípios e orientações, como:
a gestão de riscos aumenta as probabilidades de sucesso no alcance dos objetivos;
a gestão de riscos deve ser integrada à cultura da organização, com uma política efetiva direcionada pela alta
administração;
a organização deve estabelecer critérios contra os quais os riscos são comparados;
riscos devem ter proprietários;
separação clara de responsabilidades entre gestores, funções de apoio à governança e gestão dos riscos e
auditoria interna.
ISACA/Cobit 5
O COBIT é um padrão, modelo ou framework para a governança e gestão de Tecnologia da Informação (TI). O modelo
atual (COBIT 5) propõe um modelo completo para a governança e a gestão corporativas de TI com o objetivo de apoiar
a alta direção e demais gestores na definição e no alcance de objetivos de negócio relacionados com TI.
Como o modelo é bem abrangente, ele apresenta diversos processos relacionados à gestão da Tecnologia da
Informação. Vários destes processos é relacionado à gestão de riscos, como "Garantir a otimização do risco" e
"Gerenciar riscos".
A ISACA, organização que publicou o Cobit, também apresentou o guia “Cobit 5 for Risk”, no qual descreve com maior
profundidade práticas e métodos para auxiliar no processo de gestão de riscos de TI como um todo e especialmente
nas atividades relacionadas com a análise, avaliação e resposta a riscos.
Os guias da ISACA demonstram que as atividades de gestão de riscos recomendadas para a gestão e governança da
Tecnologia de Informação são muito similares às mesmas sugeridas nos demais modelos analisados.
Banca: FCC Órgão: TRT - 6ª Região (PE) - Cargo: Analista Judiciário - Tecnologia da Informação - Ano: 2018
Os riscos identificados podem ser posicionados na matriz de riscos, de acordo com a avaliação realizada de
probabilidade de ocorrência e impacto. Na matriz de riscos
a) são incluídos somente riscos de nível operacional, que podem paralisar processos ou serviços essenciais para a
organização.
b) não se pode demonstrar visualmente os níveis de tolerância da organização a riscos para não evidenciar fragilidades
que possam aumentar a exposição aos riscos.
c) se existirem dois ou mais riscos de mesma probabilidade e impacto, todos serão tratados concomitantemente, já que
não é permitida a criação de escalas complementares.
d) a organização deve utilizar rigorosamente o padrão determinado nas normas ISO que estabelece o nível de análise
adequado para todas as circunstâncias.
e) pode ser adotada uma escala alto/médio/baixo para cada risco, resultando em uma matriz 3 × 3 para cada risco.
Resolução:
a) São incluídos riscos operacionais, táticos e estratégicos.
b) A matriz é elaborada para evidenciar os riscos.
c) A matriz de risco pode variar sua estrutura e adotar vários níveis e escalas que se adequem às demandas da
organização.
d) Não há um nível adequado estabelecido para todas as circunstâncias. A Norma é uma orientação para a Gestão de
Riscos que não abarca todas as possibilidades de risco.
Resposta: E
Banca: FCC - Órgão: CNMP - Cargo: Tecnologia de Informação e Comunicação Desenvolvimento de Sistemas -
Ano: 2015
Na gestão de riscos, o método Delphi é usado para
a) identificação dos riscos. Trata-se de uma técnica de coleta de informações que objetiva alcançar um consenso de
especialistas em um assunto.
b) avaliação dos riscos. Trata-se de um quadro de pontuação que prioriza os riscos e as tomadas de decisão para cada
situação.
c) análise dos riscos. Trata-se de uma técnica de avaliação de causas-raiz de um problema e propõe uma solução bem
definida para cada situação de risco.
d) identificação dos riscos. Trata-se de um workflow de soluções direcionadas para a mitigação dos riscos.
e) análise dos riscos. Trata-se de um diagrama do tipo “espinha de peixe” que serve para melhorar os processos.
Resolução: A Técnica Delphi é uma em que vários especialistas, individualmente e geralmente de forma anônima,
apresentam ideias e justificações sobre determinado assunto. A técnica pode ser usada em qualquer etapa do
processo, principalmente na identificação e busca o consenso de especialistas sobre algum tema que cause risco à
organização.
Resposta: A
Questões de prova comentadas

1 - Banca: FGV - Órgão: TRT - 16ª REGIÃO (MA) - Cargo: Técnico Judiciário - Área Administrativa - Qualquer Área -
Ano: 2022
Na execução de um projeto, uma das responsabilidades do gestor encarregado é a gestão adequada dos riscos
envolvidos. Dessa forma, caso, como resposta a um risco de roubo de um dos veículos envolvidos no projeto, o gestor
contrate um seguro, significa que ele adotou uma postura de
A) mitigação.
B) prevenção.
C) melhoramento.
D) transferência.
E) aceitação.
RESOLUÇÃO: A organização, ao avaliar os efeitos das diferentes respostas possíveis no caso do enunciado da questão,
a gestão decide a melhor forma de tratar o risco. As opções de tratamento de riscos incluem evitar, reduzir (mitigar),
transferir (compartilhar) e aceitar (tolerar) o risco, devendo-se observar que elas não são mutuamente exclusivas.
a) mitigar: adotar medidas para reduzir a probabilidade ou a consequência dos riscos ou até mesmo ambos. Errada.
b) prevenção: diminuição da probabilidade de ocorrência e/ou diminuição do impacto financeiro esperado sobre a
organização. Errada.
c) melhoramento: maximizar a probabilidade de obter tais desfechos positivos. Errada.
d) transferência: transferência ou compartilhamento de uma parte do risco. Certa.
e) aceitação: é não tomar, deliberadamente, nenhuma medida para alterar a probabilidade ou a consequência do risco.
Errada.
Resposta: D
2 - Banca: FGV - Órgão: TCE-TO - Cargo: Auditor de Controle Externo - Ano: 2022
A análise de riscos trata de compreender a natureza e determinar o nível do risco em função de probabilidade e
impacto. Existem diferentes práticas metodológicas para realizá-la. Uma dessas práticas busca definir o nível de risco
com base na percepção das pessoas e baseia-se em métodos:
A) multivariados;
B) qualitativos;
C) quantílicos;
D) quantitativos;
E) semiquantitativos.
RESOLUÇÃO: O resultado da análise de riscos é atribuir a cada risco identificado uma classificação, tanto para a
probabilidade como para o impacto do evento. A combinação destes dois aspectos (probabilidade e consequência)
determina o nível do risco.

A análise de riscos pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas, e ser mais ou
menos detalhada.
Métodos qualitativos: definem o impacto, a probabilidade e o nível de risco por qualificadores como “alto”, “médio” e
“baixo”, com base na percepção das pessoas.
Métodos semiquantitativos: usam escalas numéricas previamente convencionadas para mensurar a consequência e a
probabilidade, os quais são combinados, por meio de uma fórmula, para produzir o nível de risco.
Métodos quantitativos: estimam valores para as consequências e suas probabilidades a partir de valores práticos e
calculam o nível de risco a partir de unidades específicas definidas no desenvolvimento do contexto.
Resposta: B
3 - Banca: FGV - Órgão: TCE-TO - Cargo: Auditor de Controle Externo - Ano: 2022
Um órgão da administração pública estadual está contratando uma obra de infraestrutura que possui riscos de
execução. Uma vez que os riscos do empreendimento se encontram em faixa de tolerância aceitável, esse órgão incluiu
no edital de licitação medidas contingentes, como a inclusão de seguro-garantia com o objetivo de assegurar que a
empresa contratada cumpra sua obrigação contratual. A medida de inclusão de seguro-garantia na licitação revela que
o processo de gestão de riscos está na fase de:
A) comunicação;
B) estabelecimento do contexto;
C) melhoria contínua;
D) monitoramento;
E) tratamento dos riscos.
RESOLUÇÃO: O processo de gestão de riscos compreende a identificação, a análise e a avaliação de riscos, a seleção e
a implementação de respostas aos riscos avaliados, o monitoramento de riscos e controles, e a comunicação sobre
riscos com partes interessadas, internas e externas.
A alternativa A apresenta a fase de comunicação. Esta não é necessariamente uma fase, já que permeia todas as outras
fases e é tem como atribuição dialogar com as partes interessadas sobre as informações relativas aos riscos. A
alternativa B traz o estabelecimento do contexto, que é a primeira fase e é neste momento que são estabelecidos os
parâmetros externos e internos a serem levados em consideração ao gerenciar riscos. A melhoria contínua (alternativa
C) não é uma fase do processo de gestão de riscos.
Na alternativa D está o monitoramento, que tem o objetivo de acompanhar o risco a fim de identificar mudanças no
nível de desempenho requerido ou esperado. A alternativa E (correta) aborda o tratamento de riscos que identifica as
respostas aos riscos. Assim, inserir medidas contingentes constitui-se em resposta ao risco.
Resposta: E
4 - Banca: FGV - Órgão: MPE-AL - Cargo: Analista do Ministério Público - Administrador de Banco de dados - Ano:
2018
A Gerência de Riscos avalia os riscos de uma determinada organização, com o propósito de identificar ameaças e
vulnerabilidades nos seus ativos. Em geral, a avaliação de riscos deve ser
A) imediata e irrestrita.
B) pública e privada.
C) manual e automática.
D) qualitativa e quantitativa.
E) total e local.
RESOLUÇÃO: Apesar do enunciado citar a avaliação de riscos, que diz respeito à fase em que há uma comparação do
nível de risco com os critérios estabelecidos quando o contexto foi considerado, há uma referência sobre a etapa
anterior, que é a Análise de Riscos.
A Análise de Riscos é o processo de compreender a natureza e determinar o nível de risco, de modo a subsidiar a
avaliação e o tratamento de riscos e pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas,
e ser mais ou menos detalhada (alternativa D).
Resposta: D
5 - Banca: FGV - Órgão: TRT - 12ª Região (SC) - Cargo: Analista Judiciário - Área Administrativa - Ano: 2017
Por mais bem gerenciado que seja o projeto, riscos que comprometam a realização e a entrega do projeto vão existir. O
gerente do escritório de projetos irá gerenciar um congresso nacional de gestão pública, e para isso contratou um
gestor de riscos para auxiliar na identificação, análise e respostas aos possíveis riscos, sejam eles positivos ou
negativos.
Em relação às respostas aos riscos negativos, o gestor poderá:
A) mitigar os riscos, ao calcular a sua probabilidade e o seu impacto;
B) prevenir os riscos, ao tentar reduzir seus impactos;
C) aceitar os riscos, que seria reconhecer o risco e optar por não agir;
D) transferir os riscos, compartilhando-os com os outros;
E) explorar os riscos, ao tentar reduzir a sua probabilidade.
RESOLUÇÃO: Para responder à questão, é importante saber o que significa cada uma das respostas aos riscos.
a) Mitigar é reduzir os riscos, ou seja, adotar medidas que reduzam a probabilidade ou a consequência dos riscos.
Errada.
b) A prevenção de riscos busca a diminuição da probabilidade de que o risco aconteça. É o tipo positivo de resposta ao
risco. Errada.
c) Aceitar o risco é reconhecer o risco e escolher não fazer nada. Certa.
d) Significa a transferência ou compartilhamento de uma parte do risco, o que dá a entender que este item está correto.
No entanto, não se transfere o risco, e sim, uma parte dele. Então, é possível de se cair na pegadinha da banca.
e) Explorar um risco é uma resposta positiva aos riscos.
Resposta: C
6 - Banca: FGV - Órgão: Câmara de Salvador - BA - Cargo: Analista Legislativo Municipal - Serviços Gerais Ano: 2018
Por mais bem gerenciado que seja o projeto, riscos que comprometam a realização e a entrega sempre vão existir. O
Presidente da Câmara de Vereadores irá liderar o projeto de construção de uma nova sede para a Câmara, e, para isso,
contratou o professor Rossandro, especialista na gestão de riscos em projetos, para auxiliar na identificação, análise e
respostas aos possíveis riscos.
Em relação à gestão de riscos em projetos, é correto afirmar que:
A) tal gestão é a identificação do que pode dar errado em um projeto;
B) o impacto do risco é a sua chance de acontecer;
C) a mitigação de um risco consiste em dividir os riscos com terceiros, por exemplo, um banco;
D) a matriz probabilidade x impacto classifica o compartilhamento de riscos;
E) aceitar os riscos equivale a reconhecer o risco e optar por não agir.
RESOLUÇÃO:
a) Risco é a combinação da probabilidade de algo acontecer e os impactos que isso pode gerar, sendo positivos ou
negativos. A gestão dos riscos são as atividades que vão identificar, analisar, avaliar, tratar e monitorar os riscos. Não é
somente a identificação e também não é só o que pode dar errado. Errada.
b) É a probabilidade e não o impacto. Impactos são as consequências que o risco gera. Errada.
c) Este é o conceito de transferência ou compartilhamento. Mitigar é reduzir os riscos. Errada.
d) A matriz permite avaliar o quão grave é um risco para organização e permite o adequado tratamento do risco. Não
está vinculada ao compartilhamento. Errada.
e) Este é o conceito correto de aceitar os riscos. Certa.
Resposta: E
7 - Banca: FGV - Órgão: MPE-AL -Cargo: Analista do Ministério Público - Gestão Pública - Ano: 2018
No decorrer de um projeto, a identificação de riscos, feita de maneira adequada, pode ser decisiva para o seu sucesso.
Assinale a opção que indica uma técnica apropriada para a identificação de riscos.
A) Elaborar a matriz identidade pelos analistas financeiros.
B) Detalhar o barramento da rede pelos técnicos de TI.
C) Levantar as correlações estratificadas do negócio.
D) Fazer sondagens unilaterais com fornecedores e clientes de setores similares.
E) Realizar entrevistas com especialistas ou com gerentes de projetos experientes.
RESOLUÇÃO: Existem algumas formas de identificar os riscos, como: dados históricos, análises teóricas, opinião de
pessoas informadas e especialistas (alternativa E) e necessidades das partes interessadas.
Resposta: E
8 - Banca: FGV - Órgão: TCE-TO - Cargo: Analista Técnico - Ano: 2022
A gestão de riscos é sempre baseada em princípios orientadores que, no caso da administração pública brasileira, são
definidos pelo Tribunal de Contas da União (TCU). Segundo esses princípios, o TCU define como fundamental que as
organizações, ao realizarem algo que nunca foi feito antes, devam identificar, avaliar e tratar riscos para documentar o
processo e aumentar as chances de sucesso. O exposto pode ser sintetizado na máxima de que a gestão de risco deve:
A) ser aplicada contínua e integradamente aos processos de trabalho;
B) considerar a importância dos fatores humanos e culturais;
C) fomentar inovação e ação empreendedora responsáveis;
D) ser dirigida, apoiada e monitorada pela alta administração;
E) ser implantada em ciclos de revisão e melhoria contínua.
RESOLUÇÃO: As alternativas apresentam princípios da Gestão de Riscos do Tribunal de Contas da União. Porém, o
enunciado faz referência ao princípio que explicita que a organização deve gerenciar os riscos ao realizarem algo que
nunca foi feito antes. Esta é a explicação para o princípio “fomentar a inovação e a ação empreendedora responsáveis”.
Resposta: C
9 - Banca: FCC - Órgão: TRT - 14ª Região (RO e AC) - Cargo: Analista Judiciário - Tecnologia da Informação - Ano:
2016
A etapa de análise de riscos, no processo de Gestão de Riscos, pode ser realizada de forma quantitativa ou qualitativa.
Após a categorização dos riscos, deve-se decidir pelo tratamento e recursos a alocar. Uma das opções disponíveis para
tratamento do risco é
A)eliminar o sistema que gerou o risco, visando reduzir o risco.
B) atuar sobre os ativos que sofrem as consequências do risco, visando eliminar o risco.
C) escolher apenas uma alternativa que seja economicamente viável, já que é impossível reter o risco.
D) utilizar sempre medidas de caráter contingencial ou mitigatório, evitando-se as medidas preventivas.
E) transferir o risco, por meio de seguros, cooperação ou outra ação adequada.
RESOLUÇÃO: As opções de tratamento de riscos incluem evitar, reduzir (mitigar), transferir (compartilhar) e aceitar
(tolerar) o risco. Não é possível que o risco seja eliminado (alternativas A, B e D), sempre haverá riscos. Além disso,
deve-se levar em consideração que podem ser adotadas várias opções ao mesmo tempo, por isso, a alternativa C está
incorreta. A alternativa E apresenta uma forma de tratamento de riscos: transferir o risco.
Resposta: E
10 - Banca: FGV - Órgão: TRT - 12ª Região (SC) - Cargo: Técnico Judiciário - Área Administrativa - Ano: 2017
O Gerente de Riscos da empresa ABC está se preparando para um congresso internacional. Antes de fazer sua mala, ele
fez o planejamento e a gestão dos riscos envolvidos na sua viagem.
Em relação à gestão de riscos, é correto afirmar que:
A) a matriz probabilidade x impacto classifica os riscos envolvidos no projeto;
B) a mitigação de um risco consiste em dividir os riscos com terceiros, por exemplo, uma seguradora;
C) o impacto do risco é a sua probabilidade de ocorrência;
D) as estratégias de resposta ao risco são formas de reduzir sua chance de ocorrência;
E) a gestão de riscos consiste na identificação do que pode dar errado.
RESOLUÇÃO:
a) A Matriz de Risco, ou Matriz de Probabilidade/Consequência é uma matriz que faz o cruzamento de dois eixos: um
eixo de consequências e outro eixo em que são apresentadas as probabilidades. Ela classifica os riscos em três tipos:
triviais, moderados e intoleráveis.
b) Este é o conceito de transferir o risco. Mitigar é reduzir a probabilidade de um risco e suas consequências. Errada.
c) O impacto é a consequência que o risco gera caso ocorra. Errada.
d) As estratégias de resposta ao risco são as formas de tratamento dos riscos e podem reduzir a probabilidade ou a
consequência dos riscos ou até mesmo ambos. Não é estritamente reduzir a sua chance. Errada.
e) Risco é a combinação da probabilidade de algo acontecer e os impactos que isso pode gerar, sendo positivos ou
negativos. A gestão dos riscos são as atividades que vão identificar, analisar, avaliar, tratar e monitorar os riscos. Não é
somente a identificação e também não é só o que pode dar errado. Errada.
Resposta: A
11 - Banca: FGV - Órgão: TJ-DFT - Cargo: Analista Judiciário – Administração - Ano: 2022
Ao longo da última década, a administração pública brasileira realizou inúmeros esforços e iniciativas articulados para
gerar valor às agências públicas e corporativas, por meio de uma tríade de iniciativas voltadas à governança, gestão de
riscos e integridade.
Dentro dessa tríade, a gestão de riscos é fundamentalmente voltada a:
A) coordenar ações que assegurem a conformidade dos agentes aos princípios éticos, aos procedimentos
administrativos e às normas legais aplicáveis à organização;
B) definir o conjunto de procedimentos para identificar, analisar, avaliar, tratar e monitorar fatores negativos que
possam afetar o alcance dos objetivos;
C) estabelecer os modos de interação que garantam o respeito dos agentes públicos aos interesses dos proprietários e
das partes interessadas;
D) orientar as decisões, ações e controles para o alcance dos resultados, abarcando os processos de direção e controle;
E) promover ganho de responsividade e legitimidade da gestão perante os atores interessados, buscando elevar o valor
econômico e social da organização.
RESOLUÇÃO: A alternativa B apresenta exatamente o conceito de Gestão de Riscos.
Resposta: B
12 - Banca: FCC - Órgão: ELETROBRAS-ELETROSUL - Cargo: Informática - Ano: 2016
“Para gerenciar a gestão de riscos objetivando a geração de valor, a Eletrobras Eletrosul desenvolve a gestão integrada de
riscos.
... O processo de gestão integrada de riscos da empresa caracteriza-se por etapas de identificação, avaliação, tratamento,
monitoramento e comunicação dos riscos.
Para orientar as ações de gestão integrada de riscos, a Eletrobras Eletrosul possui formalmente aprovadas a Política de
Gestão de Riscos, a Matriz de Riscos e a Norma de Gestão Empresarial.”
(http://www.eletrosul.gov.br/app/hotsite/rel-sustentabilidade-2014/06-governanca-corporativa/)
O texto acima faz referência a alguns termos ligados ao Gerenciamento de Riscos. A definição correta de um dos
termos é:
A) Monitoramento dos riscos é o processo de priorização de riscos para análise ou ação posterior através da avaliação e
combinação de sua probabilidade de ocorrência e impacto.
B) Tratamento dos riscos se refere ao processo de analisar numericamente o efeito dos riscos identificados nos
objetivos gerais do projeto/organização.
C) Avaliação dos riscos se refere ao processo de desenvolvimento de opções e ações para aumentar as oportunidades e
reduzir as ameaças aos objetivos do projeto/organização.
D) A Matriz de Riscos é uma rede para o mapeamento de probabilidade de ocorrência de cada risco e o seu impacto nos
custos do projeto/organização após sua ocorrência.
E) Identificação dos riscos se refere ao processo de determinação dos riscos que podem afetar o projeto/organização,
incluindo a documentação das suas características.
RESOLUÇÃO:
a) Avaliação de Riscos. Errada.
b) Análise quantitativa. Errada.
c) Tratamento de Riscos. Errada.
d) A matriz de risco classifica os riscos antes que aconteçam e não depois. Errada.
e) Identificação dos Riscos. Certa.
Resposta: E
13 - Ano: 2016 - Banca: FCC - Órgão: Prefeitura de Teresina - PI - Cargo: Analista Tecnológico - Analista de Negócios
Em um processo de gestão de riscos,
A) não há necessidade de monitoração dos riscos durante a utilização de um sistema de informação.
B) devem ser qualificados e quantificados todos os riscos como tendo o mesmo nível de segurança.
C) a ação de transferência do risco corresponde a reduzir seu nível de impacto.
D) as informações sobre os riscos devem ser compartilhadas entre o tomador de decisões e as partes interessadas.
E) a ação de identificação de vulnerabilidades corresponde a um desligamento geral do sistema de informação sob

ameaça.
RESOLUÇÃO: A alternativa A está incorreta, pois, segundo os princípios da Gestão de Riscos, é necessário o
monitoramento de riscos em todos os processos da organização. O erro da alternativa B é dizer que os riscos têm o
mesmo nível de segurança, já que eles podem ser classificados como alto, médio e baixo risco. A alternativa C apresenta
o conceito errado de transferência, que significa uma resposta ao risco que envolve a transferência ou
compartilhamento de uma parte do risco.
A alternativa D é a correta e apresenta uma das premissas do processo de comunicação no gerenciamento de riscos.
Por fim, o erro da alternativa E tem relação com a gestão de riscos em Tecnologia da Informação. A vulnerabilidade é
uma fraqueza associada a um ativo, que pode vir a ser explorada por potenciais ameaças. A identificação de ameaças e
vulnerabilidades corresponde ao mapeamento de ameaças físicas, eletrônicas, humanas e de infraestrutura, assim
como vulnerabilidades dos sistemas.
Resposta: D
14 - Banca: VUNESP - Órgão: Prefeitura de São Paulo - SP - Cargo: Auditor Municipal de Controle Interno – Geral -
Ano: 2015
O processo de análise de riscos, em conformidade com a estrutura de gestão de riscos, é precedida e sucedida,
respectivamente,
A) pela avaliação de riscos e pelo tratamento de riscos.
B) pela avaliação de riscos e pela identificação de riscos.
C) pelo tratamento de riscos e pela avaliação de riscos.
D) pela identificação de riscos e pela avaliação de riscos.
E) pela identificação de riscos e pelo tratamento de riscos.
RESOLUÇÃO: Para responder à questão é importante saber as etapas do Processo de Gestão de Riscos: compreende a
identificação, a análise e a avaliação de riscos, a seleção e a implementação de respostas aos riscos avaliados, o
monitoramento de riscos e controles, e a comunicação sobre riscos com partes interessadas, internas e externas. A
análise de riscos é precedida pela identificação dos riscos e sucedida pela avaliação de riscos.
Resposta: D
15 - Banca: FGV - Órgão: TJ-RO - Cargo: Analista de Sistemas - Ano: 2015
Glaucia identificou problemas em um projeto de software cuja correção demandaria muitas alterações. Em vez de fazer
essas alterações, a Gerente de Projeto de Software, Glaucia, decidiu elaborar um plano de contingência como resposta
ao risco aplicando a estratégia:
A) evitar;
B) mitigar;
C) transferir;
D) compartilhar;
E) aceitar.
RESOLUÇÃO: As opções de tratamento de riscos incluem evitar, reduzir (mitigar), transferir (compartilhar) e aceitar
(tolerar) o risco. Como Gláucia decidiu elaborar um plano de contingência caso o risco ocorra, ela decidiu
deliberadamente aceitar o risco. Ou seja, ela não irá tomar nenhuma atitude para reduzir a probabilidade do risco. De
forma passiva, o risco será tratado somente quando acontecer, por isso vai criar um plano de contingência caso o risco
venha a ocorrer. Assim, a alternativa correta é a E.
Resposta: E
16 - Banca: CESPE / CEBRASPE - Órgão: TRE-BA - Cargo: Conhecimentos Gerais - Nível Superior - Ano: 2017
De acordo com a NBR ISO 31000:2009, no que diz respeito ao processo de gestão de riscos, a etapa específica de
apreciação das causas e fontes de riscos, suas consequências positivas e negativas, e da probabilidade de ocorrência
dessas consequências denomina-se
A) identificação de riscos.
B) análise de riscos.
C) monitoramento e análise crítica.
D) avaliação de riscos.
E) estabelecimento do contexto interno.
RESOLUÇÃO:
a) identificação de riscos. É o processo de busca, reconhecimento e descrição dos riscos. Errada.
b) análise de riscos. É o processo de compreender a natureza e determinar o nível de risco, de modo a subsidiar a
avaliação e o tratamento de riscos. Certa.
c) monitoramento e análise crítica. monitoramento corresponde à verificação, supervisão, observação crítica ou
identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho
requerido ou esperado. Errada.
d) avaliação de riscos. É a comparação do nível de risco com os critérios de risco estabelecidos para determinar se o
risco e/ou sua magnitude é aceitável ou tolerável ou se algum tratamento é exigido. Errada.
e) estabelecimento do contexto interno. É o entendimento da organização, dos objetivos e do ambiente, inclusive do
controle interno, no qual os objetivos são perseguidos. Errada.
Resposta: B
17 - Banca: FGV - Órgão: CODEBA - Cargo: Técnico Portuário - Fiscalização da Segurança do Trabalho e das
Operações - Ano: 2016
Relacione os processos de análise de risco às respectivas características.
( ) Avaliação de Risco.
( ) Gerenciamento de Riscos.
( ) Comunicação de Risco
1. É o processo que objetiva minimizar a ocorrência de acidentes por meio de identificação, análise, avaliação e
tratamento dos riscos.
2. É o processo técnico científico que modela e quantifica o risco previsto em um sistema.
3. É o processo que permite a transmissão das mensagens de risco do especialista para o não especialista.
Assinale a opção que indica a ordem correta, de cima para baixo.
A) 1 – 2 – 3.
B) 2 – 1 – 3.
C) 2 – 3 – 1.
D) 3 – 2 – 1.
E) 3 – 1 – 2.
RESOLUÇÃO: Avaliação de risco é o processo técnico científico que modela e quantifica o risco previsto em um
sistema. Busca compreender a natureza e determinar o nível de risco, de modo a subsidiar a avaliação e o tratamento
de riscos (item 2).
Gerenciamento de riscos é o processo que objetiva minimizar a ocorrência de acidentes por meio de identificação,
análise, avaliação e tratamento dos riscos (item 1).
Comunicação de risco é o processo que permite a transmissão das mensagens de risco do especialista para o não
especialista. Busca fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas e
outros, com relação a gerenciar riscos (item 3).
Resposta: B
Resumo direcionado
Dicionário Básico sobre Gestão de Riscos

Gestão de riscos (ou gerenciamento de riscos) consiste em um conjunto de atividades coordenadas para identificar,
analisar, avaliar, tratar e monitorar riscos. É o processo que visa conferir razoável segurança quanto ao alcance dos
objetivos.
Risco é a combinação entre a probabilidade de que determinado evento ocorra e os impactos por ele gerado, caso
venha a ocorrer.
Risco = probabilidade de ocorrência + impactos
Risco inerente: é o risco natural, pela ausência de qualquer ação que a direção possa realizar para alterar a
probabilidade de ocorrência ou de impacto.
Risco residual: é aquele resultante de tomada de ações e aplicações das melhores práticas de controles internos ou de
resposta da organização ao risco.
Processo de gestão de riscos: compreende a identificação, a análise e a avaliação de riscos, a seleção e a
implementação de respostas aos riscos avaliados, o monitoramento de riscos e controles, e a comunicação sobre riscos
com partes interessadas, internas e externas.
Quadro 01. Processo de Gestão de Riscos
PROCESSO DE GESTÃO DE RISCOS
Estabelecimento Entendimento da organização, dos objetivos e do ambiente, inclusive do controle interno, no

do Contexto qual os objetivos são perseguidos.
É o processo de busca, reconhecimento e descrição dos riscos. O objetivo é produzir uma lista
Identificação dos
abrangente de riscos, incluindo causas, fontes e eventos, que possam ter um impacto na
riscos
consecução dos objetivos.
É o processo de compreender a natureza e determinar o nível de risco, de modo a subsidiar a

Análise de riscos
avaliação e o tratamento de riscos.
É a comparação do nível de risco com os critérios de risco estabelecidos quando o contexto foi
Avaliação de
considerado, para determinar se o risco e/ou sua magnitude é aceitável ou tolerável ou se
riscos
algum tratamento é exigido.
Envolve a seleção de uma ou mais opções para modificar o nível de cada risco e a elaboração de
Tratamento de
planos de tratamento que, uma vez implementados, implicarão em novos controles ou
riscos
modificação dos existentes.
Monitoramento O monitoramento corresponde à verificação, supervisão, observação crítica ou identificação

e Análise Crítica da situação, executadas de forma contínua, a fim de identificar mudanças no nível de
desempenho requerido ou esperado.
Processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou
Comunicação de
obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a
riscos
gerenciar riscos.
Figura 01. Processo de Gestão de Riscos
Figura 02. Técnicas de Análise de Riscos
Opções de resposta aos riscos

RESPOSTAS AOS RISCOS
Evitar o risco: é a decisão de não iniciar ou de descontinuar a atividade, ou ainda desfazer-se do objeto
sujeito ao risco;
Reduzir ou mitigar o risco: consiste em adotar medidas para reduzir a probabilidade ou a consequência dos
riscos ou até mesmo ambos;
Compartilhar ou transferir o risco: é a transferência ou compartilhamento de uma parte do risco, mediante

contratação de seguros ou terceirização de atividades nas quais a organização não tem suficiente domínio;
Aceitar ou tolerar o risco: é não tomar, deliberadamente, nenhuma medida para alterar a probabilidade ou a
consequência do risco. Ocorre quando o risco está dentro do nível de tolerância da organização (o risco é
considerado baixo), a capacidade para fazer qualquer coisa sobre o risco é limitada ou, ainda, o custo de
tomar qualquer medida é desproporcional em relação ao benefício potencial (exemplo: gastar mais recursos
financeiros para proteger um ativo do que o próprio valor do ativo). Pode ser uma atitude passiva da
organização (não requer nenhuma ação, exceto documentar a estratégia) ou ativa (estabelecer uma reserva
para contingências ou um plano de contingência).
Respostas positivas aos riscos:
Prevenção e redução dos danos: diminuição da probabilidade de ocorrência e/ou diminuição do impacto
esperado sobre a organização, caso o evento ocorra – e/ou pela remediação – controle dos danos após a
ocorrência do evento;
Capacitação: na avaliação dos riscos, deve-se considerar a capacitação da organização em lidar com os
mesmos, o que significa ser capaz de identificá-los, antecipá-los, mensurá-los, monitorá-los e, se for o caso,
mitigá-los;
Compartilhar: Envolve a alocação integral ou parcial da responsabilidade da oportunidade a um terceiro que
tenha mais capacidade de explorar a oportunidade;
Melhorar: maximizar a probabilidade de obter tais desfechos positivos;
Explorar: adotada para riscos com impactos positivos quando a organização deseja garantir que a
oportunidade seja concretizada.
Modelos de Gestão de Riscos

COSO-IC (COSO I): objetivo é orientar as organizações quanto a princípios e boas práticas de controle
interno. Além disso, este documento buscou assegurar a produção de relatórios financeiro confiáveis e a
prevenção de fraudes.
COSO-ERM (COSO II): objetivo é orientar as organizações no estabelecimento de um processo de gestão
de riscos corporativos. A grande diferença em relação ao modelo COSO I é que este modelo abrange todo o
escopo do modelo anterior e incorpora ferramentas complementares de gestão de riscos.
ISO 31000:2009: A norma técnica ISO 31000 – Guia de Gestão de Riscos (Risk Management – Principles and
Guidelines) provê princípios e boas práticas para um processo de gestão de riscos corporativos, aplicável a
organizações de qualquer setor, atividade e tamanho.
INTOSAI - Guias GOV 9100 e GOV 9130: o objetivo foi disponibilizar um modelo de controle interno no
setor público e fornecer uma base com a qual o controle interno pode ser avaliado, aplicável a todos os
aspectos relacionados com o funcionamento de uma organização pública.
KING III - King Code of Governance Principles: é um modelo de governança corporativa originado na África
do Sul. Em referência à gestão de riscos, o documento apresenta um modelo formalizado de "Governança
dos riscos".
The Institute of Internal Auditors (IIA) - As Três Linhas de Defesa: a abordagem das Três linhas de Defesa
indica que a primeira linha de defesa é realizada pela gerência. A segunda linha de defesa é referente às
diversas funções de controle de riscos e supervisão de conformidade (área de risco, comitê de risco, etc.). A
terceira linha é feita pela auditoria interna, através de uma avaliação independente.
O Livro Laranja (The Orange Book): O guia provê um modelo de gestão de riscos que pode auxiliar no
desenvolvimento de uma política institucional sobre o tema, além de ser aplicável em diversos níveis, desde a
organização como um todo, até projetos ou operações.
Ferma - Padrão de Gestão de Riscos: o guia Risk Management Standard é resultado do esforço de várias
entidades europeias na adoção da gestão de riscos em diversas organizações, incluindo-se o setor público.
ISACA/Cobit 5: O COBIT é um padrão, modelo ou framework para a governança e gestão de Tecnologia da
Informação (TI). O modelo atual (COBIT 5) propõe um modelo completo para a governança e a gestão
corporativas de TI com o objetivo de apoiar a alta direção e demais gestores na definição e no alcance de
objetivos de negócio relacionados com TI.

Livro Digital 14

Enviado por

Direitos autorais:

Formatos disponíveis

Livro Digital 14

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Livro Digital 14

Enviado por

Direitos autorais:

Formatos disponíveis

Aula 13

5 Gestão de riscos: 5.1 Princípios, objetos,

Eixo Temático 1 - Gestão Governamental e

Prof. Milena de Senne Ranzini

PROCESSO DE GESTÃO DE RISCOS................................................................................................................ 6

IDENTIFICAÇÃO DOS RISCOS........................................................................................................................ 8

MONITORAMENTO E ANÁLISE CRÍTICA......................................................................................................... 12

PRINCÍPIOS DA GESTÃO DE RISCOS.............................................................................................................. 15

MODELOS DE GESTÃO DE RISCOS................................................................................................................. 19

COSO-IC (COSO I).......................................................................................................................................... 19

COSO-ERM (COSO II)..................................................................................................................................... 20

COSO-ERM (COSO II) - 2017............................................................................................................................ 21

NORMA ISO 31000 ........................................................................................................................................ 21

INTOSAI - GUIAS GOV 9100 E GOV 9130.......................................................................................................... 22

KING III - KING CODE OF GOVERNANCE PRINCIPLES...................................................................................... 22

THE INSTITUTE OF INTERNAL AUDITORS (IIA) - AS TRÊS LINHAS DE DEFESA................................................. 22

O LIVRO LARANJA (THE ORANGE BOOK)....................................................................................................... 23

FERMA - PADRÃO DE GESTÃO DE RISCOS...................................................................................................... 23

QUESTÕES DE PROVA COMENTADAS........................................................................................................... 27

DICIONÁRIO BÁSICO SOBRE GESTÃO DE RISCOS........................................................................................... 37

OPÇÕES DE RESPOSTA AOS RISCOS............................................................................................................. 38

MODELOS DE GESTÃO DE RISCOS................................................................................................................. 39

Risco: é a possibilidade de que um evento afete negativamente o alcance dos objetivos.

Oportunidade: é a possibilidade de que um evento afete positivamente o alcance de objetivos.

Risco = probabilidade de ocorrência + impactos

b) a potenciais consequências negativas de um comportamento inadequado ou imprevidente, cuja certeza de

a) Os riscos podem ter suas consequências e impactos mensurados. Errada.

refere-se à aplicação dessa arquitetura para riscos específicos.

Processo de Gestão de Riscos

PROCESSO DE GESTÃO DE RISCOS

Estabelecimento Entendimento da organização, dos objetivos e do ambiente, inclusive do controle interno, no

É o processo de compreender a natureza e determinar o nível de risco, de modo a subsidiar a

O monitoramento corresponde à verificação, supervisão, observação crítica ou identificação

Fonte: ISO 31000

Articula seus objetivos;

Define os parâmetros externos e internos a serem levados em consideração ao gerenciar riscos; e

Estabelece o escopo e os critérios de risco para o restante do processo.

O Estabelecimento do Contexto pode envolver, mas não se limita a estas atividades:

definição das metas e objetivos das atividades de gestão de riscos;

definição das responsabilidades pelo processo e dentro da gestão de riscos;

realizadas, englobando inclusões e exclusões específicas;

definição das metodologias de processo de avaliação de riscos;

identificação e especificação das decisões que têm que ser tomadas; e

Identificação dos Riscos

Opiniões de pessoas informadas e especialistas; e

Necessidades das partes interessadas.

probabilidade de ocorrência dessas consequências.

Métodos semiquantitativos: usam escalas numéricas previamente convencionadas para mensurar a

Métodos quantitativos: estimam valores para as consequências e suas probabilidades a partir de

Risco = Probabilidade X Impacto

Triviais: a organização não precisa se preocupar;

Moderados: necessário que a organização analise os riscos e monitore as respostas;

ATENÇÃO: Há outras variações de matriz de risco.

Fazer mais nada;

Considerar as opções de trabalho de riscos;

Manter os controles existentes.

Compartilhar ou transferir o risco: é a transferência ou compartilhamento de uma parte do risco, mediante

Respostas positivas aos riscos:

O processo de tratamento é cíclico e inclui:

avaliação do tratamento já realizado;