Roterio de Auditoria Gestao de Riscos

PORTARIA-SEGECEX N 9, DE 18 DE MAIO DE 2017.
Aprova o documento Roteiro de Auditoria de

Gesto de Riscos.
O SECRETRIO-GERAL DE CONTROLE EXTERNO, no uso de suas atribuies e tendo

em vista o disposto no art. 34, inciso III, da Resoluo-TCU n 284, de 30 de dezembro de 2016,
considerando o disposto no Plano Estratgico do Tribunal de Contas da Unio para o

quinqunio 2015-2021, aprovado pela Portaria TCU 141, de 1 de abril de 2015, que definiu como
objetivo estratgico Induzir o aperfeioamento da gesto de riscos e controles internos da
Administrao Pblica;
considerando que as auditorias do setor pblico devem contribuir para a melhoria do

desempenho de rgos e entidades da Administrao Pblica Federal no cumprimento da sua misso
institucional de gerar, preservar e entregar valor pblico com eficincia, eficcia, efetividade,
transparncia e prestao de contas, e em conformidade com as leis e os regulamentos aplicveis, em
benefcio da sociedade;
considerando que a correta implementao e aplicao sistemtica, estruturada e oportuna

da gesto de riscos em organizaes do setor pblico proporciona segurana razovel para o alcance dos
propsitos acima; e
considerando a oportunidade de contribuir com orientaes e ferramentas para avaliar o

cumprimento das diretrizes estabelecidas na Instruo Normativa Conjunta MP/CGU N 1, de
11/5/2016, por parte dos rgos e entidades do Poder Executivo Federal, bem como com instrumento de
autoavaliao para os gestores pblicos aferirem a maturidade da gesto de riscos de organizaes
pblicas e identificarem aspectos que necessitam ser aperfeioados, resolve:
Art. 1o Fica aprovado o documento Roteiro de Auditoria de Gesto de Riscos para orientar
os auditores do setor pblico na conduo de auditorias desse tipo, na forma do Anexo nico desta
Portaria.
Art. 2 A Secretaria de Mtodos e Suporte ao Controle Externo (Semec) manter atualizado

o documento de que trata o artigo anterior, cabendo-lhe, ainda, o esclarecimento de dvidas e o
recebimento de sugestes para o seu aperfeioamento.
Art. 3 Esta Portaria entra em vigor na data de sua publicao.
CLUDIO SOUZA CASTELLO BRANCO

ANEXO NICO PORTARIA-SEGECEX N 9, DE 18 DE MAIO DE 2017.
SECRETARIA-GERAL DE CONTROLE EXTERNO

SECRETARIA-GERAL ADJUNTA DE CONTROLE EXTERNO
SECRETARIA DE MTODOS E SUPORTE AO CONTROLE EXTERNO
ROTEIRO DE AUDITORIA
DE GESTO DE RISCOS
SEGECEX/ADGECEX/SEMEC
MAIO 2017
Copyright 2017, Tribunal de Contas de Unio
<www.tcu.gov.br>
Permite-se a reproduo desta publicao, em parte ou no todo, sem

alterao do contedo, desde que citada a fonte e sem fins comerciais.
RESPONSABILIDADE PELO CONTEDO

Tribunal de Contas da Unio
Secretaria de Mtodos e Suporte ao Controle Externo da Secretaria-Geral de Controle Externo
Brasil. Tribunal de Contas da Unio.

Roteiro de Auditoria de Gesto de Riscos / Tribunal de Contas da Unio. Braslia : TCU, Secretaria de
Mtodos e Suporte ao Controle Externo, 2017.
123 p.
1. Gesto de riscos governana. 2. Gesto de riscos accountability. 3. Auditoria metodologia. I.

Ttulo.
Ficha catalogrfica elaborada pela Biblioteca Ministro Ruben Rosa

SUMRIO
1. INTRODUO ................................................................................................................................................. 1
1.1. FUNDAMENTO E PROPSITO DO ROTEIRO .............................................................................................. 1

1.2. CONCEITOS FUNDAMENTAIS ........................................................................................................................ 2
1.3. ABORDAGENS DO RISCO EM TRABALHOS DO TCU ................................................................................ 2
1.3.1. Avaliao de riscos para o plano de controle externo ................................................................. 2
1.3.2. Avaliao de riscos em levantamentos ....................................................................................... 3
1.3.3. Avaliao de riscos em auditorias ............................................................................................... 3
1.3.4. Auditoria de gesto de riscos ...................................................................................................... 3
1.4. COMO USAR ESTE ROTEIRO ......................................................................................................................... 3
2. IMPORTNCIA DA GESTO DE RISCOS .................................................................................................. 5
2.1. RELAO DA GESTO DE RISCOS COM A ACCOUNTABILITY PBLICA ............................................ 5

2.2. RELAO DA GESTO DE RISCOS COM A GOVERNANA .................................................................... 6
3. VISO GERAL DA GESTO DE RISCOS ................................................................................................... 7
3.1. PRINCPIOS, ESTRUTURA E COMPONENTES ........................................................................................... 8

3.2. PAPIS E RESPONSABILIDADES .................................................................................................................. 8
3.3. AS TRS LINHAS DE DEFESA ...................................................................................................................... 13
4. MODELOS DE GESTO DE RISCOS ....................................................................................................... 15
4.1. COSO GRC 2004 GERENCIAMENTO DE RISCOS ESTRUTURA INTEGRADA ............................. 16

4.2. COSO GRC 2016 ALINHANDO RISCO COM ESTRATGIA E DESEMPENHO .................................. 17
4.3. ISO 31000 GESTO DE RISCOS PRINCPIOS E DIRETRIZES ......................................................... 19
4.4. THE ORANGE BOOK PRINCIPLES AND CONCEPTS ............................................................................ 20
5. PROCESSO DE GESTO DE RISCOS ..................................................................................................... 21
5.1. VISO GERAL DO PROCESSO DE GESTO DE RISCOS ....................................................................... 21

5.2. COMUNICAO E CONSULTA ..................................................................................................................... 22
5.3. ESTABELECIMENTO DO CONTEXTO ......................................................................................................... 22
5.4. PROCESSO DE AVALIAO DE RISCOS ................................................................................................... 23
5.4.1. Identificao de riscos ............................................................................................................... 23
5.4.2. Anlise de riscos ....................................................................................................................... 24
5.4.3. Avaliao de riscos ................................................................................................................... 31
5.4.4. Tratamento de riscos ................................................................................................................. 32
5.5. MONITORAMENTO E ANLISE CRTICA .................................................................................................... 33
6. MODELO DE AVALIAO DO TCU ........................................................................................................... 34
6.1. DIMENSES DO MODELO ............................................................................................................................. 34

6.1.1. Ambiente ................................................................................................................................... 34
6.1.2. Processos.................................................................................................................................. 37
6.1.3. Parcerias ................................................................................................................................... 38
6.1.4. Resultados ................................................................................................................................ 38
6.2. DETERMINAO DO NVEL DE MATURIDADE ......................................................................................... 39
6.2.1. Avaliando os ndices de maturidade de cada aspecto .............................................................. 39
6.2.2. Avaliando os ndices de maturidade de cada dimenso ........................................................... 39
6.2.3. Determinando o nvel de global da gesto de riscos ................................................................. 40
7. PADRES GERAIS DA AUDITORIA DE GESTO DE RISCOS ........................................................... 41
7.1. OBJETO DA AUDITORIA ................................................................................................................................. 41

7.2. OBJETIVOS DA AUDITORIA .......................................................................................................................... 41
7.3. TIPO DO TRABALHO E NVEL DE ASSEGURAO .................................................................................. 42
7.4. TIPO DE RELATRIO ...................................................................................................................................... 42
7.5. CRITRIOS DE AUDITORIA ........................................................................................................................... 42
7.6. PROCEDIMENTOS DE AUDITORIA .............................................................................................................. 43
7.7. AVALIAO DA EVIDNCIA DE AUDITORIA .............................................................................................. 43
7.8. DOCUMENTAO DA AUDITORIA............................................................................................................... 44
8. O PROCESSO DE AUDITORIA DE GESTO DE RISCOS .................................................................... 45
8.1. VISO GERAL DO PROCESSO E FLUXO DO TRABALHO ...................................................................... 45

8.2. ENTENDIMENTO DA ORGANIZAO ......................................................................................................... 46
8.2.1. Objetivos da obteno de entendimento da organizao .......................................................... 46
8.2.2. Procedimentos para obteno de entendimento ....................................................................... 47
8.2.3. Documentao do entendimento............................................................................................... 49
8.3. PLANEJAMENTO DA AUDITORIA ..................................................................................................... 49
8.3.1. Definio da estratgia global de auditoria ............................................................................... 49
8.3.2. Determinao da materialidade................................................................................................. 51
8.3.3. Elaborao do Plano de Auditoria ............................................................................................. 51
8.3.4. Elaborao da Matriz de Planejamento ..................................................................................... 52
8.4. EXECUO DA AUDITORIA .............................................................................................................. 53
8.4.1. Aplicao dos procedimentos e instrumentos de coleta de dados ............................................ 53
8.4.2. Avaliao das evidncias e concluses .................................................................................... 53
8.5. RELATRIO DA AUDITORIA ............................................................................................................. 54
8.5.1. Comentrios de gestores .......................................................................................................... 56
8.5.2. Propostas de encaminhamento ................................................................................................. 56
9. GLOSSRIO .................................................................................................................................................. 57
10. REFERNCIAS ............................................................................................................................................. 62
11. APNDICES .................................................................................................................................................. 67
APNDICE I CRITRIOS PARA AVALIAO DA MATURIDADE EM GESTO DE RISCOS ........................... 67

APNDICE II MATRIZ DE PLANEJAMENTO ............................................................................................................ 87
1. INTRODUO
1.1. FUNDAMENTO E PROPSITO DO ROTEIRO
1. Desde 2011, o TCU vem estabelecendo objetivos estratgicos voltados para a promoo e
induo de prticas de gesto de riscos na administrao pblica. O plano estratgico em vigor
(PET 2015-2021) contm o objetivo de:
Induzir o aperfeioamento da gesto de riscos e

controles internos da Administrao Pblica.
2. Conhecer o nvel de maturidade e identificar os aspectos da gesto de riscos que necessitam

ser aperfeioados nas organizaes pblicas constitui um subsdio relevante para que o TCU
possa fazer recomendaes e monitorar planos de ao com vistas a aprimorar esse importante
componente da governana na administrao pblica.
3. Com esse objetivo, o TCU realizou levantamento, entre novembro de 2012 e fevereiro de 2013,
envolvendo 65 entidades da administrao federal indireta, para avaliar a maturidade da gesto
de riscos nessas organizaes e desenvolver um indicador que pudesse ser aplicado para medir
o nvel de maturidade de entidades pblicas na gesto de riscos (BRASIL, 2013). Para isso foi
concebido um modelo de avaliao que incorpora critrios das melhores prticas internacionais
em uso no setor pblico, notadamente os modelos COSO GRC (COSO, 2004), britnico (UK,
2004 e 2009) e a norma ABNT NBR ISO 31000 Gesto de Riscos princpios e diretrizes
(ABNT, 2009). Adicionalmente, foram realizadas auditorias em sete entidades selecionadas
do levantamento, com o objetivo de desenvolver o mtodo e os papis de trabalho para
conduzir auditorias de gesto de riscos, com base nos critrios do modelo de avaliao
desenvolvido. Este roteiro de auditoria foi elaborado a partir da experincia adquirida nesses
trabalhos, com o propsito de:
a) apoiar a avaliao da maturidade da gesto de riscos de organizaes pblicas e a

identificao de aspectos que necessitam ser aperfeioados; e
b) fornecer orientao e disponibilizar ferramentas para a realizao de auditorias de gesto

de riscos em organizaes pblicas, de maneira eficiente e eficaz, bem como orientar sobre
a forma e o contedo do relatrio.
Pgina | 1
1.2. CONCEITOS FUNDAMENTAIS
4. So conceitos-chaves para iniciar a leitura deste roteiro1:

a) Evento um incidente ou uma ocorrncia de fontes internas ou externas organizao,
que podem impactar a realizao de objetivos de modo negativo, positivo ou ambos.
b) Risco possibilidade de ocorrncia de um evento que afete adversamente a realizao de
objetivos.
c) Oportunidade possibilidade de ocorrncia de um evento que afete positivamente a
realizao de objetivos.
d) Risco inerente nvel de risco antes da considerao de qualquer ao de mitigao.
e) Risco residual nvel de risco depois da considerao das aes adotadas pela gesto (por
exemplo, controles internos) para reduzir o risco inerente.
f) Apetite a risco expresso ampla de quanto risco uma organizao est disposta a
enfrentar para implementar sua estratgia, atingir seus objetivos e agregar valor para as
partes interessadas, no cumprimento de sua misso.
g) Tolerncia a risco nvel de variao aceitvel no desempenho em relao meta para o

cumprimento de um objetivo especfico, em nvel ttico ou operacional.
1.3. ABORDAGENS DO RISCO EM TRABALHOS DO TCU
5. O risco inerente a todas as atividades humanas, em todos os campos. No mbito da gesto de

recursos pblicos, o risco est presente tanto nas atividades que envolvem a aplicao desses
recursos, como naquelas que envolvem a fiscalizao e o controle da sua boa e regular
aplicao, ambas relacionadas atuao do Tribunal. Disso decorrem variadas abordagens do
risco nos trabalhos do TCU, destacando-se principalmente as quatro a seguir:
1.3.1. Avaliao de riscos para o plano de controle externo
6. Avaliao de riscos que afetam objetos de nvel macro, presentes no universo do controle
externo, tais como polticas, programas, projetos e atividades governamentais. O objetivo da
avaliao de riscos para o plano de controle externo revelar quais situaes so mais
importantes e requerem a atuao do TCU, selecionar os objetos de controle expostos a maiores
riscos e estabelecer prioridades para as aes de controle externo.
1
Para outros termos relacionados terminologia de risco, consulte o Glossrio adicionado ao final deste documento ou a norma
ABNT ISO GUIA 73: Gesto de Riscos: Vocabulrio (ABNT, 2009a).
Pgina | 2
1.3.2. Avaliao de riscos em levantamentos
7. Avaliao de riscos relacionados a um objeto especfico de controle externo, com o objetivo

de revelar as reas desses objetos que esto expostas a riscos significativos, analisar como a
gesto responde a esses riscos, com vistas a prioriz-las para futuros trabalhos, bem como
avaliar a viabilidade da realizao de fiscalizaes.
1.3.3. Avaliao de riscos em auditorias
8. Avaliao de riscos realizada na fase de planejamento de auditorias, com objetivo de subsidiar

a definio do escopo e as questes de auditoria (objetivos de auditoria especficos), selecionar
os procedimentos de auditoria que sejam os mais eficientes e eficazes para abord-los e
determinar a sua natureza, poca e extenso, a fim de reduzir ou administrar o risco de chegar
a concluses inapropriadas e fornecer um relatrio de auditoria que seja inadequado s
circunstncias (ISSAI 100, 40 e 46). Geralmente esse processo envolve a:
a) identificao dos objetivos do objeto de auditoria no contexto dos objetivos da organizao
e anlise dos riscos inerentes associados, que sejam relevantes para o trabalho;
b) estimativa do risco de controle mediante avaliao das respostas que a gesto adota para
mitigar os riscos identificados e avaliados como significativos, incluindo o desenho e a
implementao de controles internos;
c) estimativa da significncia dos riscos que ainda remanescem aps considerado o efeito das
respostas adotadas pela gesto, mediante combinao dos dois riscos anteriores; e
d) definio do escopo, das questes de auditoria (objetivos especficos) e da estratgia de
auditoria, focando os riscos de maior significncia e os controles-chaves, de modo a
satisfazer os objetivos do trabalho com o nvel de confiana requerido.
1.3.4. Auditoria de gesto de riscos
9. Auditoria realizada com o objetivo de avaliar a maturidade da gesto de riscos em organizaes

pblicas e identificar os aspectos que necessitam ser aperfeioados, mediante avaliao dos
princpios, da estrutura e demais elementos do processo de gerenciamento de riscos colocados
em prtica pela organizao para identificar, analisar, avaliar, tratar e comunicar riscos que
possam impactar o alcance dos seus objetivos e, por conseguinte, os resultados que devem ser
entregues sociedade na forma de bens e servios pblicos. Este roteiro trata dessa abordagem.
1.4. COMO USAR ESTE ROTEIRO
10. O uso deste roteiro no dispensa, de forma alguma, a observncia dos padres e a conformidade
Pgina | 3
com os requisitos estabelecidos no Manual de Auditoria Operacional (BRASIL, 2010), nas
NAT (BRASIL, 2011) e nas ISSAI correspondentes auditoria operacional, ao contrrio, o
roteiro deve ser lido e seguido em conjunto com esses documentos, buscando-se orientaes
adicionais ou mais abrangentes, a menos que o assunto seja especificamente e exaustivamente
tratado no roteiro. Alm desta introduo, o roteiro est organizado nos seguintes captulos:
O captulo 2 descreve a importncia da gesto de riscos para apoiar a governana e a gesto

das organizaes do setor pblico no cumprimento das suas obrigaes de accountability,
destacando as caractersticas, as incertezas e os desafios envolvidos no seu cumprimento.
O captulo 3 fornece uma viso geral da gesto de riscos, tratando dos princpios, da
estrutura e do processo de modo a fornecer entendimento conceitual da gesto de riscos
como objeto de auditoria.
O captulo 4 apresenta as caractersticas bsicas dos principais modelos reconhecidos
internacionalmente, que so utilizados pelas organizaes para implementar e avaliar uma
gesto de riscos de forma consistente e sistematizada.
O captulo 5 descreve o processo de gesto de riscos, detalha as suas etapas e as principais
atividades em cada etapa, com o objetivo de fornecer uma base para que os auditores
possam avaliar a qualidade dos processos de gesto de riscos das organizaes.
O captulo 6 apresenta o modelo de avaliao da maturidade organizacional em gesto de
riscos desenvolvido pelo TCU e o seu mtodo de determinao do nvel de maturidade.
O capitulo 7 descreve as caractersticas especficas, os objetivos e os padres gerais da
auditoria de gesto de riscos, enquanto o captulo 8 proporciona o mtodo para a sua
realizao.
No captulo 9 disponibilizado um glossrio com definies de termos aplicveis gesto
de riscos, visando facilitar a leitura e compreenso do roteiro.
No captulo 10 encontram-se as referncias utilizadas na elaborao do roteiro.
Finalmente, o captulo 11, traz dois apndices com ferramentas para facilitar a realizao
das auditorias de gesto de riscos de maneira eficiente e eficaz: os critrios para avaliao
da gesto de riscos e as suas fontes, e a matriz de planejamento para realizar a avaliao.
Acompanha ainda o roteiro uma planilha em Excel para ajudar o auditor a registrar o
resultado final da avaliao das evidncias de auditoria e calcular automaticamente os
ndices de maturidade de cada aspecto, bem como determinar o nvel de maturidade global
da gesto de riscos da organizao.
Pgina | 4
2. IMPORTNCIA DA GESTO DE RISCOS
11. Este captulo destaca a importncia da gesto de riscos para apoiar os agentes da governana
e da gesto das organizaes pblicas no cumprimento de suas responsabilidades de gerar,
preservar e entregar valor pblico em benefcio da sociedade (accountability).
12. A busca dos objetivos de uma organizao pblica envolve riscos decorrentes da natureza de
suas atividades, de realidades emergentes, de mudanas nas circunstncias e nas demandas
sociais, da prpria dinmica da administrao pblica, bem como da necessidade de mais
transparncia e prestao de contas e de cumprir variados requisitos legais e regulatrios.
13. Assim, as organizaes pblicas necessitam gerenciar riscos, identificando-os, analisando-os

e, em seguida, avaliando se eles devem ser modificados por algum tratamento, de maneira a
propiciar segurana razovel para que os objetivos sejam alcanados.
14. A gesto de riscos corretamente implementada e aplicada de forma sistemtica, estruturada e

oportuna gera benefcios que impactam diretamente cidados e outras partes interessadas da
organizao ao viabilizar o adequado suporte s decises de alocao e uso apropriado dos
recursos pblicos, o aumento do grau de eficincia e eficcia no processo de criao, proteo
e entrega de valor pblico, otimizando o desempenho e os resultados entregues sociedade.
2.1. RELAO DA GESTO DE RISCOS COM A ACCOUNTABILITY PBLICA
15. O elemento basilar da accountability pblica o dever que tm as pessoas ou entidades s

quais se tenha confiado a gesto de recursos pblicos, de assumir responsabilidades pela
realizao de objetivos na implementao de polticas, no fornecimento de bens e servios de
interesse pblico, e de prestar contas sociedade e a quem lhes delegou essas responsabilidades
sobre o desempenho, os resultados obtidos e o uso apropriado dos recursos. ainda obrigao
de demonstrar que administrou ou controlou os recursos mediante estratgias que permitiriam
segurana razovel do alcance desses objetivos. O no cumprimento dessas obrigaes de
accountability cada vez mais percebido pela sociedade como quebra de responsabilidades
confiadas.
16. Para cumprir tais obrigaes, a gesto estratgica das organizaes pblicas (os rgos de
governana e a alta administrao) define o direcionamento estratgico e estabelece a liderana
para que os rgos e as entidades do setor pblico possam cumprir suas misses. A gesto
ttica e operacional, por sua vez, implementa a estratgia para realizar os objetivos.
17. As aes da governana e da gesto, de forma integrada, buscam entregar o melhor valor para
Pgina | 5
os cidados na forma de polticas, bens e servios pblicos que atendam s suas necessidades
e expectativas legtimas, e apresentem um retorno condizente com os recursos colocados sua
disposio, oriundos dos tributos arrecadados da sociedade e de outras fontes de recursos que
oneram o cidado de forma direta ou indireta, como o endividamento pblico.
18. Para cumprir os objetivos inerentes s obrigaes de accountability, tanto a tomada de deciso
na definio da estratgia, por parte dos rgos de governana e da alta administrao, e a sua
implementao, por parte da gesto executiva, enfrentam influncias de fatores internos e
externos, que tornam incerto se e quando tais objetivos sero atingidos. O efeito que essa
incerteza tem sobre os objetivos da organizao chamado de risco (ABNT, 2009).
2.2. RELAO DA GESTO DE RISCOS COM A GOVERNANA
19. O desafio da governana nas organizaes pblicas determinar quanto risco aceitar na busca
do melhor valor para os cidados e outras partes interessadas, o que significa prestar o servio
de interesse pblico da melhor maneira possvel, equilibrando riscos e benefcios (INTOSAI,
2007). O instrumento da governana para lidar com esse desafio a gesto de riscos, um
processo estratgico e fundamental para as organizaes do setor pblico, e um componente
relevante de seus sistemas de governana (BRASIL, 2014).
20. Uma gesto de riscos eficaz melhora as informaes para o direcionamento estratgico e para
as tomadas de decises de responsabilidade da governana, contribui para a otimizao do
desempenho na realizao dos objetivos de polticas e servios pblicos e, consequentemente,
para o aumento da confiana dos cidados nas organizaes pblicas, alm de prevenir perdas
e auxiliar na gesto de incidentes e no atendimento a requisitos legais e regulamentares
(BRASIL, 2014).
21. Integrar a gesto de riscos como elemento-chave da responsabilidade gerencial, implantar uma
abordagem de controle interno baseada no risco e incluir a gesto de riscos nos programas de
apoio ao desenvolvimento das competncias dos gestores pblicos so algumas das
recomendaes do relatrio de Avaliao da OCDE sobre o Sistema de Integridade da
Administrao Pblica Federal Brasileira - Gerenciando riscos por uma administrao
pblica mais ntegra, que tambm enfatiza a necessidade de promoo de uma liderana
comprometida com a criao de uma cultura de gesto que promova a gesto de riscos como
ferramenta estratgica do sistema de governana (OCDE, 2011).
Pgina | 6
3. VISO GERAL DA GESTO DE RISCOS
22. Este captulo descreve os fundamentos e os aspectos estruturais da gesto de riscos, visando
fornecer um entendimento conceitual bsico da gesto de riscos como objeto de auditoria,
sem a pretenso de cobrir todo o conhecimento necessrio para uma equipe conduzir com xito
uma auditoria de gesto de riscos.
23. Os membros da equipe designada para realizar uma auditoria de gesto de riscos devem
possuir, coletivamente, o conhecimento, as habilidades e a competncia necessrios para
concluir com xito a auditoria (ISSAI 100, 39; NAT, 52). Portanto, deve-se buscar satisfazer
esses requisitos por meio de treinamento, compartilhamento de experincias e outros recursos
oferecidos pelo Tribunal, como tutorias, e, principalmente, por meio do estudo do material
indicado nas referncias deste roteiro.
24. Em termos gerais, gesto de riscos refere-se arquitetura (princpios, estrutura e processo)
para gerenciar riscos eficazmente, enquanto gerenciar riscos refere-se aplicao dessa
arquitetura para o gerenciamento dos riscos nos diversos contextos especficos em que os
objetivos de uma organizao so perseguidos (ABNT, 2009).
25. A gesto de riscos compreende todas as atividades coordenadas para dirigir e controlar uma
organizao no que se refere ao risco. No uma atividade autnoma, separada das demais,
mas sim parte de todos os processos organizacionais, incluindo o planejamento estratgico, os
projetos e processos de gesto em todos os nveis da organizao (ABNT, 2009). parte
integrante e indissocivel das responsabilidades administrativas e inclui atividades como:
a) estabelecer o ambiente apropriado, incluindo a estrutura para gerenciar riscos;
b) definir, articular e comunicar os objetivos e o apetite a risco;
c) identificar potenciais ameaas ou oportunidades ao cumprimento dos objetivos;
d) avaliar os riscos (i.e., determinar o impacto e a probabilidade da ameaa ocorrer);
e) selecionar e implantar respostas aos riscos, por meio de controles e outras aes;
f) comunicar as informaes sobre os riscos de forma consistente em todos os nveis;
g) monitorar e coordenar os processos e os resultados do gerenciamento de riscos; e
h) fornecer avaliao (assurance) quanto eficcia com que os riscos so gerenciados
(ABNT, 2009; IIA, 2009a).
26. Essas atividades envolvem responsabilidades de pessoas, cargos e funes em todos os nveis
da organizao, conforme abordado no tpico 3.2.
Pgina | 7
3.1. PRINCPIOS, ESTRUTURA E COMPONENTES
27. Princpios da gesto de riscos representam as condies que precisam estar incorporadas aos
componentes ou estrutura e ao processo de gesto de riscos, para que ela seja eficaz e se torne
parte da cultura da organizao, traduzindo-se em um conjunto compartilhado de valores,
comportamentos e prticas que caracterizam como a entidade aborda o risco.
28. Estrutura de gesto de riscos a maneira como a entidade se organiza para gerenciar os
riscos do negcio, representando o conjunto de componentes e arranjos organizacionais para
a concepo, a implementao, o monitoramento, a anlise crtica e a melhoria contnua da
gesto de riscos por toda a organizao, incluindo a poltica de gesto de riscos, os manuais,
os recursos, a definio de responsabilidades e objetivos que permitiro incorporar a gesto de
riscos em todos os nveis da organizao (ABNT, 2009).
29. Gerenciamento de riscos representa as atividades realizadas pelas pessoas em todos os nveis
da organizao, desde a definio da estratgia at as atividades operacionais, aplicando os
princpios, a estrutura e o processo de gesto de riscos para dar suporte tomada de decises
e implementao de aes para manter os riscos dentro do nvel de apetite e das tolerncias
a riscos estabelecidos pela administrao, proporcionando, assim, segurana razovel do
cumprimento dos objetivos da organizao (INTOSAI, 2007).
3.2. PAPIS E RESPONSABILIDADES
30. Cada pessoa na organizao tem uma parcela de responsabilidade na gesto de riscos e todo o
pessoal deve receber uma mensagem clara da governana e da alta administrao de que as
responsabilidades de gerenciamento de riscos devem ser levadas a srio (INTOSAI, 2007).
Responsabilidades claras devem ser definidas para que cada grupo de profissionais (constante
da ilustrao da figura 3.1) entenda os limites de suas responsabilidades e como os seus cargos
se encaixam na estrutura geral de gesto de riscos e controle da organizao (IIA, 2013).
31. A alta administrao e os rgos de governana tm, coletivamente, a responsabilidade e o

dever de prestar contas sobre o estabelecimento dos objetivos da organizao, a definio de
estratgias para alcan-los e o estabelecimento de estruturas e processos de governana para
melhor gerenciar os riscos durante a realizao dos objetivos (IIA, 2013). , portanto, uma
responsabilidade primria dessas instncias assegurar a existncia, o monitoramento e a
avaliao de um efetivo sistema de gesto de riscos e controle interno, bem como utilizar as
informaes resultantes desse sistema para apoiar seus processos decisrios (TCU, 2014).
Pgina | 8
Figura 3.1: Sistema de governana de rgos e entidades da administrao pblica (TCU, 2014).
32. Na prtica, os rgos de governana decidem e delegam a implantao e operao da gesto

de riscos aos executivos da gesto, assumindo um papel de superviso desses processos. Alm
disso, usam os servios de assegurao da auditoria interna para monitorar e avaliar a eficcia
dos processos de gerenciamento de riscos e controles por toda a organizao.
33. A superviso da gesto de riscos pelos rgos de governana envolve:

a) saber at que ponto a administrao estabeleceu um gerenciamento de risco eficaz;
b) estar ciente e de acordo com o apetite a risco;
c) revisar o portflio de riscos assumidos em contraste com o apetite a risco; e
d) ser notificado em relao aos riscos mais significativos e saber se a administrao est
respondendo a esses riscos adequadamente (COSO, 2004).
Pgina | 9
34. A administrao diretamente responsvel pela concepo, estruturao e implementao da
gesto de riscos. Em qualquer organizao, o presidente ou dirigente mximo o depositrio
final dessa responsabilidade, cabendo-lhe assumir a iniciativa.
35. Os demais executivos apoiam a cultura e gerenciam os riscos dentro de suas esferas de
responsabilidade, conforme as tolerncias a risco estabelecidas, alinhadas ao apetite a risco da
organizao. So eles e os seus gerentes nos nveis operacionais que tm a propriedade dos
riscos e a responsabilidade primria pela identificao e pelo gerenciamento dos riscos em suas
reas, conduzindo procedimentos de risco diariamente e mantendo controles internos eficazes
sobre as operaes (COSO, 2004).
36. Os funcionrios da linha de frente, que lidam diariamente com questes operacionais crticas,
esto em melhores condies para reconhecer e comunicar riscos que podem surgir e essa
responsabilidade geralmente atribuda a todos os funcionrios, cujo cumprimento exige
canais de comunicao para cima e clara disposio para ouvir (INTOSAI, 2007).
37. Em organizaes grandes, e dependendo de fatores como o ambiente e o setor de atuao, a

complexidade das operaes, a natureza das atividades e o grau de regulamentao, pode haver
uma funo separada para coordenar as atividades de gesto de riscos por toda a organizao
e para fornecer habilidades e conhecimentos especializados.
38. A funo de coordenar as atividades de gesto de riscos mais bem-sucedida quando
claramente estabelecida para dar suporte e facilitar os gestores a estabelecer processos de
gerenciamento de riscos que sejam eficazes em suas reas de responsabilidade. So
responsabilidades dessa funo, por exemplo:
e) fornecer metodologias e ferramentas para unidades de negcios com a finalidade de

identificar, avaliar e gerenciar riscos;
f) definir funes e responsabilidades pela gesto de riscos nas unidades de negcio;
g) promover competncia em gerenciamento de riscos;
h) orientar a integrao do gerenciamento de riscos com outras atividades de gesto;
i) estabelecer uma linguagem uniforme de gesto de riscos, que inclua medidas comuns de
probabilidade, impacto e categorias de riscos;
j) comunicar ao presidente e diretoria executiva o andamento do gerenciamento de riscos

(COSO, 2004; IIA, 2009a).
Pgina | 10
39. Alm disso, pode haver uma funo de compliance que monitora riscos especficos de no
conformidade com leis e regulamentos, reportando diretamente aos rgos de governana,
reguladores ou alta administrao, ou mltiplas funes com responsabilidades por tipos
especficos de monitoramento da conformidade, como sade e segurana, meio ambiente,
licitaes e contratos, controle de qualidade; bem como uma funo de controladoria que
monitore os riscos financeiros e questes de reporte financeiro (IIA, 2013).
40. Em organizaes pequenas, com operaes e regulamentao de baixa complexidade, pode ser
que no exista uma estrutura ou sistema formal de gesto de riscos e a responsabilidade pela
coordenao das atividades de gerenciamento de riscos pode ser atribuda a uma rea que cuida
de planejamento ou controladoria, ou ainda a uma assessoria do dirigente mximo.
41. A funo de auditoria interna tem o papel de auxiliar a organizao a realizar seus objetivos a
partir da aplicao de uma abordagem sistemtica e disciplinada para avaliar e melhorar a
eficcia dos processos de gerenciamento de riscos, controle e governana (IIA, 2009). A Figura
3.2 indica quais so os papis fundamentais que auditoria interna deve assumir; os que pode
assumir, com salvaguardas sua independncia e a objetividade dos auditores; e os que no
deve assumir, porque comprometeriam esses valores fundamentais para que a auditoria fornea
assegurao, livre que quaisquer influncias, sobre a eficcia dos processos de gerenciamento
de riscos e controles da organizao.
Figura 3.2: O papel da auditoria interna no gerenciamento de riscos (IIA, 2009a).
Pgina | 11
42. O papel fundamental da auditoria interna na gesto de riscos fornecer assegurao aos rgos
de governana e alta administrao, bem como aos rgos de controle e regulamentao, de
que os processos de gerenciamento de riscos operam de maneira eficaz e que os riscos
significativos do negcio so gerenciados adequadamente em todos os nveis da organizao.
A auditoria interna deve ter uma compreenso clara da estratgia da organizao e de como
ela executada, quais os riscos associados e como esses riscos esto sendo gerenciados. As
atividades indicadas esquerda da figura representam esse papel.
43. A estratgia da organizao deve ser um elemento fundamental no desenvolvimento dos planos
anuais de auditoria, de modo a alinhar as atividades da auditoria interna com as prioridades da
organizao e a garantir que os seus recursos so alocados em reas de maior risco (IIA 2120-
3). Alm disso, a fim de habilitar a auditoria interna a auxiliar a administrao a identificar os
riscos mais significativos para o alcance dos objetivos da organizao, seus trabalhos devem
utilizar uma abordagem baseada em risco, viabilizando que sejam efetivamente formulados,
implementados e monitorados planos de ao para o tratamento dos riscos identificados.
44. Quando uma organizao no dispe de um processo formal de gesto de riscos, a auditoria
interna deve levar o fato ateno dos rgos de governana e da alta administrao,
recomendando o estabelecimento de tal processo, podendo assumir um envolvimento direto
nos primeiros estgios de sua implementao, mediante trabalhos de consultoria, como
indicado no centro da Figura 3.2.
Em situaes em que a organizao no tenha processos formais de gesto

de risco, o responsvel pela auditoria precisa discutir formalmente com a
administrao e o conselho as suas obrigaes de entender, gerenciar e
monitorar os riscos da organizao (IIA 2009a, Norma 2120-1, 3).
45. Entretanto, se a auditoria interna ainda no tiver adotado uma abordagem baseada em risco,
representada pelas atividades de assegurao descritas esquerda da figura, improvvel que
esteja apta a desempenhar as atividades de consultoria descritas no centro da figura (IIA,
2009a).
46. medida que a maturidade da gesto de riscos da organizao evolui e o gerenciamento de

riscos torne-se mais inserido nas operaes do negcio, o papel da auditoria interna em
promover o gerenciamento de riscos vai se reduzindo, voltando a se concentrar em seu papel
de assegurao (IIA, 2009a).
Pgina | 12
3.3. AS TRS LINHAS DE DEFESA
47. Em entidades onde no h uma estrutura ou sistema formal de gesto de riscos, como pode ser
o caso de organizaes pequenas (pargrafo 40), ainda assim possvel ajudar a aumentar a
compreenso e a eficcia da abordagem de risco da organizao, melhorando a delegao e a
coordenao das tarefas essenciais de gerenciamento de riscos mediante a utilizao de uma
abordagem como a das Trs Linhas de Defesa (IIA, 2013).
48. A abordagem das Trs Linhas de Defesa, embora no seja um modelo de gesto de riscos,
uma forma simples e eficaz para melhorar a comunicao e a conscientizao sobre os papis
e as responsabilidades essenciais de gerenciamento de riscos e controles, aplicvel a qualquer
organizao no importando o seu tamanho ou a sua complexidade ainda que no exista
uma estrutura ou sistema formal de gesto de riscos.
49. Por essa abordagem, h trs linhas de defesa, ou grupos de responsveis envolvidos com o
gerenciamento de riscos, como explanado a seguir:
1) Funes que gerenciam e tm propriedade de riscos (pargrafos 35-36): a gesto

operacional e os procedimentos dirios de controles constituem a primeira linha de defesa
no gerenciamento de riscos. A gesto operacional serve naturalmente como a primeira linha
de defesa, porque os controles so desenvolvidos como sistemas e processos sob sua
orientao e responsabilidade. nesse nvel que se identificam, avaliam e controlam riscos,
guiando o desenvolvimento e a implementao de polticas e procedimentos internos e
garantindo que as atividades estejam de acordo com as metas e objetivos.
2) Funes que supervisionam riscos (pargrafos 37-39 e 40): a segunda linha defesa
constituda por funes estabelecidas para garantir que a primeira linha funcione como
pretendido no tocante ao gerenciamento de riscos e controles. As funes especficas
variam muito entre organizaes e setores, mas so, por natureza, funes de gesto. Seu
papel coordenar as atividades de gesto de riscos, monitorar riscos especficos (funes
de compliance ou de conformidade), ajudar a desenvolver controles e ou monitorar riscos
e controles da primeira linha de defesa;
3) Funes que fornecem avaliaes independentes (pargrafos 41-46): a auditoria interna

constitui a terceira linha de defesa no gerenciamento de riscos, fornecendo avaliaes
(assegurao) independentes e objetivas sobre os processos de gerenciamento de riscos,
controle e governana aos rgos de governana e alta administrao, abrangendo uma
grande variedade de objetivos (incluindo eficincia e eficcia das operaes; salvaguarda
Pgina | 13
de ativos; confiabilidade e a integridade dos processos de reporte; conformidade com leis
e regulamentos) e elementos da estrutura de gerenciamento de riscos e controle interno em
todos os nveis da estrutura organizacional da entidade.
50. Embora os rgos de governana e a alta administrao (pargrafos 32-34) no estejam

considerados entre as trs linhas de defesa, nenhuma considerao sobre gerenciamento de
riscos estaria completa sem levar em conta, em primeiro lugar, os papis essenciais dessas duas
instncias, que so as principais partes interessadas e as que esto em melhor posio para
instituir e assegurar o bom funcionamento das trs linhas de defesa no processo de
gerenciamento de riscos e controles da organizao (IIA, 2013).
51. rgos de controle externo, reguladores, auditores externos e outros rgos externos esto fora
da estrutura da organizao, mas podem desempenhar um papel importante em sua estrutura
geral de governana e controle, podendo ser considerados linhas adicionais de defesa, que
fornecem avaliaes tanto s partes interessadas externas da organizao, como ao prprio
rgo de governana e alta administrao da entidade (IIA, 2013).
52. A Figura 3.3 ilustra como responsabilidades especficas so delegadas e coordenadas dentro
da organizao para que cada grupo de profissionais entenda seus papis, os limites de suas
responsabilidades e como seus cargos se encaixam na estrutura de gesto de riscos e controle,
fornecendo uma contribuio significativa para a abordagem de risco da organizao.
Figura 3.3: Modelo de Trs Linhas de Defesa (IIA, 2013).
Pgina | 14
4. MODELOS DE GESTO DE RISCOS
53. Para lidar com riscos e aumentar a chance de alcanar objetivos, as organizaes adotam desde
abordagens informais at abordagens altamente estruturadas e sistematizadas de gesto de
riscos, dependendo do seu porte e da complexidade de suas operaes. Este captulo apresenta
os principais modelos reconhecidos internacionalmente, que so utilizados pelas organizaes
para implementar e avaliar uma gesto de riscos de forma consistente e sistematizada.
54. Todavia, somente as caractersticas gerais dos modelos so apresentadas, devendo os membros
da equipe designada para realizar uma auditoria de gesto de riscos aprofundar o seu
entendimento a respeito de componentes, princpios e prticas recomendados por esses
modelos, mediante estudo do material indicado nas referncias deste roteiro e de outros
recursos oferecidos pelo TCU, conforme mencionado no pargrafo 23.
55. A implantao da gesto de riscos em uma organizao um processo de aprendizagem

organizacional, que comea com o desenvolvimento de uma conscincia sobre a importncia
de gerenciar riscos e avana com a implementao de prticas e estruturas necessrias gesto
eficaz dos riscos. O pice desse processo se d quando a organizao conta com uma
abordagem consistente para gerenciar riscos em atividades relevantes, e com uma cultura
organizacional profundamente aderente aos princpios e prticas da gesto de riscos.
56. Um princpio da gesto de riscos que ela deve ser feita sob medida, alinhada com o contexto
interno e externo da organizao e com o seu perfil de riscos. O desenho e a implementao
de estruturas e processos de gesto de riscos devem levar em considerao as necessidades
especficas da organizao em face dos objetivos que do suporte sua misso e dos riscos
associados, envolvendo aspectos como natureza, complexidade, estratgia, contexto, estrutura,
operaes, processos, funes, projetos, produtos, servios ou ativos e prticas empregadas
(ABNT, 2009). Em qualquer situao, importante que a organizao se apoie em modelos
reconhecidos como os apresentados neste captulo.
57. Adotar padres e boas prticas estabelecidos em modelos reconhecidos uma maneira eficaz
de estabelecer uma abordagem sistemtica, oportuna e estruturada para a gesto de riscos, que
contribua para a eficincia e a obteno de resultados consistentes (ABNT, 2009), evitando
que a organizao seja aparelhada com uma coleo de instrumentos e procedimentos
burocrticos, descoordenados, que mais do a falsa impresso da existncia de um sistema de
gesto de riscos e controle do que garantam efetivamente os benefcios desejados.
Pgina | 15
4.1. COSO GRC 2004 GERENCIAMENTO DE RISCOS ESTRUTURA INTEGRADA
58. O COSO o modelo de gesto de riscos predominante no cenrio corporativo internacional,

especialmente na Amrica do Norte, foi desenvolvido pela PricewaterhouseCoopers LLP, sob
encomenda do COSO Comit das Organizaes Patrocinadoras (Committe Of Sponsoring
Organizations of the Treadway Commission), com o propsito de fornecer uma estratgia de
fcil utilizao pelas organizaes para avaliar e melhorar o gerenciamento de riscos.
59. O modelo apresentado na forma de uma matriz tridimensional, demonstrando uma viso
integrada dos componentes que uma administrao precisa adotar para gerenciar riscos de
modo eficaz, no contexto dos objetivos e da estrutura em uma organizao.
Figura 4.1: Modelo de Gesto de Riscos COSO 2004 (COSO, 2007).
a) a face superior do cubo indica as categorias de objetivos que so comuns a todas as

organizaes, e que a gesto de riscos deve fornecer segurana razovel para seu alcance.
b) a face frontal indica os componentes que devem estar presentes e em funcionamento para
que a gesto de riscos seja eficaz. Esses componentes foram derivados da maneira ideal
como uma administrao deveria conduzir o negcio de uma organizao.
c) a face lateral representa a estrutura da organizao, incluindo unidades, reas, funes,

processos, projetos e todas as demais atividades que concorrem para a realizao de seus
objetivos, em todos os nveis. Os componentes de gerenciamento de riscos devem tambm
estar presentes e em funcionamento em cada uma dessas reas, funes e atividades, na
proporo requerida pelos seus riscos, com base em julgamento da administrao.
Pgina | 16
4.2. COSO GRC 2016 ALINHANDO RISCO COM ESTRATGIA E DESEMPENHO
60. Em junho de 2016, o COSO colocou em consulta pblica uma reviso do modelo de 2004,
adotando um novo ttulo Alinhando Risco com Estratgia e Desempenho para destacar
a importncia do gerenciamento de riscos tanto na definio quanto na execuo da estratgia
e no gerenciamento do desempenho organizacional. Com a incorporao dessa perspectiva, o
modelo proporciona maior alinhamento s expectativas em torno das responsabilidades da
governana e da alta administrao no cumprimento das suas obrigaes de accountability.
61. A reviso atualiza os componentes, adota princpios, simplifica definies, enfatiza o papel da
cultura e melhora o foco no valor: como as organizaes criam, preservam e entregam valor,
inserindo o gerenciamento de riscos nas trs dimenses fundamentais para a gesto eficaz de
uma organizao: (I) a misso, a viso e os valores fundamentais; (II) os objetivos estratgicos
e de negcios; e (III) o desempenho organizacional.
Figura 4.2: COSO Enterprise Risk Management Aligning Risk with Strategy and Performance - Public Exposure (COSO, 2016,
traduo prpria).
Pgina | 17
62. Com a reviso, o modelo passa a integrar o gerenciamento de riscos com outros processos da
organizao, especificamente os processos de: governana, definio da estratgia, definio
dos objetivos e gesto do desempenho, indo alm da tradicional aplicao do gerenciamento
de riscos corporativos nos vrios nveis da organizao (por exemplo, no nvel da entidade, de
unidades de negcios, divises etc.).
63. O modelo explora a gesto da estratgia e dos riscos corporativos a partir de trs perspectivas
diferentes, tornando mais claras as responsabilidades da governana e da alta administrao no
seu papel de supervisionar e no seu dever de se envolver no processo de gerenciamento do
risco corporativo de modo efetivo. As perspectivas exploradas so:
a) a possibilidade de os objetivos estratgicos e de negcios no se alinharem com a
misso, a viso e os valores fundamentais da organizao;
b) as implicaes da estratgica escolhida; e
c) os riscos na execuo da estratgia.
64. O novo modelo melhora o alinhamento da gesto de riscos com a gesto do desempenho,
explorando como as prticas de gerenciamento de riscos apoiam a identificao e avaliao de
riscos que impactam o desempenho, elevando ao nvel de princpio a necessidade de definir
variaes aceitveis no desempenho, tambm denominadas tolerncias a risco.
65. O modelo revisado reduz de oito para cinco os componentes do gerenciamento de riscos:
a) Governana de riscos e cultura
b) Risco, estratgia e definio de objetivos
c) Risco na execuo
d) Risco de informao, comunicao e divulgao
e) Monitoramento do desempenho do gerenciamento corporativo de risco
66. Associados aos componentes, foram adotados 23 princpios de gerenciamento de riscos, que
consistem em prticas que podem ser aplicadas de diferentes maneiras por diferentes
organizaes, independentemente de tamanho ou setor, e cuja implementao permitir que a
governana e a administrao tenham uma expectativa razovel de que a organizao entende
e capaz de gerenciar os riscos associados com a sua estratgia e os seus objetivos de negcio,
em um nvel aceitvel.
67. O COSO GRC 2004 continua sendo utilizado, porm a evoluo das prticas, para convergir
ao novo modelo, um esforo fortemente recomendvel.
Pgina | 18
4.3. ISO 31000 GESTO DE RISCOS PRINCPIOS E DIRETRIZES
68. A ISO 31000 fornece princpios e diretrizes para gerenciar qualquer tipo de risco em toda ou
em parte de qualquer organizao. Trata-se de uma norma geral, independentemente de
indstria, setor ou rea, e no concorre com outras normas sobre gesto de riscos em reas
especficas (ABNT, 2009).
69. Seus objetivos so servir como guia mestre em matria de gesto de riscos e harmonizar os
processos de gesto de riscos, fornecendo uma abordagem comum, que pode ser aplicada a
uma ampla gama de atividades, incluindo estratgias, decises, operaes, processos, funes,
projetos, produtos, servios e ativos (ABNT, 2009). Assim, sua lgica bastante simples e
estrutura-se em trs partes fundamentais inter-relacionadas: os princpios, a estrutura e o
processo de gesto de riscos, conforme ilustrado na Figura 4.3, a seguir.
Figura 4.3: ISO 31000:2009 - Relacionamento entre Princpios, Estrutura e Processo (ABNT, 2009).
70. Uma contribuio fundamental da ISO 31000 o detalhamento do processo de gesto de riscos,
abordado no Captulo 5 deste roteiro, cujo propsito fornecer uma abordagem comum para
a aplicao sistemtica de polticas, procedimentos e prticas s atividades de gesto de riscos
em organizaes de qualquer rea de atuao.
Pgina | 19
4.4. THE ORANGE BOOK PRINCIPLES AND CONCEPTS
71. O The Orange Book Management of Risk - Principles and Concepts, produzido e publicado
pelo HM Treasury Britnico, foi a principal referncia do programa de gerenciamento de riscos
do governo do Reino Unido, iniciado em 2001. O modelo tem como vantagens, alm de ser
compatvel com padres internacionais de gerenciamento de riscos, como COSO e ISO 31000,
apresentar uma introduo ao tema gerenciamento de riscos, tratando de forma abrangente e
simples um tema complexo.
72. Com base no Orange Book, o ento Ministrio do Planejamento, Oramento e Gesto produziu
o Guia de Orientao para o Gerenciamento de Riscos, para apoiar o Modelo de Excelncia do
Sistema de Gesto Pblica (GESPBLICA) e prover uma introduo ao tema gerenciamento
de riscos (BRASIL, 2013).
73. Em 2009, oito anos aps a edio do Orange Book, o governo britnico divulgou o Risk
Management Assessment Framework: a Tool for Departments (UK, 2009), uma ferramenta
para aferir a gesto de riscos nas organizaes governamentais daquele pas e identificar
oportunidades de melhoria, derivada de um modelo de excelncia de gesto utilizado por mais
de trinta mil organizaes, principalmente na Europa The EFQM Excellence Model (EFQM,
2012). A ferramenta estruturada em sete componentes (Figura 4.4) e, assim como este roteiro
do TCU, pode ser aplicada por examinadores externos ou auto aplicada pelos gestores.
Figura 4.4: Modelo de avaliao da gesto de riscos do Reino Unido (UK, 2009).
74. Por ter sido desenvolvido especificamente para o setor pblico e por tratar-se de ferramenta
com a mesma finalidade pretendida pelo TCU (avaliar a gesto de riscos e identificar
oportunidades de melhoria), o modelo foi considerado no desenvolvimento da base conceitual
do modelo de avaliao da maturidade em gesto de riscos do TCU.
Pgina | 20
5. PROCESSO DE GESTO DE RISCOS
75. Este captulo descreve o processo de gesto de riscos, detalha as suas etapas e as principais
atividades em cada etapa, de acordo com a norma ISO 31000, uma vez que essa norma tem o
propsito de harmonizar os processos de gesto de riscos entre os diversos modelos e fornecer
uma abordagem comum para aplicao em ampla gama de atividades (ABNT, 2009).
5.1. VISO GERAL DO PROCESSO DE GESTO DE RISCOS
76. O processo de gesto de riscos consiste na identificao, anlise e avaliao de riscos, na

seleo e implementao de respostas aos riscos avaliados, no monitoramento de riscos e
controles, e na comunicao sobre riscos com partes interessadas, internas e externas, durante
toda a aplicao do processo. Ele aplicvel a ampla gama das atividades da organizao em
todos os nveis, incluindo estratgias, decises, operaes, processos, funes, projetos,
produtos, servios e ativos, e suportado pela cultura e pela estrutura (ambiente) de gesto de
riscos da entidade.
77. As etapas do processo de gesto de riscos so as apresentadas na ilustrao a seguir, descritas

posteriormente nos subitens indicados entre parnteses na Figura 5.1.
Figura 5.1: Processo de gesto de riscos da ISO 31000 (ABNT, 2009).
Pgina | 21
5.2. COMUNICAO E CONSULTA
78. Durante todas as etapas ou atividades do processo de gesto de riscos deve haver uma efetiva
comunicao informativa e consultiva entre a organizao e as partes interessadas, internas e
externas, para:
a) auxiliar a estabelecer o contexto apropriadamente e assegurar que as vises e percepes
das partes interessadas, incluindo necessidades, suposies, conceitos e preocupaes
sejam identificadas, registradas e levadas em considerao;
b) auxiliar a assegurar que os riscos sejam identificados e analisados adequadamente,
reunindo reas diferentes de especializao;
c) garantir que todos os envolvidos estejam cientes de seus papis e responsabilidades, e
avalizem e apoiem o tratamento dos riscos.
79. Convm que seja desenvolvido um plano de comunicao e consulta interna e externa para
apoiar essa atividade, seja por meio de um documento formal ou de uma lista de verificao.
5.3. ESTABELECIMENTO DO CONTEXTO
80. O estabelecimento do contexto envolve o entendimento da organizao, dos objetivos e do

ambiente, inclusive do controle interno, no qual os objetivos so perseguidos, com o fim de
obter uma viso abrangente dos fatores que podem influenciar a capacidade da organizao
para atingir seus objetivos, bem como fornecer parmetros para a definio de como as
atividades subsequentes do processo de gesto de riscos sero conduzidas.
81. Contexto o ambiente no qual uma organizao2 busca atingir os seus objetivos e estes so
uma parte importante da definio do contexto, pois a gesto de riscos ocorre no contexto dos
objetivos da organizao. Assim, os objetivos do processo, do projeto ou da atividade que est
sendo objeto do processo de gesto de riscos devem ser considerados no contexto dos objetivos
da organizao como um todo, de modo a assegurar a identificao dos riscos do objeto que
sejam significativos para os objetivos da organizao.
82. Um dos primeiros passos da atividade de estabelecimento do contexto identificar os fatores

do ambiente, interno e externo, no qual a organizao persegue seus objetivos. No menos
importante a identificao das partes interessadas, bem como a identificao e a apreciao
das suas necessidades, expectativas legtimas e preocupaes, pois essas partes interessadas
2
O conceito de organizao aqui pode se referir a toda entidade ou parte dela, a um processo, como o planejamento estratgico,
ou a projetos, processos de trabalho, operaes, funes, decises, produtos, servios e ativos (ABNT, 2009).
Pgina | 22
devem ser includas em cada etapa ou ciclo do processo de gesto de riscos, por meio do
processo de comunicao e consulta, abordado no tpico anterior.
83. A documentao dessa etapa normalmente feita por meio de:

a) um relato conciso dos objetivos organizacionais, dos fatores crticos para que se tenha xito
e uma anlise dos fatores do ambiente interno e externo (SWOT, por exemplo);
b) anlise de partes interessadas e seus interesses (anlise de stakeholder, RECI, matriz de
responsabilidades, por exemplo);
c) critrios mais importantes com base nos quais os nveis de risco sero analisados e
avaliados: escalas de probabilidade; escalas de consequncias ou impactos; como ser
determinado se o nvel de risco tolervel ou aceitvel e se novas aes de tratamento so
necessrias, isto , diretrizes para priorizao e tratamento de (ou resposta a) riscos.
5.4. PROCESSO DE AVALIAO DE RISCOS
84. O processo de avaliao de riscos a parte do processo de gesto de riscos que compreende as
atividades de identificao, anlise e avaliao de riscos, descritas nos subitens a seguir.
5.4.1. Identificao de riscos
85. Identificao de riscos o processo de busca, reconhecimento e descrio de riscos, tendo

como base o contexto estabelecido e apoiado na comunicao e consulta com as partes
interessadas, internas e externas (ABNT, 2009). O objetivo produzir uma lista abrangente de
riscos, incluindo causas, fontes e eventos que possam ter um impacto na consecuo dos
objetivos identificados na etapa de estabelecimento do contexto.
86. Para produzir uma lista de riscos, deve-se trabalhar com um processo sistemtico e de modo
estruturado (mapa de processos, fluxogramas, estrutura analtica de projeto) porm, em
situaes no claramente estruturadas, como a identificao de riscos estratgicos, utilizam-se
processos de identificao mais genricos ou anlise de cenrios.
87. Em muitos casos, a identificao de riscos em mltiplos nveis til e eficiente. Em uma etapa
preliminar, pode-se adotar uma abordagem do tipo top-down para a identificao de riscos,
indo do mais geral para o mais especfico. Primeiro, identificam-se riscos em um nvel geral
ou superior, como ponto de partida para estabelecer prioridades para, em um segundo
momento, identificarem-se e analisarem-se riscos em nvel especfico e ou mais detalhado.
88. A identificao de riscos pode se basear em dados histricos, anlises tericas, opinies de
pessoas informadas e especialistas, necessidades das partes interessadas. Convm que pessoas
Pgina | 23
com conhecimento adequado sejam envolvidas na identificao de riscos e que a organizao
utilize ferramentas e tcnicas de identificao de riscos que sejam adequadas aos seus
objetivos, s suas capacidades e aos riscos enfrentados (ABNT, 2009). Envolver a equipe
diretamente responsvel pela execuo do processo, do projeto ou da atividade que est tendo
os riscos identificados tambm ajuda a criar a responsabilidade em relao ao processo de
gesto de riscos e o comprometimento em relao ao tratamento dos riscos.
89. A documentao dessa etapa geralmente inclui pelo menos:

a) o escopo do processo, projeto ou atividade coberto pela identificao;
b) os participantes do processo de identificao;
c) a abordagem ou o mtodo utilizado para identificao dos riscos e as fontes de informao
consultadas;
d) o registro dos riscos identificados em sistema, planilha ou matriz de avaliao de riscos,
descrevendo os componentes de cada risco separadamente com, pelo menos, suas causas,
o evento e as consequncias.
5.4.2. Anlise de riscos
90. A anlise de riscos o processo de compreender a natureza do risco e determinar o nvel de

risco, fornecendo a base para a avaliao e para as decises sobre o tratamento de riscos
(ABNT, 2009).
91. O risco uma funo tanto da probabilidade como das consequncias, portanto, o nvel do
risco expresso pela combinao da probabilidade de ocorrncia do evento e de suas
consequncias, em termos da magnitude do impacto nos objetivos.
Risco = funo (Probabilidade e Impacto)
92. O resultado final do processo de anlise de riscos ser o de atribuir, para cada risco
identificado, uma classificao tanto para a probabilidade como para o impacto do evento, cuja
combinao determinar o nvel do risco. A identificao de fatores que afetam a probabilidade
e as consequncias tambm parte da anlise de riscos, incluindo a apreciao das causas e as
fontes de risco, suas consequncias positivas ou negativas, expressas em termos de impactos
tangveis ou intangveis.
Pgina | 24
93. Dependendo das circunstncias, a anlise de riscos pode ser qualitativa, semiquantitativa ou
quantitativa, ou uma combinao destas, e ser mais ou menos detalhada (ABNT, 2009). O
mtodo e o nvel de detalhamento da anlise podem ser influenciados pelos objetivos, pela
natureza do risco, pela disponibilidade de informaes, dados e recursos.
94. Em anlises qualitativas e semiquantitativas, considerando que a lgica subjacente ao nvel de

risco seja proporcional tanto em relao probabilidade quanto ao impacto, a funo Risco
ser essencialmente um produto dessas variveis.
Risco = P x I
95. Contudo essa relao simples pode no refletir relaes no lineares, sendo necessrio, assim,
incluir um fator de ponderao para uma das duas variveis (probabilidade ou impacto, de
modo a atingir a escala relativa necessria entre eles) e ou um operador exponencial para uma
ou para ambas as variveis (DE CICCO, 2009, adaptado).
Risco = (P)x x (I x fator de ponderao)y
96. Em sua forma qualitativa mais simples, a relao entre o nvel de risco e as variveis que o
compe pode ser ilustrada por meio de uma matriz como a que segue.
Probabilidade baixa Probabilidade alta

Impacto alto Impacto alto
MDIO ALTO
Impacto
Probabilidade baixa Probabilidade alta

Impacto baixo Impacto baixo
BAIXO MDIO
Probabilidade
Figura 5.2: Matriz de Riscos simples (BRASIL, 2010a).
97. Essa abordagem, mais simples, geralmente utilizada na avaliao inicial de riscos num nvel
geral ou superior, de modo a estabelecer prioridades de identificao e anlise em nvel mais
especfico ou detalhado; ou quando dados numricos, tempo e recursos no esto disponveis
para a realizao de anlise numrica ou ainda quando no exigida preciso quantitativa.
Pgina | 25
98. Anlises semiquantitativas geralmente utilizam escalas, como as exemplificadas a seguir, para
fornecer um entendimento comum das classificaes de probabilidades e impacto. Em
situaes reais, essas escalas so elaboradas de modo compatvel com o contexto e os objetivos
especficos da atividade objeto da gesto de riscos.
Escala de Probabilidades
Probabilidade Descrio da probabilidade, desconsiderando os controles Peso
Improvvel. Em situaes excepcionais, o evento poder at ocorrer,

Muito baixa 1
mas nada nas circunstncias indica essa possibilidade.
Rara. De forma inesperada ou casual, o evento poder ocorrer, pois as
Baixa 2
circunstncias pouco indicam essa possibilidade.
Possvel. De alguma forma, o evento poder ocorrer, pois as
Mdia 5
circunstncias indicam moderadamente essa possibilidade.
Provvel. De forma at esperada, o evento poder ocorrer, pois as
Alta 8
circunstncias indicam fortemente essa possibilidade.
Praticamente certa. De forma inequvoca, o evento ocorrer, as
Muito alta 10
circunstncias indicam claramente essa possibilidade.
Tabela 5.1: Exemplo de Escala de Probabilidades (BRASIL, 2012, adaptado).
Escala de Consequncias
Impacto Descrio do impacto nos objetivos, caso o evento ocorra Peso
Mnimo impacto nos objetivos (estratgicos, operacionais, de

Muito baixo 1
informao/comunicao/divulgao ou de conformidade).
Baixo Pequeno impacto nos objetivos (idem). 2
Mdio Moderado impacto nos objetivos (idem), porm recupervel. 5
Alto Significativo impacto nos objetivos (idem), de difcil reverso. 8
Muito alto Catastrfico impacto nos objetivos (idem), de forma irreversvel. 10
Tabela 5.2: Exemplo de Escala de Consequncias (BRASIL, 2012, adaptado).
99. O nvel de risco inerente (NRI) de um evento o nvel de risco antes da considerao das
respostas que a gesto adota, incluindo controles internos, para reduzir a probabilidade do
evento e ou os seus impactos nos objetivos. Resulta da combinao da probabilidade com o
impacto, conforme as tabelas anteriores (no nosso exemplo, multiplicao).
100. A poltica de gesto de riscos da organizao geralmente estabelece categorias para classificar
os nveis de risco resultantes do processo de anlise, sejam inerentes ou residuais, de modo
consistente com o seu apetite a risco, como as exemplificadas na Tabela 5.3.
Pgina | 26
Escala para classificao de Nveis de Risco
RB (Risco Baixo) RM (Risco Mdio) RA (Risco Alto) RE (Risco Extremo)

0 9,99 10 39,99 40 79,99 80 100
Tabela 5.3: Nveis de classificao de risco (elaborao prpria).
101. Os resultados das combinaes de probabilidade e impacto, classificados de acordo com a

escala de nveis de risco, podem ser expressos em uma matriz, como a seguir.
Matriz de Riscos
Muito Alto
10 20 50 80 100
10
RM RM RA RE RE
8 16 40 64 80
Alto
8
RB RM RA RA RE
IMPACTO
5 10 25 40 50
Mdio
5
RB RM RM RA RA
2 4 10 16 20
Baixo
2
RB RB RM RM RM
Muito Baixo
1 2 5 8 10
1
RB RB RB RB RM
Muito Baixa Baixa Mdia Alta Muito Alta

1 2 5 8 10
PROBABILIDADE
Tabela 5.4: Matriz de riscos (BRASIL, 2012, adaptado).
102. Segue-se exemplo de um registro de riscos (parcial) com a determinao dos nveis dos riscos
inerentes (NRI), de acordo com o mtodo apresentado.
Riscos Identificados Probabilidade Impacto Nvel de Risco Inerente (NRI)

Risco 1 Descrio do risco 1 Alta 8 Muito Alto 10 80 RE (Extremo)
Risco 2 Descrio do risco 2 Mdia 5 Alto 8 40 RA (Alto)
Risco 3 Descrio do risco 3 Baixa 2 Mdio 5 10 RM (Mdio)
Risco n Descrio do risco n Muito Baixa 1 Mdio 5 5 RB (Baixo)
Tabela 5.5: Registro de riscos parcial com nveis de risco inerente calculados (BRASIL, 2012, adaptado).
Pgina | 27
103. A anlise de riscos s se completa quando as aes que a gesto adota para respond-los so
tambm avaliadas, chegando-se ao nvel de risco residual, o risco que remanesce depois de
considerado o efeito das respostas adotadas pela gesto para reduzir a probabilidade e ou o
impacto dos riscos, incluindo controles internos e outras aes. Formas de resposta a riscos
podem variar entre reduzir, evitar, compartilhar ou aceitar o risco, incluindo o
estabelecimento de atividades de controle para assegurar que as respostas definidas pela
administrao sejam efetivamente aplicadas.
104. A avaliao das respostas a riscos e atividades de controle correspondentes ou simplesmente

controles parte integrante da anlise de riscos. Os controles incluem qualquer processo,
poltica, dispositivo, prtica ou outras aes e medidas que a gesto adota com o objetivo de
modificar o nvel de risco (ABNT, 2009).
105. As atividades de controle so as aes estabelecidas por meio de polticas e procedimentos,

desempenhadas em todos os nveis da organizao, em vrios estgios dentro do processo
organizacional e no ambiente tecnolgico, que ajudam a garantir o cumprimento das diretrizes
determinadas pela administrao para mitigar os riscos realizao dos objetivos (COSO,
2013). As atividades de controle tambm so geralmente referidas como controles internos.
106. Uma forma de avaliar o efeito dos controles na mitigao de riscos consiste em determinar
um nvel de confiana (NC), mediante anlise dos atributos do desenho e da implementao
dos controles, utilizando uma escala como a exemplificada a seguir.
Nvel de Avaliao do desenho e implementao dos controles Risco de

Confiana (NC) (Atributos do controle) Controle (RC)
Inexistente Controles inexistentes, mal desenhados ou mal implementados, Muito Alto

NC = 0% (0,0) isto , no funcionais. 1,0
Controles tm abordagens ad hoc, tendem a ser aplicados caso a

Fraco Alto
caso, a responsabilidade individual, havendo elevado grau de
NC = 20% (0,2) 0,8
confiana no conhecimento das pessoas.
Controles implementados mitigam alguns aspectos do risco, mas

Mediano Mdio
no contemplam todos os aspectos relevantes do risco devido a
NC = 40% (0,4) 0,6
deficincias no desenho ou nas ferramentas utilizadas.
Controles implementados e sustentados por ferramentas

Satisfatrio Baixo
adequadas e, embora passveis de aperfeioamento, mitigam o
NC = 60% (0,6) 0,4
risco satisfatoriamente.
Forte Controles implementados podem ser considerados a melhor Muito Baixo

NC = 80% (0,8) prtica, mitigando todos os aspectos relevantes do risco. 0,2
Tabela 5.6: Exemplo de escala para avaliao de controles (adaptado de Dantas et al, 2010; e Avalos, 2009).
Pgina | 28
107. Observe-se, no exemplo apresentado, que o controle mais bem avaliado recebeu um NC =
80% (0,8). Isso se deve ao fato de que controles tm limitaes que lhe so inerentes, como a
possibilidade de se tornarem ineficazes pela ao de conluio, de contorno efetuado pela
prpria administrao ou simplesmente de falhar por erro humano na sua aplicao. Logo,
no importa quo efetivo seja o desenho e a implementao de um controle, ele s poder
fornecer uma segurana razovel, nunca absoluta, quanto ao cumprimento dos objetivos para
os quais foi concebido. Portanto, no se deve atribuir 100% de confiana a um controle.
108. Uma vez determinado o nvel de confiana (NC), pode-se determinar o risco de controle (RC),
isto , a possibilidade de que os controles adotados pela gesto no sejam eficazes para prevenir,
detectar e permitir corrigir, em tempo hbil, a ocorrncia de eventos que possam afetar
adversamente a realizao de objetivos. O RC definido como complementar ao NC:
RC = 1 NC
109. Pela frmula possvel deduzir que quanto mais eficaz for o desenho e a implementao dos
controles, ou seja, quanto maior for o NC, menor ser o RC e vice-versa, porm este nunca
ser zero, uma vez que o nvel de confiana jamais ser 100%.
110. Uma vez estabelecido o RC, possvel estimar o nvel de risco residual (NRR), ou seja, o
risco que permanece aps o efeito das respostas adotadas pela gesto, incluindo controles
internos e outras aes, para reduzir a probabilidade e ou o impacto do evento. Para isso,
deduz-se do nvel de risco inerente (NRI) o percentual de confiana (NC) atribudo ao
controle, o que equivale a multiplicar o NRI pelo RC, utilizando a seguinte frmula.
NRR = NRI x RC
111. Segue-se um exemplo de um registro de riscos (parcial) com a determinao dos nveis dos
riscos residuais (NRR) de alguns riscos identificados, de acordo com o mtodo apresentado.
Riscos Nvel de Risco Eficcia do Risco de Nvel de Risco

P I
Identificados Inerente (NRI) Controle Controle (RC) Residual (NRR)
Risco 1 Alta M. Alto RE RE
Inexistente 1,0
8 10 80 80
Risco 2 Mdia Alto RM RM

Mediano 0,6
5 8 40 24
Risco 3 Baixa Alto RM RB

Fraco 0,8
2 5 10 8
Tabela 5.7: Registro de riscos parcial com nveis de risco residual calculados (BRASIL, 2012, adaptado).
Pgina | 29
112. A Tabela 5.8 apresenta os riscos residuais classificados por categorias, conforme os critrios
da entidade para a classificao dos nveis de risco (Tabela 5.3) para alguns nveis de risco
inerente selecionados da Tabela 5.4. O propsito demonstrar o efeito dos controles (RC)
sobre os riscos inerentes (NRI) (os valores foram arredondados).
Extremo Matriz de Riscos Residuais
20 40 60 80 100
100
RM RA RA RE RE
Nvel de Risco Inerente (NRI)
Extremo
16 32 48 64 80
80
RM RM RA RA RE
10 20 30 40 50
Alto
50
RM RM RM RA RA
5 10 15 20 25
Mdio
25
RB RM RM RM RM
2 3 5 6 8
Baixo
8
RB RB RB RB RB
0,2 0,4 0,6 0,8 1

Muito baixo Baixo Mdio Alto Muito alto
Risco de Controle (RC)

Tabela 5.8: Matriz de riscos residuais (adaptado de Dantas et al, 2010; e Avalos, 2009).
113. A documentao da etapa de anlise de riscos normalmente feita no registro de riscos e

geralmente inclui:
a) a abordagem ou o mtodo de anlise utilizado, as fontes de informao consultadas e os
participantes do processo de anlise;
b) as especificaes utilizadas para as classificaes de probabilidade e impacto dos riscos;
c) a probabilidade de ocorrncia de cada evento, a severidade ou magnitude do impacto nos
objetivos e sua descrio, bem como consideraes quanto anlise desses elementos e o
resultado de sua combinao, o risco inerente;
d) a descrio dos controles existentes e as consideraes quanto sua eficcia, e o risco de
controle;
e) o nvel de risco residual, resultante da combinao dos dois riscos anteriores (inerente e
de controle).
Pgina | 30
114. A extenso da documentao dos riscos de nveis mais baixos pode ser menos detalhada,
porm deve ser mantido registro do fundamento lgico para justificar a determinao inicial
dos nveis de risco nesse patamar.
5.4.3. Avaliao de riscos
115. A finalidade da avaliao de riscos auxiliar na tomada de decises com base nos resultados
da anlise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a
implementao do tratamento. Envolve comparar o nvel de risco com os critrios de risco
estabelecidos quando o contexto foi considerado, para determinar se o risco e ou sua
magnitude aceitvel ou tolervel ou se algum tratamento exigido (ABNT, 2009).
116. Nessa etapa, portanto, se faz uso da compreenso e do nvel do risco obtidos na etapa de
anlise de riscos para tomar decises acerca de aes sobre os riscos analisados, em especial:
a) se um determinado risco precisa de tratamento e a prioridade para isso;
b) se uma determinada atividade deve ser realizada, reduzida ou descontinuada;
c) se controles devem ser implementados, modificados ou apenas mantidos.
117. Uma boa prtica para apoiar o processo de avaliao de riscos estabelecer critrios para
priorizao e tratamento (apetite a risco, nvel recomendado de ateno, tempo de resposta
requerido, comunicao etc.) associados aos nveis de risco. Segue-se um exemplo simples.
Nvel de Risco Critrios para priorizao e tratamento de riscos

Nvel de risco muito alm do apetite a risco. Qualquer risco nesse nvel deve ser
RE comunicado governana e alta administrao e ter uma resposta imediata.
Postergao de medidas s com autorizao do dirigente mximo.
Nvel de risco alm do apetite a risco. Qualquer risco nesse nvel dever ser
RA comunicado a alta administrao e ter uma ao tomada em perodo determinado.
Postergao de medidas s com autorizao do dirigente de rea.
Nvel de risco dentro do apetite a risco. Geralmente nenhuma medida especial

necessria, porm requer atividades de monitoramento especficas e ateno da
RM
gerncia na manuteno de respostas e controles para manter o risco nesse nvel,
ou reduzi-lo sem custos adicionais.
Nvel de risco dentro do apetite a risco, mas possvel que existam oportunidades
RB de maior retorno que podem ser exploradas assumindo-se mais riscos, avaliando a
relao custos x benefcios, como diminuir o nvel de controles.
Tabela 5.9: Diretrizes para priorizao e tratamento de riscos (adaptado de BRASIL, 2013a).
118. Em geral, a documentao dessa etapa realizada no prprio registro de riscos e fornece uma
lista dos riscos que requerem tratamento, com suas respectivas classificaes e prioridades.
Pgina | 31
5.4.4. Tratamento de riscos
119. O tratamento de riscos envolve a seleo de uma ou mais opes para modificar o nvel do
risco (a probabilidade ou o impacto) e a elaborao de planos de tratamento que, uma vez
implementados, implicaro a introduo de novos controles ou a modificao dos existentes.
Um dos benefcios da gesto de riscos exatamente o rigor que proporciona ao processo de
identificao e seleo de alternativas de respostas aos riscos (ABNT, 2009; COSO, 2004).
120. Formas de tratar riscos, no mutuamente exclusivas ou adequadas em todas as circunstncias,

incluem evitar, reduzir, transferir e aceitar o risco. Selecionar a opo mais adequada envolve
equilibrar, de um lado, os custos e esforos de implementao e, de outro, os benefcios
decorrentes. Deve-se considerar a possibilidade de que novos riscos sejam introduzidos pelo
tratamento e a existncia de riscos cujo tratamento no seja economicamente justificvel,
como riscos severos (com grande consequncia negativa), porm raros (com probabilidade
muito baixa) (ABNT, 2009; INTOSAI, 2007).
121. Ao avaliar os efeitos das diferentes respostas, a gesto deve decidir a melhor forma de tratar
o risco. A resposta, ou a combinao de respostas selecionadas, no precisa necessariamente
gerar a quantidade mnima de risco residual, mas se gerar um risco residual acima dos limites
de tolerncia a risco estabelecidos, a gesto ter que reconsiderar a opo de resposta ou os
limites de tolerncia (INTOSAI, 2007).
122. O processo de tratamento cclico e inclui: a avaliao do tratamento j realizado; a avaliao

dos nveis de risco residual frente ao apetite e s tolerncias a risco definidos; a definio e a
implementao de tratamento adicional nos casos em que o risco residual extrapolar o apetite
e as tolerncias; e a avaliao da eficcia desse tratamento (ABNT, 2009).
123. A documentao dessa etapa geralmente integra o registro de riscos da organizao e inclui
um plano de tratamento de riscos que identifica claramente a ordem de prioridade para a
implementao de cada tratamento, e tambm:
a) as razes para a seleo das opes de tratamento, incluindo os benefcios esperados;
b) os responsveis pela aprovao e pela implementao do plano;
c) as aes propostas, os recursos requeridos, incluindo contingncias, e o cronograma;
d) as medidas de desempenho e os requisitos para o reporte de informaes;
e) as formas de monitoramento da implementao do tratamento e dos riscos (ABNT, 2009).
Pgina | 32
5.5. MONITORAMENTO E ANLISE CRTICA
124. O monitoramento e a anlise crtica so partes integrantes e essenciais da gesto de riscos e

uma das etapas mais importantes do processo de gesto de riscos, cuja finalidade :
a) detectar mudanas no contexto externo e interno, incluindo alteraes nos critrios de
risco e no prprio risco, que podem requerer reviso dos tratamentos atualmente adotados
e suas prioridades, e levar identificao de riscos emergentes;
b) obter informaes adicionais para melhorar a poltica, a estrutura e o processo de gesto
de riscos;
c) analisar eventos (incluindo os quase incidentes), mudanas, tendncias, sucessos e
fracassos e aprender com eles; e
d) garantir que os controles sejam eficazes e eficientes no desenho e na operao (ABNT,
2009).
125. As responsabilidades relativas ao monitoramento e anlise crtica devem estar claramente

definidas na poltica de gesto de riscos e detalhadas nos planos, manuais ou normativos,
contemplando atividades como:
a) monitoramento contnuo (ou, pelo menos, frequente) pelas funes de gesto que tm
propriedade sobre os riscos e pelas funes que supervisionam riscos e medem o
desempenho da gesto de riscos, por meio de indicadores-chaves de risco e verificaes
rotineiras de ndices de desempenho, ritmo de atividades, operaes ou fluxos atuais em
comparao com os que seriam necessrios para o alcance de objetivos ou a manuteno
dentro das tolerncias a riscos ou variaes aceitveis no desempenho;
b) anlise crtica dos riscos e seus tratamentos realizada pelas funes que gerenciam e tm
propriedade de riscos e ou pelas funes que supervisionam riscos, por meio de auto
avaliao de riscos e controles (Control and Risk Self Assessment - CRSA); e
c) auditorias realizadas pelas funes que fornecem avaliaes independentes (a auditoria
interna ou externa), focando a estrutura e o processo de gesto de riscos, em todos os
nveis relevantes das atividades organizacionais, ou seja, procurando testar os aspectos
sistmicos da gesto de riscos em vez das situaes especficas encontradas.
126. As atividades de monitoramento e anlise crtica devem assegurar que o registro de riscos
seja mantido atualizado, bem como que nele seja includo pelo menos os resultados das aes
mencionadas acima, com referncias para a documentao original completa.
Pgina | 33
6. MODELO DE AVALIAO DO TCU
127. Este captulo fornece a viso geral do modelo de avaliao da maturidade organizacional em
gesto de riscos desenvolvido pelo TCU, a partir das melhores prticas internacionais em uso
no setor pblico, oriundas dos modelos de gerenciamento de riscos COSO GRC (COSO,
2004 e 2016), ABNT NBR ISO 31000 Gesto de Riscos Princpios e Diretrizes (ABNT,
2009) e Orange Book (UK, 2004 e 2009), bem como da IN-MP/CGU N 1/2016.
128. O modelo composto das quatro dimenses ilustradas na Figura 6.1 e sua aplicao apoia-
se nos critrios descritos no Apndice I Critrios para avaliao da maturidade em gesto
de riscos, que tambm indica as fontes dos critrios.
PROCESSOS
AMBIENTE Identificao e Anlise de riscos RESULTADOS
ESULTADOS
Avaliao e Resposta a riscos Eficcia da
Liderana
Monitoramento e Comunicao gesto de
Polticas e
riscos
Estratgias
Resultados
Pessoas organizacionais
PARCERIAS
Figura 6.1: Modelo de avaliao da maturidade em gesto de riscos elaborado pelo TCU (BRASIL, 2013).
129. O modelo tem como premissas que a maturidade da gesto de riscos de uma organizao
determinada pelas capacidades existentes em termos de liderana, polticas e estratgias, e de
preparo das pessoas para gesto de riscos, bem como pelo emprego dessas capacidades aos
processos e parcerias e pelos resultados obtidos na melhoria do desempenho da organizao
no cumprimento de sua misso institucional de gerar valor para as partes interessadas com
eficincia e eficcia, transparncia e accountability, e conformidade com leis e regulamentos.
6.1. DIMENSES DO MODELO
6.1.1. Ambiente
130. A dimenso Ambiente, tomada do modelo COSO GRC, engloba boas prticas, tambm
presentes no modelo britnico, relacionados com a cultura, a governana de riscos e a
considerao do risco na definio da estratgia e dos objetivos em todos os nveis,
procurando avaliar as capacidades existentes para que a gesto de riscos tenha as condies
necessrias para prosperar na organizao.
Pgina | 34
6.1.1.1. Liderana
131. A importncia do papel da alta administrao na implementao e operao da gesto de

riscos destacado em todos os modelos. O GESPBLICA tem a Liderana como primeiro
componente do modelo de gesto adotado pelo Poder Executivo federal, (BRASIL, 2009). O
COSO GRC tambm destaca a importncia da liderana para a gesto de riscos:
Para que uma organizao possa desfrutar de um gerenciamento de riscos eficaz, a atitude e
o interesse da alta administrao devem ser claros e definitivos, bem como permear toda a
organizao. No suficiente apenas dizer as palavras corretas, uma atitude de faa o que
digo e no o que fao somente gerar um ambiente inadequado.
132. Em essncia, busca-se avaliar em que medida os responsveis pela governana e a alta
exercem as suas responsabilidades de governana de riscos e cultura, assumindo um
compromisso forte e sustentado e exercendo superviso para obter comprometimento com a
gesto de riscos em todos os nveis da organizao, promovendo-a e dando suporte, de modo
que possam ter uma expectativa razovel de que no cumprimento da sua misso institucional,
a organizao entende e capaz de gerenciar os riscos associados sua estratgia para atingir
os seus objetivos de gerar, preservar e entregar valor s partes interessadas, tendo o cidado
e a sociedade como vetores principais.
6.1.1.2. Polticas e Estratgias

133. A gesto de riscos deve fazer parte das consideraes sobre estratgias e planos em todos os
nveis crticos da entidade, concretizando-se pelo processo de gerenciamento de riscos nas
operaes, funes e atividades relevantes nas diversas partes da organizao.
134. Nesta seo, busca-se avaliar em que medida a organizao dispe de polticas e estratgias
de gesto de riscos definidas, comunicadas e postas em prtica, de maneira que o risco seja
considerado na definio da estratgia, dos objetivos e planos em todos os nveis crticos da
entidade, e gerenciado nas operaes, funes e atividades relevantes das diversas partes da
organizao.
135. Organizaes com polticas e estratgias de gesto de riscos adequadas contam com:
a) um processo e mtodos para definir claramente objetivos e tolerncias a risco ou
variaes aceitveis no desempenho para permitir que os seus riscos e resultados possam
ser gerenciados, incorporando explicitamente indicadores-chaves de desempenho e de
risco em seus processos de governana e gesto;
b) competncias e capacidade para identificar eventos potenciais que podem impactar a
Pgina | 35
organizao, o governo ou a comunidade e fazem uso de medidas prticas e razoveis
para gerenciar esses eventos;
c) assegurao de que a sua administrao e o seu corpo executivo:
i. esto adequadamente informados sobre as exposies a risco da organizao;
ii. esto completa e diretamente envolvidos em estabelecer e rever o processo de gesto
de riscos em suas reas; e
iii. alocam recursos adequados e suficientes para a gesto de riscos, levando em conta a
o perfil de risco, o tamanho, a complexidade, a estrutura e o contexto da organizao.
6.1.1.3. Pessoas
136. O gerenciamento de riscos um processo efetuado pelo conselho de administrao, pela
diretoria executiva e pelos demais empregados, isto , pelas pessoas, mediante o que fazem
e o que dizem. So as pessoas que estabelecem a misso, a estratgia e os objetivos e
implementam os mecanismos de gerenciamento de riscos da organizao (COSO, 2004).
137. O gerenciamento de riscos afeta as aes das pessoas, e estas o gerenciamento de riscos, uma
vez que nem sempre entendem, se comunicam ou desempenham suas funes de forma
consistente. A gesto de riscos deve proporcionar os mecanismos necessrios para ajudar as
pessoas a entender o risco no contexto dos objetivos da organizao, bem como suas
responsabilidades e seus limites de autoridade, criando uma associao clara e estreita entre
os deveres das pessoas e como elas os cumprem no tocante estratgia e aos objetivos da
organizao (COSO, 2004).
138. Assim, o grau de conhecimento das pessoas sobre os objetivos da organizao, a existncia
de canais de comunicao para que questes relacionadas a risco sejam levantadas e
decididas, a definio clara de responsabilidades e limites de autoridade em relao aos
processos de gesto de riscos, a existncia de arcabouo conceitual de risco uniformemente
conhecido e utilizado na organizao, bem como a oferta de cursos de capacitao sobre o
tema so atributos importantes que devem estar presentes na conformao de um ambiente
de gesto de riscos apropriado.
139. Nesta seo, busca-se avaliar em que medida as pessoas da organizao esto informados,
habilitados e autorizados para exercer seus papis e suas responsabilidades no gerenciamento
de riscos e controles; entendem esses papis e os limites de suas responsabilidades, e como
os seus cargos se encaixam na estrutura de gerenciamento de riscos e controle interno da
organizao.
Pgina | 36
6.1.2. Processos
140. Os processos de gesto de riscos constituem o corao dos modelos de gesto de riscos. Para
lidar com os riscos que podem impactar os objetivos de uma organizao, processos devem
ser estabelecidos para identificar riscos; avaliar a probabilidade de ocorrncia e o impacto
sobre os resultados pretendidos; escolher o tipo apropriado de resposta para cada risco;
desenhar e implementar respostas para os riscos priorizados; comunicar os assuntos
relacionados a risco s partes interessadas; e monitorar a integridade da estrutura e do
processo de gesto de riscos. Tais processos devem estar incorporados e integrados aos
processos de governana e de gesto, finalsticos e de apoio.
141. Esta dimenso, portanto, aborda os aspectos relacionados ao processo de gesto de riscos,
procurando avaliar em que medida a organizao estabeleceu um processo formal, com
padres e critrios definidos para a identificao e anlise de riscos, avaliao e resposta a
riscos, incluindo a seleo e a implementao de respostas aos riscos avaliados, e
monitoramento e comunicao relacionada a riscos e controles com partes interessadas,
internas e externas.
6.1.2.1. Identificao e anlise de riscos
142. Nesta seo, busca-se avaliar em que medida as atividades de identificao e anlise de riscos
so aplicadas de forma consistente s operaes, funes e atividades relevantes da
organizao (unidades, departamentos, divises, processos e atividades que so crticos para
a realizao dos objetivos-chaves da organizao), de modo a priorizar os riscos
significativos identificados para as atividades subsequentes de avaliao e resposta a riscos.
6.1.2.2. Avaliao e resposta a riscos
143. Nesta seo, busca-se avaliar em que medida as atividades de avaliao e resposta a riscos
so aplicadas de forma consistente para assegurar que sejam tomadas decises conscientes,
razoveis e efetivas para o tratamento dos riscos identificados como significativos, e para
reforar a responsabilidade das pessoas designadas para implementar e reportar as aes de
tratamento.
6.1.2.3. Monitoramento e comunicao
144. Nesta seo, busca-se avaliar em que medida as atividades de monitoramento e comunicao
esto estabelecidas e so aplicadas de forma consistente na organizao, para garantir que a
gesto de riscos e os controles sejam eficazes e eficientes no desenho e na operao.
Pgina | 37
6.1.3. Parcerias
145. Parcerias so quaisquer arranjos estabelecidos para possibilitar relacionamento colaborativo

entre partes, visando o alcance de objetivos de interesse comum. As parcerias so usualmente
estabelecidas para atingir um objetivo estratgico ou a entrega de um produto ou servio,
sendo formalizadas por um determinado perodo, implicando a negociao e o claro
entendimento das funes de cada parte, bem como dos benefcios decorrentes (BRASIL,
2009, p. 21). Envolvem, portanto riscos e benefcios compartilhados.
146. Esta dimenso trata de aspectos relacionados gesto de riscos no mbito de polticas de
gesto compartilhadas, quando o alcance de objetivos comuns de um setor estatal ou de uma
poltica pblica envolve parcerias com outras organizaes pblicas ou privadas, procurando
avaliar em que medida a organizao estabelece arranjos com clareza sobre quais riscos sero
gerenciados e por quem, e como se daro as trocas de informaes sobre o assunto, de modo
a assegurar que haja um entendimento comum sobre os riscos e sobre o seu gerenciamento.
6.1.4. Resultados
147. Esta dimenso trata de aspectos relacionados aos efeitos das prticas de gesto de riscos,
procurando avaliar em que medida a gesto de riscos tem sido eficaz para a melhoria dos
processos de governana e gesto e os resultados da gesto de riscos tm contribudo para os
objetivos relacionados eficincia das operaes, qualidade de bens e servios,
transparncia e prestao de contas e ao cumprimento de leis e regulamentos.
148. A razo de ser da gesto de riscos apoiar as organizaes na consecuo dos resultados
planejados. Portanto, todos os objetivos relevantes da organizao devem fazer parte do
escopo da gesto de riscos, que dever contribuir para que haja efeitos positivos no alcance
de todos eles. Os efeitos produzidos pela gesto de riscos em uma organizao se do em
duas esferas: uma de efeitos imediatos e outra de efeitos mediatos.
149. Na esfera dos efeitos imediatos, denominada eficcia da gesto de riscos, esto os efeitos
das prticas de gesto de riscos na qualidade do processo decisrio, na coordenao entre
unidades organizacionais, no gerenciamento de riscos com parceiros, no aperfeioamento de
planos e polticas organizacionais, na comunicao sobre riscos com partes interessadas e no
envolvimento do pessoal com a avaliao e o controle dos riscos. Os efeitos ditos mediatos
so aqueles que surgem a partir da presena dos efeitos imediatos. Em outras palavras, por
meio de uma gesto de riscos eficaz consegue-se melhorar resultados, por meio da otimizao
do desempenho da organizao na sua capacidade de gerar, preservar e entregar valor.
Pgina | 38
6.2. DETERMINAO DO NVEL DE MATURIDADE
150. Considerando que as capacidades existentes na organizao em termos de liderana, polticas

e estratgias, de preparo das pessoas para gesto de riscos, bem como pelo emprego dessas
capacidades aos processos e parcerias e pelos resultados obtidos na melhoria do desempenho,
podem ser avaliadas separadamente, pode-se falar em maturidade de cada aspecto e de cada
uma das dimenses do modelo, como tambm em nvel de maturidade global, ao considerar
todas as dimenses do modelo.
151. Para isso, necessrio avaliar se os princpios, a estrutura (ou os componentes) e os processos
colocados em prtica para o gerenciamento de riscos por toda a organizao esto presentes
e funcionando integrados aos processos de gesto, desde o planejamento estratgico at os
projetos e processos de todas as reas, funes e atividades relevantes para o alcance dos
objetivos-chaves da organizao.
6.2.1. Avaliando os ndices de maturidade de cada aspecto
152. O clculo dos ndices de maturidade para cada aspecto da gesto de riscos realizado
atribuindo-se quatro pontos para a presena integral e consolidada da prtica ou caracterstica
de gesto enfocada, um, dois ou trs, quando a presena parcial, de acordo com sua
intensidade, e zero ponto ausncia total, conforme a escala para avaliao de evidncias de
auditoria, apresentada na Tabela 7.1, tpico 7.7, do prximo captulo. No caso de questes
que admitem respostas sim/no, atribuiu-se quatro pontos ao sim e zero ponto ao no.
153. Para as questes que se desdobram em itens, cada item obter um nmero decimal como
pontuao, resultante da diviso dos valores de pontuao possveis (de zero a quatro,
conforme explicado no pargrafo anterior) pelo nmero de itens que compem a questo. Por
exemplo, para uma questo com cinco itens, cada item poder receber de zero a no mximo
0,8 (4/5).
6.2.2. Avaliando os ndices de maturidade de cada dimenso
154. O ndice de maturidade de cada dimenso (Ambiente; Processos; Parcerias; e Resultados)

apurado tomando-se o somatrio de pontos do conjunto de questes que a compe e
calculando-se a razo entre a pontuao alcanada e a pontuao mxima possvel,
expressando esse quociente com um nmero entre 0% e 100%. Se, por exemplo, uma
dimenso obtm 40 pontos de 76 possveis (19 questes x 4 pontos = 76 pontos), ento o
ndice de maturidade dessa dimenso seria de 52,6% (40/76 x 100).
Pgina | 39
6.2.3. Determinando o nvel de global da gesto de riscos
155. O ndice de maturidade global da gesto de riscos obtido pela mdia ponderada dos ndices
de maturidade das dimenses (IMD) pelos seguintes pesos:
Exemplo
Dimenso Peso
IMD Peso Ponderado
Ambiente 40 52,6 0,4 21,0
Processos 30 45,9 0,3 13,8
Parcerias 10 80,1 0,1 8,0
Resultados 20 49,5 0,2 9,9
NDICE DE MATURIDADE GLOBAL 52,7
Tabela 6.1: Pesos e exemplo de clculo do ndice de maturidade (adaptado de BRASIL, 2013).
156. Os pesos de cada dimenso foram determinados usando-se a tcnica AHP (Analytic
Hierarchy Process, COYLE, 2004) aplicada s respostas dadas por oito especialistas do TCU
a comparaes duas-a-duas da importncia relativa das quatro dimenses do modelo. A
tcnica AHP presta-se a facilitar a tomada de deciso por meio da hierarquizao de opes
com base na opinio de um grupo de pessoas acerca dos atributos de cada opo.
157. O ndice global derivado desse clculo permite classificar o nvel de maturidade de uma
organizao em uma das cinco faixas mostradas na Tabela 6.2.
ndice de maturidade apurado Nvel de Maturidade
De 0% a 20% Inicial
De 20,1% a 40% Bsico
De 40,1% a 60% Intermedirio
De 60,1% a 80% Aprimorado
De 80,1% a 100% Avanado
Tabela 6.2: Nveis de maturidade da gesto de riscos (BRASIL, 2013).
Pgina | 40
7. PADRES GERAIS DA AUDITORIA DE GESTO DE RISCOS
158. Para obter a segurana necessria para emitir a concluso geral sobre o nvel de maturidade
da gesto de riscos da organizao e as concluses especficas e respectivas recomendaes
sobre os aspectos que necessitam ser aperfeioados, o titular da unidade de auditoria deve
assegurar que:
a) a equipe de auditoria possua, coletivamente, o conhecimento, as habilidades e a
competncia necessrios para concluir com xito a auditoria, incluindo um entendimento
abrangente sobre a organizao e o seu contexto;
b) o trabalho seja adequadamente planejado e os procedimentos de auditoria planejados
considerem, necessariamente, elementos de conhecimento prvio sobre a entidade, seus
objetivos e riscos, complexidade de suas operaes, sistemas e estruturas (NAT, 94-95);
c) o trabalho seja adequadamente supervisionado, nos termos prescritos em NAT, 73-75, e
revisado medida que a auditoria for se desenvolvendo, conforme NAT, 76-77; e
d) o relatrio considere a perspectiva dos dirigentes da entidade, obtendo comentrios dos
gestores ao relatrio preliminar, sobretudo em relao s aes corretivas que pretendem
tomar (NAT, 144-148).
7.1. OBJETO DA AUDITORIA
159. O objeto de uma auditoria de gesto de riscos a arquitetura os princpios, a estrutura ou

os componentes e os processos - colocada em prtica para o gerenciamento de riscos por toda
a organizao, nos diversos nveis e nos vrios contextos especficos em que seus objetivos
so perseguidos, incluindo o processo de planejamento estratgico e sua implementao pelas
diversas reas ou funes da organizao, os processos de governana, finalsticos e de apoio
ou os programas, projetos e atividades relevantes para os objetivos-chaves da organizao.
7.2. OBJETIVOS DA AUDITORIA
160. Os objetivos gerais do auditor3 ao conduzir uma auditoria de gesto de riscos so:
a) determinar o nvel de maturidade da gesto de riscos da organizao;
b) identificar os aspectos que necessitam ser aperfeioados; e
c) emitir um relatrio detalhado sobre os aspectos e uma concluso geral sobre a maturidade.
3
O termo auditor aqui usado em referncia s pessoas a quem delegada a tarefa de realizar a auditoria e emitir o seu relatrio.
Pgina | 41
7.3. TIPO DO TRABALHO E NVEL DE ASSEGURAO
161. A auditoria de gesto de riscos do tipo operacional, com abordagem orientada a sistema e
de relatrio direto, devendo proporcionar um nvel de assegurao sobre a avaliao do objeto
(a gesto de riscos tal como descrita no tpico 7.1) de acordo com os critrios de auditoria
aplicveis (indicados no tpico 7.5), que seja significativo para suportar os processos
decisrios dos usurios previstos, principalmente em relao s aes de aperfeioamento
necessrias (ISSAI 100, 29-33; ISSAI 400, 21-23 e 26; ISSAI 3000, 32 e 40).
7.4. TIPO DE RELATRIO
162. O relatrio de auditoria deve fornecer aos usurios o nvel de assegurao necessrio,
descrevendo, de uma maneira equilibrada e fundamentada, como os achados, os critrios e
as concluses foram desenvolvidos, e porque a combinao de achados e critrios resultaram
na concluso geral sobre o nvel de maturidade da gesto de riscos da organizao e nas
concluses especficas sobre os aspectos que necessitam ser aperfeioados, e que esto sendo
objeto de recomendaes do relatrio, com a devida considerao aos comentrios ofertados
pelos gestores (ISSAI 300, 21-23 e 39; ISSAI 3000, 32-34, 116-130; NAT, 144-146).
163. O relatrio deve declarar os objetivos da auditoria e descrever como foram abordados no
trabalho, incluindo o escopo da auditoria, a metodologia e as fontes de dados, os critrios e
sua explicitao, e descrever quaisquer limitaes significativas ao escopo da auditoria.
Todas as informaes e concluses lanadas no relatrio devem estar baseadas em evidncia
de auditoria suficiente e apropriada (ISSAI 300, 38-39; ISSAI 3000, 106-122).
164. Embora os critrios de auditoria utilizados para avaliar e relatar acerca de gesto de riscos
sejam relativamente bem conhecidos, no se pode presumir que estaro disponveis a todos
os usurios do relatrio, assim, alm da indicao da fonte e localizao do critrio dentro da
fonte (exemplo, ISO 31000:2009, 4.3.3), a descrio do critrio deve explicitar o que ele
preconiza e porque aplicvel situao, porm evitando-se ao mximo transcries.
7.5. CRITRIOS DE AUDITORIA
165. Os critrios da auditoria de gesto de riscos refletem as melhores prticas internacionais,

consoante os modelos de gesto de riscos e o processo de gesto riscos apresentados nos
captulos 4 e 5, e a Instruo Normativa Conjunta MP/CGU N 01/2016.
166. Uma parte relevante desses critrios est incorporada ao modelo de avaliao da maturidade
da gesto de riscos desenvolvido pelo TCU, que visa determinar a maturidade da gesto de
Pgina | 42
riscos de uma organizao, por meio da avaliao das capacidades existentes em termos de
liderana, polticas e estratgias, e de preparo das pessoas para gesto de riscos, bem como
pelo emprego dessas capacidades e pelos resultados decorrentes.
167. O Apndice I detalha os critrios utilizados para avaliao da maturidade organizacional em

gesto de riscos e para a identificao dos aspectos que necessitam ser aperfeioados, bem
como as fontes desses critrios, para apoiar a aplicao do modelo de avaliao.
7.6. PROCEDIMENTOS DE AUDITORIA
168. O Apndice II fornece a Matriz de Planejamento com as questes/subquestes de auditoria e

as concluses que o auditor deve alcanar em relao a cada aspecto da gesto de riscos.
Cabe equipe de auditoria desenvolver os procedimentos de auditoria e os instrumentos de
coleta de dados necessrios para cada auditoria, levando em considerao as caractersticas
especficas da entidade e o princpio de que a gesto de riscos feita sob medida, de acordo
com a complexidade e o perfil de risco da organizao, bem como a sua natureza e estrutura,
e o seu tamanho e contexto.
169. Quanto mais complexa a organizao e o seu perfil de riscos, espera-se que mais formais e
extensas sejam as prticas implementadas por meio de polticas, procedimentos e controles
para assegurar que os princpios, a estrutura ou os componentes e o processo de gesto de
riscos estejam presentes e funcionem adequadamente, e vice-versa.
170. Assim, os procedimentos de auditoria e os respectivos instrumentos de coleta de dados para

avaliar o objeto (tpico 7.1) em relao aos critrios aplicveis (tpico 7.5 e Apndice I), de
modo a chegar s concluses exigidas pelos objetivos gerais de auditoria (tpico 7.2, alneas
a e b), devem ser planejados para lidar com as circunstncias especficas de cada entidade
auditada, refletindo a sua maior ou menor complexidade e o seu perfil de riscos. Em qualquer
caso, os procedimentos devem permitir a obteno de evidncia de auditoria suficiente e
apropriada para realizar a avaliao indicada no tpico a seguir.
7.7. AVALIAO DA EVIDNCIA DE AUDITORIA
171. A evidncia de auditoria obtida mediante aplicao dos procedimentos de auditoria e

respectivos instrumentos de coleta de dados desenvolvidos para abordar as questes e
subquestes de auditoria (Apndice II) em face dos critrios (Apndice I) deve permitir ao
auditor concluir sobre a pontuao de cada aspecto da gesto de riscos da organizao,
utilizando a escala de avaliao a seguir.
Pgina | 43
Escala para avaliao das evidncias de auditoria obtidas
0 1 2 3 4
Pontuao
INEXISTENTE INICIAL BSICO APRIMORADO AVANADO
Dimenso 1 Prtica Prtica realizada Prtica realizada Prtica realizada Prtica realizada
inexistente, no de maneira de acordo com de acordo com de acordo com
implementada informal e normas e normas e padres normas e padres
Dimenso 2 ou no espordica em padres definidos definidos na maior definidos em
funcional. algumas reas em algumas parte das reas todas as reas
relevantes para reas relevantes relevantes para os relevantes para os
os objetivos- para os objetivos-chaves objetivos-chaves
Dimenso 3 chaves da objetivos-chaves da organizao. da organizao.
organizao. da organizao.
No h Existe a Existem Existem Existem

evidncias de percepo entre indicadores indicadores indicadores
que o resultado os gestores e o definidos que consistentes, consistentes,
descrito tenha pessoal de que o mostram que o monitorados monitorados
sido obtido. resultado resultado periodicamente, periodicamente,
Dimenso 4 descrito tenha descrito vem que mostram que que mostram que
sido obtido em sendo obtido em o resultado o resultado
alguma medida. grau baixo. descrito vem descrito vem
sendo obtido em sendo obtido em
grau moderado. grau elevado.
Tabela 7.1: Escala para avaliao de evidncias quanto aos aspectos da gesto de riscos (adaptado de BRASIL, 2013).
172. Para cada critrio do Apndice I, o auditor deve concluir se obteve a evidncia necessria
para fundamentar suas concluses especficas e respectivas recomendaes sobre os aspectos
da gesto de riscos da organizao que necessitam ser aperfeioados, bem como, se no
conjunto, a evidncia de auditoria suficiente e apropriada para fundamentar a sua concluso
geral sobre o nvel de maturidade da gesto de riscos da organizao.
7.8. DOCUMENTAO DA AUDITORIA
173. A documentao de uma auditoria de gesto de riscos deve ser suficientemente detalhada,
desde os levantamentos preliminares para entendimento da entidade e do seu ambiente at a
compilao de resultados de avaliao das evidencias para formao de concluses, de modo
a permitir que um auditor experiente, sem nenhum conhecimento prvio da auditoria, entenda
o raciocnio por trs de todas as questes relevantes que exigiram o exerccio de julgamento
profissional do auditor na determinao do escopo, da extenso e natureza dos procedimentos
planejados e executados, na avaliao das evidncias de auditoria obtidas das concluses
geral e especficas resultantes, e das respectivas recomendaes da auditoria (ISSAI 100, 42).
Pgina | 44
8. O PROCESSO DE AUDITORIA DE GESTO DE RISCOS
8.1. VISO GERAL DO PROCESSO E FLUXO DO TRABALHO
Obter um entendimento abrangente Cadeia de Valor

da organizao, de seus objetivos e
Mapa Estratgico
do ambiente no qual so buscados.
Entendimento Apresentar o entendimento obtido Organograma,
da organizao mediante diagramas, anlises e Macroprocessos, outros
outros descritivos de cadeia de descritivos da Viso
valor, mapas de processo, mapa Geral do Organizao
estratgico, organograma, marco
regulatrio, operaes, servios,
produtos, recursos etc.
Definir a Estratgia Global de Estratgia Global

Auditoria e elaborar o Plano de
Plano de Auditoria
Auditoria, incluindo o cronograma, a
agenda de reunies, entrevistas e
Planejamento Matriz de Planejamento
outros eventos do trabalho.
Completar preenchimento da Matriz Instrumentos de Coleta
de Planejamento. de Dados
Elaborar os instrumentos de coleta
de dados.
Realizar as atividades previstas no

Plano de Auditoria. Evidncias de Auditoria
Aplicar os procedimentos previstos
na Matriz de Planejamento e os Planilha de Anlise da
Execuo respectivos instrumentos de coleta Maturidade da Gesto
de dados para obter as evidncias de Riscos
de auditoria.
Avaliar as evidncias e registrar o
resultado das concluses na Planilha
de Anlise de Maturidade da GR.
Elaborar e submeter o Relatrio Relatrio Preliminar

Preliminar para Comentrios de
Relatrio Gestores. Comentrios de Gestores
Elaborar o Relatrio Final,
Relatrio Final
incorporando a perspectiva dos
dirigentes da entidade e as aes
corretivas que pretendem tomar.
Monitorar a implementao dos Relatrio Preliminar

aperfeioamentos com base nos
Planos de Ao da gesto. Comentrios de Gestores
Elaborar e submeter o Relatrio
Monitoramento Preliminar de monitoramento para Relatrio Final
Comentrios de Gestores.
Elaborar o Relatrio Final de
monitoramento.
Figura 8.1: Fluxo do processo da auditoria de gesto de riscos (elaborao prpria).
Pgina | 45
175. Para realizar com xito uma auditoria de gesto de riscos, que atenda aos padres gerais
descritos no captulo anterior, a equipe de auditoria deve conduzir o trabalho seguindo as
etapas e atividades apresentadas no fluxo da Figura 8.1, detalhadas nos tpicos subsequentes,
de modo a obter os produtos intermedirios e finais indicados no lado direito do fluxo.
8.2. ENTENDIMENTO DA ORGANIZAO
176. A equipe de auditoria deve obter um entendimento abrangente da organizao e do seu

ambiente, a fim de conhecer como ela se organiza e funciona para otimizar o seu desempenho
na entrega de valor pblico em benefcio da sociedade, assim como os fatores relevantes do
ambiente no qual ela busca atingir os seus objetivos e cumprir a sua misso institucional.
8.2.1. Objetivos da obteno de entendimento da organizao
177. O objetivo principal dessa etapa identificar o direcionamento estratgico da organizao

(misso, viso, valores fundamentais); os objetivos-chaves, estratgicos e de negcios, e os
macroprocessos e processos relevantes para a sua realizao; as reas, funes e atividades
que concorrem de maneira relevante para a realizao dos objetivos, bem como os respectivos
responsveis em todos os nveis; as medidas de desempenho (metas, indicadores-chaves de
desempenho, de risco e variaes aceitveis no desempenho). O objetivo secundrio reunir
informaes para fornecer a viso geral da organizao, de modo a oferecer ao leitor do
relatrio de auditoria o conhecimento e a compreenso necessrios para bem entend-lo.
178. O objetivo especfico da obteno dessas informaes formar uma base para estabelecer as
reas de foco e definir o escopo da auditoria de gesto de riscos, fornecendo direo clara
para as demais atividades da fase de planejamento. Um bom entendimento pode ser obtido
guiando-se pelas seguintes questes (adaptado de Golden Circle Theory. SINEK, 2011):
a) por que (why) a organizao existe o propsito: qual a demanda social, o problema
ou a necessidade que motivou a criao e justifica a sua existncia. nesse mbito que
se identificam a misso e os objetivos-chaves da organizao, a sua finalidade;
b) como (how) a organizao faz o processo: a maneira como a organizao se estrutura
e atua para atender seu propsito, incluindo os objetivos estratgicos e de negcios e os
macroprocessos, processos, reas, funes e atividades relevantes para a sua realizao.
tambm nesse mbito que se identificam a viso e os valores fundamentais que fixam
o tom do topo da organizao. Todos esses elementos de entendimento so estabelecidos
pela governana e a alta administrao.
Pgina | 46
c) o que (what) a organizao faz o resultado: os produtos, bens e servios oferecidos
pela organizao para cumprir o seu propsito, alterando, por meio de seu processo de
gerao, preservao e entrega de valor, a realidade social ou melhorando a capacidade
do prprio Estado para atender as demandas sociais. tambm nesse mbito que se
identificam as medidas de desempenho (metas, indicadores-chaves de desempenho, de
risco e variaes aceitveis no desempenho) e o histrico de resultados alcanados.
179. Ao final da etapa de obteno de entendimento, o auditor deve ter uma viso clara do negcio
da organizao e das reas, funes e atividades que concorrem de maneira relevante para os
resultados que so entregues sociedade, bem como dos respectivos responsveis em todos
os nveis. isso que vai permitir ao auditor a:
a) identificar quem deve ser entrevistado e o que deve ser questionado;
b) priorizar as reas que devem ter seus processos de gerenciamento de riscos examinados;
c) definir a informao requerida ou a evidncia que ser buscada e a fonte de informao.
d) determinar o instrumento de coleta de dados ou procedimento de auditoria mais adequado
s circunstncias (exemplo: entrevista, se poucos gestores, ou questionrio, se muitos);
e) programar a agenda com as partes envolvidas da maneira mais conveniente e elaborar o
cronograma do trabalho; e,
f) completar o preenchimento da Matriz de Planejamento, fornecida no Apndice II, tendo
por base o entendimento obtido por meio das informaes acima.
8.2.2. Procedimentos para obteno de entendimento
180. O entendimento da organizao pode originar-se daqueles conhecimentos que os auditores j

possuem em funo de trabalhos anteriores e ou dos que adquirirem a partir de procedimentos
calcados em tcnicas de entrevista, de observao e inspeo, e de procedimentos analticos.
A escolha de qual procedimento utilizar e a extenso da sua aplicao depende de julgamento
profissional do auditor sobre o alcance e a profundidade do entendimento necessrio em cada
auditoria. Em qualquer caso, porm, deve ser suficiente para permitir equipe ter a viso do
negcio e realizar as atividades a que se referem o pargrafo anterior.
181. Muito provavelmente, a equipe comear obtendo um entendimento preliminar mediante
inspeo de relatrios de gesto da organizao, de levantamentos anteriormente realizados,
de informaes sobre a estrutura, as competncias e operaes disponibilizadas em pginas
da Internet, de informaes oramentrias e financeiras publicadas ou obtidas no Siafi. A
Pgina | 47
partir desse entendimento preliminar, a equipe pode planejar os procedimentos adicionais
para aprofundar o entendimento da organizao, incluindo a elaborao de uma agenda de
entrevistas e um cronograma para a aplicao dos demais procedimentos necessrios para a
concluso dessa fase de obteno de entendimento, que dever permitir equipe atingir os
objetivos previstos nos pargrafos 178 e 179, acima.
182. A seguir, exemplos de informaes4consideradas essenciais, mas no limitado a elas, para a
obteno de um entendimento relevante para uma auditoria de gesto de riscos:
a) natureza jurdica, competncias legais e marco regulatrio, dos quais so derivados os
objetivos-chaves da organizao;
b) misso e viso declaradas, em contraste com as competncias legais;
c) definio do valor pblico entregue sociedade, consistente nos objetivos-chaves da
organizao, frequentemente tambm denominados macroprodutos, macro-objetivos ou
resultados finalsticos (ver, por exemplo, cadeia de valor do Banco Central do Brasil, da
Receita Federal do Brasil, realizando uma busca na Internet);
d) estruturas organizacional, de governana e operacional, bem como, se for o caso,
societria e de financiamento e investimento;
e) fontes de receitas e execuo oramentria e financeira (aplicaes de recursos definidos
em programas, aes e projetos oramentrios constantes do Plano Plurianual (PPA) e da
Lei Oramentria Anual (LOA), e seus respectivos objetivos;
f) mapa estratgico em vigor, com a descrio das perspectivas e a enumerao das aes
estratgicas dentro de cada rea foco de atuao e ou perspectiva5;
g) macroprocessos relevantes com breve descrio das finalidades do conjunto de processos
que os compem, associados com as aes mencionadas no item f; e, quando
disponvel, um diagrama da sua cadeia de valor.
h) detalhamento de cada macroprocesso incluindo: o objetivo, as atividades ou processos,
os aspectos organizacionais, o histrico de alocao de recursos oramentrios e
financeiros, o marco regulatrio, o fluxograma, mapa de processo ou diagrama de blocos;
i) histrico de insumos e produtos em termos monetrios, quantitativos e ou qualitativos.
4
Recomenda-se equipe de auditoria seguir, no que for aplicvel, as orientaes quanto anlise preliminar do objeto, incluindo
informaes requeridas e fontes de informao para esse fim, que constam do Manual de Auditoria Operacional (TCU, 2010) e
do Manual de Levantamento (TCU, 2017).
5
Para os itens d, f, g e h, ver um bom exemplo em TC 014.483/2016-5 (Acrdo 2959/2016-TCU-Plenrio).
Pgina | 48
8.2.3. Documentao do entendimento
183. O entendimento obtido deve ser apresentado por meio de uma viso geral da organizao
descritiva, complementada por diagramas, anlises e grficos resultantes da aplicao de
procedimentos analticos; organograma, diagramas de cadeia de valor, mapas de processo,
mapa estratgico; marco regulatrio e, se aplicvel, um resumo dos seus aspectos relevantes.
184. Os elementos de entendimento mencionados nos pargrafos 177 a 179 e 182, devem ser
organizados de tal maneira que fornea uma compreenso clara do negcio da organizao e
das reas, funes e atividades que concorrem de maneira relevante para os resultados
entregues sociedade. A descrio da viso geral deve atender os requisitos de legibilidade,
especialmente os de relevncia, conciso, clareza e completude (ver NAT, 129). Elementos
complementares de entendimento, como diagramas, tabelas, relaes, listas etc. devero ser
colocados em apndices ou anexos.
185. A documentao do entendimento deve integrar a parte inicial do plano de auditoria, logo
aps a caracterizao do trabalho e a declarao de seus objetivos.
8.3. PLANEJAMENTO DA AUDITORIA
8.3.1. Definio da estratgia global de auditoria
186. Depois de concluda a fase de entendimento preliminar (pargrafo 181), iniciada a etapa de
definio da estratgia global de auditoria, que deve conter as decises-chaves e a indicao
dos temas e fatores mais importantes que, no julgamento profissional do dirigente e ou do
supervisor da auditoria, so significativos para direcionar os esforos da equipe de trabalho.
187. A estratgia global parte obrigatria da documentao de auditoria e seu objetivo registrar
e comunicar equipe o direcionamento do trabalho em termos do alcance, da poca e da
conduo da auditoria, para orientar o desenvolvimento do plano de auditoria. Isso inclui,
por exemplo, as datas-chaves (como a de envio do relatrio preliminar para comentrios de
gestores, a de entrega do relatrio final); a determinao da materialidade, com a indicao
preliminar das reas, funes e atividades que, em funo de sua relevncia ou risco, devero
ser inclusas no escopo de aplicao dos instrumentos de coleta de dados e dos procedimentos
de auditoria, cuja evidncia de auditoria obtida dever ser avaliada com base na escala
estabelecida na Tabela 7.1.
188. Alm disso, estratgia global de auditoria deve trazer elementos que permitam identificar os
recursos (humanos, tecnolgicos e outros) a serem utilizados no trabalho, quando eles devem
Pgina | 49
ser alocados, como sero supervisionados e tero seus trabalhos revisados, incluindo:
a) a determinao da natureza, poca e extenso dos recursos necessrios para realizar o
trabalho, envolvendo:
i. recursos a serem alocados em reas especficas da auditoria, tais como membros da
equipe com experincia adequada para reas de alto risco ou o envolvimento de
especialistas em temas complexos;
ii. recursos a alocar a reas especficas da auditoria, tais como o nmero de membros
da equipe alocados para observar atividades em locais relevantes, a extenso da
reviso do trabalho de outros auditores, se for o caso, o tempo de auditoria a ser
alocado nas reas de alto risco;
iii. utilizao do trabalho dos auditores internos e ou a colaborao/cooperao destes;
iv. quando os recursos devem ser alocados, por exemplo, se em etapa intermediria ou
em determinada data; e
v. como os recursos sero gerenciados, direcionados e supervisionados, por exemplo,
para quando esto previstas as reunies preparatrias e de atualizao, como devem
ocorrer as revises do supervisor e do coordenador do trabalho (por exemplo, em
campo ou fora dele) e se devem ser realizadas revises de controle de qualidade do
trabalho durante o seu curso (por exemplo, painis de referncia).
189. A estratgia global e o plano de auditoria so intimamente relacionados e no so processos
isolados ou sequenciais, necessariamente. Mudanas em um podem resultar em mudanas no
outro. Embora a estratgia global deva ser concluda antes da elaborao do plano de
auditoria, ela poder sofrer alteraes ao longo das atividades desenvolvidas para elaborao
do plano, em funo de imprevistos, de mudanas nas condies ou identificao de
informao que difere significativamente da informao disponvel quando o dirigente e ou
o supervisor da auditoria definiu inicialmente a estratgia. Assim, a estratgia global e o plano
de auditoria devem ser alterados e atualizados, sempre que necessrio, no curso da auditoria.
190. A documentao da estratgia global de auditoria pode ser feita na forma de um memorando
contendo as decises-chaves e a indicao dos temas e fatores mais importantes. Alteraes
significativas ocorridas na estratgia global de auditoria, e as razes dessas alteraes,
tambm devem ser documentadas.
Pgina | 50
8.3.2. Determinao da materialidade
191. A determinao da materialidade um tema da estratgia global de auditoria e tem por base
o julgamento profissional do auditor. O conceito de materialidade relacionado expresso
em todos os aspectos relevantes a que se referem as normas de auditoria, e que deve estar
presente na concluso geral do relatrio, no que diz respeito conformidade do objeto aos
critrios aplicados para sua avaliao (ISSAI 100, 33).
192. Assim, com base no entendimento obtido, especialmente no que diz respeito s reas, funes
e atividades que concorrem de maneira relevante para os resultados da organizao,
considerando aspectos quantitativos (por exemplo, materialidade dos recursos financeiros
alocados por reas) e qualitativos (por exemplo, riscos de qualidade ou de colapso dos
servios prestados aos usurios, riscos imagem/reputao da organizao), o auditor deve
estabelecer quais reas, funes ou atividades relevantes da organizao para a realizao
dos seus objetivos-chaves devero compor o escopo de aplicao dos instrumentos de coleta
de dados e dos procedimentos de auditoria.
193. Embora a materialidade seja uma questo de julgamento profissional do auditor, no caso da
auditoria operacional de gesto de riscos, devido s suas caractersticas voltadas para ajudar
aqueles com responsabilidades de governana e gesto a melhorar o desempenho (ISSAI 300,
12), o auditor pode considerar ouvir os responsveis pela governana e administradores da
entidade sobre se alguma rea, funo ou atividade relevante, alm das que ele considerou
materialmente relevantes, deveria ser parte do escopo da auditoria.
8.3.3. Elaborao do Plano de Auditoria
194. Seguindo as diretrizes estabelecidas na estratgia global de auditoria, a equipe deve elaborar
o plano de auditoria, levando em conta a necessidade de atingir os objetivos da auditoria por
meio do uso eficiente dos recursos.
195. Como mencionado anteriormente, as atividades desenvolvidas para elaborao do plano de

auditoria podem levar a alteraes na estratgia global, devido a imprevistos, mudanas nas
condies ou da identificao de informao que difere significativamente da informao
disponvel quando o dirigente e ou o supervisor da auditoria definiu inicialmente a estratgia.
Isso normal ocorrer, principalmente em razo do entendimento mais profundo da entidade,
que a equipe vai adquirindo ao trabalhar melhor as informaes para elaborar o planejamento.
Neste caso, a direo/superviso da auditoria deve ser notificada para atualizar a estratgia.
Pgina | 51
196. Para elaborar o plano de auditoria a equipe deve, considerando as datas-chaves estabelecidas
na estratgia global de auditoria, determinar a durao das atividades de planejamento, de
aplicao dos procedimentos de coleta e anlise de dados, de avaliao das evidncias, de
elaborao da matriz de achados e dos relatrios preliminar e final, incluindo o tempo de
comentrios de gestores, programar a agenda com as partes envolvidas, e elaborar o
cronograma definitivo do trabalho.
197. Os resultados de todas essas atividades devem estar documentados no plano de auditoria, o
qual, na parte inicial, logo aps a caracterizao do trabalho e a declarao de seus objetivos,
deve conter a descrio da viso geral da organizao, conforme abordada no tpico 8.2.3.
Assim, o plano deve incluir um cronograma, a agenda de reunies, entrevistas e outros
eventos do trabalho, de modo a:
a) auxiliar a equipe de trabalho na execuo da auditoria;
b) permitir que a equipe possa se responsabilizar e ser responsabilizada por seu trabalho;
c) permitir que os responsveis pela direo e superviso do trabalho cumpram suas
responsabilidades de reviso.
8.3.4. Elaborao da Matriz de Planejamento
198. Com base nas diretrizes da estratgia global de auditoria e no entendimento obtido da
organizao, a equipe deve:
a) definir por reas, funes ou atividades relevantes, as questes/subquestes de auditoria
aplicveis, com base na matriz de planejamento constante do Apndice II;
b) determinar, em relao a cada rea, funo ou atividade do item anterior, a natureza (o
que e como fazer), a poca (quando fazer) e a extenso (o quanto fazer) em termos de
procedimentos de coleta e anlise de dados para atingir as concluses previstas na coluna
o que a anlise vai permitir dizer, da matriz de planejamento (Apndice II).
c) identificar quem deve ser entrevistado e o que deve ser questionado, para fins de definir
a agenda de reunies e determinar o instrumento de coleta de dados ou procedimento de
auditoria mais adequado s circunstncias (por exemplo, questionrio, se muitos, ou
entrevista, se poucos);
d) preencher as colunas informaes requeridas, fontes de informao, procedimentos
de coleta de dados, procedimentos de anlise de dados da matriz de planejamento
(Apndice II) e desenvolver os instrumentos de coleta de dados necessrios.
Pgina | 52
8.4. EXECUO DA AUDITORIA
8.4.1. Aplicao dos procedimentos e instrumentos de coleta de dados
199. Uma vez que o plano de auditoria, incluindo a matriz de planejamento, tenha sido concludo
e homologado, cada membro da equipe realizar suas atividades conforme designado no
plano de auditoria, aplicando os procedimentos de auditoria planejados e os instrumentos de
coleta de dados para obter as evidncias de auditoria necessrias s concluses.
200. proporo que os trabalhos de campo forem se desenvolvendo, deve-se preencher a matriz
de achados, conforme o modelo estabelecido no Manual de Auditoria Operacional (BRASIL,
2010). Dadas as caractersticas desse tipo de auditoria, e dependendo da complexidade da
organizao, pode ser necessrio o preenchimento de matrizes de achados por rea, funo
ou atividade, especialmente no que diz respeito dimenso 2 Processos. Neste caso, ser
necessrio um trabalho de consolidao posterior, utilizando procedimento semelhante ao
que adotado na matriz de achados consolidadora de fiscalizaes de orientao centralizada
(FOC, Portaria-Adplan 2/2010).
201. A coluna situao encontrada deve ser preenchida estabelecendo-se uma relao direta com
cada item da coluna o que a anlise vai permitir dizer da matriz de planejamento (Apndice
II), confirmando ou negando cada uma das hipteses ou concluses formuladas, descrevendo
o contexto especfico da situao encontrada na organizao.
202. A coluna critrio deve indicar no apenas as fontes dos critrios, fornecidas no Apndice
II, mas explicitar o que o critrio preconiza, devendo o auditor, a partir da indicao da fonte,
localizar e descrever o que ele preconiza e porque aplicvel situao, porm evitando-se
ao mximo transcries.
8.4.2. Avaliao das evidncias e concluses
203. A evidncia de auditoria obtida mediante aplicao dos procedimentos de auditoria e

respectivos instrumentos de coleta dados, devidamente registrada na matriz de achados (aps
a consolidao, se aplicvel), dever ser avaliada utilizando a escala de avaliao constante
da Tabela 7.1, registrando-se a concluso quanto ao resultado da pontuao de cada aspecto
na Planilha de Anlise da Maturidade da Gesto de Riscos, fornecida juntamente com este
roteiro, que calcular, automaticamente, o nvel de maturidade de cada aspecto e de cada uma
das dimenses do modelo, como tambm em nvel de maturidade global.
Pgina | 53
8.5. RELATRIO DA AUDITORIA
204. Por tratar-se de uma auditoria operacional, o relatrio da auditoria de gesto de riscos deve
seguir os padres estabelecidos no Manual de Auditoria Operacional (BRASIL, 2010), com
as seguintes observaes especficas:
a) cada captulo principal tratar de uma dimenso do modelo de avaliao;
b) cada subttulo tratar de uma seo do modelo, quando aplicvel;
c) os textos explicativos que constam do Apndice I, bem como da descrio do modelo de
avaliao (captulo 6), podem ser aproveitados para descrever o objetivo do captulo,
fazer a sua contextualizao e descrever o seu contedo, como exemplificado a seguir.
AMBIENTE
O objetivo do captulo descrever o resultado da avaliao das capacidades existentes na
organizao, em termos de liderana, polticas & estratgias e preparo das pessoas,
incluindo aspectos relacionados com a cultura, a governana de riscos e a considerao do
risco na definio da estratgia e dos objetivos em todos os nveis, para que a gesto de
riscos tenha as condies necessrias para prosperar e fornecer segurana razovel do
cumprimento da misso institucional na gerao de valor para as partes interessadas.
Contextualizao especfica do captulo
Para que uma organizao possa desfrutar de um gerenciamento de riscos eficaz, a atitude e
o interesse da alta administrao devem ser claros e definitivos, bem como permear toda a
organizao. No suficiente apenas dizer as palavras corretas, uma atitude de faa o que
digo e no o que fao somente gerar um ambiente inadequado, assim, a liderana um
aspecto fundamental, avaliado neste captulo, para que uma gesto de riscos eficaz possa
prosperar na organizao.
A gesto de riscos deve fazer parte das consideraes sobre estratgias e planos em todos os
nveis crticos da organizao, concretizando-se pelo processo de gerenciamento de riscos
nas operaes, funes e atividades relevantes nas diversas partes da organizao.
Organizaes com polticas e estratgias de gesto de riscos adequadas contam com:
a) um processo e mtodos para definir claramente objetivos e tolerncias a risco ou
variaes aceitveis no desempenho para permitir que os seus riscos e resultados possam
ser gerenciados, incorporando explicitamente indicadores-chaves de risco e
desempenho em suas estruturas de governana e gesto;
b) competncias e capacidade para identificar eventos potenciais que podem impactar a
organizao, o governo ou a comunidade e fazem uso de medidas prticas e razoveis
para gerenciar esses eventos;
c) assegurao de que sua administrao e seu corpo executivo:
i. esto adequadamente informados sobre as exposies a risco da organizao;
ii. esto completa e diretamente envolvidos em estabelecer e rever o processo de
gesto de riscos em suas reas; e
iii. alocam recursos adequados e suficientes para a gesto de riscos, levando em
conta a natureza e o nvel dos riscos identificados e o tamanho da organizao.
Pgina | 54
O gerenciamento de riscos um processo efetuado pelo conselho de administrao, pela
diretoria executiva e pelos demais empregados, isto , pelas pessoas, mediante o que fazem
e o que dizem. So as pessoas que estabelecem a misso, a estratgia e os objetivos e
implementam os mecanismos de gerenciamento de riscos da organizao (COSO, 2004).
Assim, o gerenciamento de riscos afeta as aes das pessoas, e estas o gerenciamento de
riscos, uma vez que nem sempre entendem, se comunicam ou desempenham suas funes de
forma consistente. A gesto de riscos deve proporcionar os mecanismos necessrios para
ajudar as pessoas a entender o risco no contexto dos objetivos da organizao, bem como
suas responsabilidades e seus limites de autoridade, criando uma associao clara e estreita
entre os deveres das pessoas e como elas os cumprem no tocante estratgia e aos objetivos
da organizao (COSO, 2004).
Portanto, o grau de conhecimento das pessoas sobre os objetivos da organizao, a existncia
de canais de comunicao para que questes relacionadas a risco sejam levantadas e
decididas, a definio clara de responsabilidades e limites de autoridade em relao aos
processos de gesto de riscos, a existncia de arcabouo conceitual de risco uniformemente
conhecido e utilizado na organizao, bem como a oferta de cursos de capacitao sobre o
tema so atributos importantes que devem estar presentes na conformao de um ambiente
de gesto de riscos apropriado.
Descrio do contedo do captulo
Este captulo est dividido em trs sees, na primeira, que trata da liderana, avalia-se em
que medida os responsveis pela governana e a alta administrao assumem um
compromisso forte e sustentado e exercem superviso para obter comprometimento com a
gesto de riscos em todos os nveis da organizao, promovendo-a e dando suporte, de modo
que possam ter uma expectativa razovel de que no cumprimento da misso institucional, a
organizao entende e capaz de gerenciar os riscos associados sua estratgia para atingir
seus objetivos de gerar valor para as partes interessadas, tendo o cidado e a sociedade como
vetores principais.
Na segunda seo, avalia-se em que medida a organizao dispe de polticas e estratgias
de gesto de riscos definidas, comunicadas e postas em prtica, de maneira que o risco seja
considerado na definio da estratgia, dos objetivos e planos em todos os nveis crticos da
entidade, e gerenciado nas operaes, funes e atividades relevantes das diversas partes da
organizao.
Por fim, a terceira seo do captulo, avalia se as pessoas na organizao esto informadas,
habilitadas e autorizadas para exercer os seus papis e as suas responsabilidades no
gerenciamento de riscos e controles; entendem esses papis e os limites de suas
responsabilidades, e como os seus cargos se encaixam na estrutura de gerenciamento de
riscos e controle interno da organizao.
205. Alm disso, a combinao de outros textos que constam do apndice de critrios e da matriz
de planejamento, pode ajudar o auditor a descrever os achados de auditoria e as boas prticas
da organizao, devendo o auditor, neste caso, realizar as adaptaes necessrias ao contexto
especfico do trabalho, tomando o devido cuidado de no apenas realizar uma cpia, mas
utilizar os textos como inspirao.
Pgina | 55
8.5.1. Comentrios de gestores
206. Por ser uma auditoria operacional, a regra submeter o relatrio preliminar aos comentrios
dos gestores, inclusive os achados, as concluses e as propostas de encaminhamento
formuladas pela equipe. A incluso desses comentrios no relatrio final resulta em um
documento que no s apresenta os achados, as concluses e as propostas da equipe, mas
tambm a perspectiva dos dirigentes da entidade e as aes corretivas que pretendem tomar.
Os comentrios recebidos dos gestores devem, sempre que possvel, ser incorporados, de
forma resumida, no relato dos achados e sero analisados pela equipe juntamente com os
demais fatos (NAT, 144-145 e 147).
207. O relatrio preliminar a ser submetido aos gestores deve ser antes revisado pelo supervisor e
deve ser remetido por intermdio de ofcio da unidade tcnica, estipulando-se prazo reduzido,
porm factvel, para que os gestores encaminhem seus comentrios. O ofcio deve informar
que a obteno desses comentrios no representa abertura do contraditrio e, portanto, no
significa exerccio de direito de defesa, o qual, se necessrio, poder ser exercido nas etapas
processuais posteriores. Deve, ainda, esclarecer que a no apresentao dos comentrios, no
prazo estipulado, no impedir o andamento normal do processo nem ser considerada
motivo de sano (NAT, 146)
8.5.2. Propostas de encaminhamento
208. As propostas de determinao e de recomendao devem ser formuladas focando o qu

deve ser aperfeioado ou corrigido e no o como, dado discricionariedade que cabe ao
gestor e ao fato de que a equipe de auditoria no detm a nica ou a melhor soluo para o
problema identificado. Recomendaes geralmente sugerem o aperfeioamento necessrio,
mas no a forma de alcan-lo (NAT, 165).
209. Quando o gestor apresentar planos de ao consistentes para os aperfeioamentos necessrios

apontados no relatrio preliminar, estes planos devem ser noticiados no relatrio final, sem
formulao de propostas de encaminhamento, a no ser para a realizao de monitoramento
posterior da implementao do plano de ao, se relevante.
210. Para que as propostas da equipe sejam relevantes, convm levar em conta que uma prtica,
componente ou dimenso de nvel aprimorado ou avanado, s deveriam ter propostas
formuladas considerando uma vantagem clara em termos de custo-benefcio que a sua
implementao poder proporcional para o alcance dos resultados da gesto de riscos.
Pgina | 56
9. GLOSSRIO
Accountability pblica obrigao que tm as pessoas, fsicas ou jurdicas, pblicas ou

privadas, s quais se tenha confiado recursos pblicos, de assumir as responsabilidades de
ordem fiscal, gerencial e programtica que lhes foram conferidas, e de informar a sociedade e
a quem lhes delegou essas responsabilidades sobre o cumprimento de objetivos e metas e o
desempenho alcanado na gesto dos recursos pblicos. , ainda, obrigao imposta a uma
pessoa ou entidade auditada de demonstrar que administrou ou controlou os recursos que lhe
foram confiados em conformidade com os termos segundo os quais eles lhe foram entregues
(TCU, 2011). Ver tambm Responsabilizao.
Aceitar risco ver Resposta a risco.
Alta administrao gestores que integram o nvel executivo mais elevado da organizao
com poderes para estabelecer as polticas, os objetivos e conduzir a implementao da estratgia
para realizar os objetivos da organizao.
Anlise de riscos processo de compreender a natureza e determinar o nvel (magnitude,
severidade) de um risco ou combinao de riscos, mediante a combinao das consequncias e
de suas probabilidades (ABNT, 2009).
Apetite a risco quantidade de risco em nvel amplo que uma organizao est disposta a
aceitar na busca de seus objetivos (INTOSAI, 2007). Quantidade e tipo de riscos que uma
organizao est preparada para buscar, reter ou assumir (ABNT, 2009a).
Arranjos de contingncia acordos que estabelecem como as partes devem proceder caso um
ou mais riscos se concretizem.
Atividade termo genrico utilizado para expressar operaes, aes ou transaes que uma
organizao, pessoa ou entidade realiza com vistas ao alcance de objetivos determinados,
refletindo os fluxos de trabalho cotidianos que formam os processos de trabalho (TCU, 2012).
Atividades de controle aes estabelecidas por meio de polticas e procedimentos que
ajudam a garantir o cumprimento das diretrizes determinadas pela administrao para mitigar
os riscos realizao dos objetivos (COSO, 2013).
Avaliao de riscos processo de comparar os resultados da anlise de riscos com os critrios
de risco da organizao, para determinar se um risco e/ou sua magnitude aceitvel ou tolervel
(ABNT, 2009).
Consequncia resultado de um evento que afeta positiva ou negativamente os objetivos da
organizao.
Controles internos ver Atividades de controle.
Critrios de auditoria referncias usadas para mensurar ou avaliar o objeto de auditoria
(ISSAI 100; ISA/NBCTA Estrutura Conceitual para trabalhos de assegurao). O referencial
que indica o estado requerido ou desejado ou a expectativa em relao ao objeto de auditoria.
Reflete como deveria ser a gesto, provendo o contexto para compreenso dos achados de
auditoria e para a avaliao das evidncias de auditoria (BRASIL, 2011).
Estrutura de gesto de riscos conjunto de componentes que fornecem os fundamentos e os
arranjos organizacionais para a concepo, implementao, monitoramento, anlise crtica e
melhoria contnua da gesto de riscos atravs de toda a organizao (ABNT, 2009).
Pgina | 57
Evento um incidente ou uma ocorrncia de fontes internas ou externas organizao, que
podem impactar a implementao da estratgia e a realizao de objetivos de modo negativo,
positivo ou ambos (INTOSAI, 2007). Eventos com impacto negativo representam riscos.
Eventos com impacto positivo representam oportunidades; ocorrncia ou mudana em um
conjunto especfico de circunstncias, podendo consistir em alguma coisa no acontecer. A
expresso eventos potenciais muitas vezes utilizada para caracterizar riscos (ABNT, 2009).
Nota 1 Os fundamentos incluem a poltica, objetivos, mandatos e comprometimento para gerenciar riscos.
Nota 2 Os arranjos organizacionais incluem planos, relacionamentos, responsabilidades, recursos, processos e
atividades. (ABNT, 2009).
Evitar risco ver Resposta a risco.
Fonte de risco elemento que, individualmente ou combinado, tem o potencial intrnseco para
dar origem ao risco (ABNT, 2009).
Gerenciamento de riscos - aplicao de uma arquitetura (princpios, estrutura e processo) para
identificar riscos, analisar e avaliar se devem ser modificados por algum tratamento a fim de
atender critrios de risco. Ao longo desse processo, comunica-se e consulta-se as partes
interessadas, monitora-se e analisa-se criticamente os riscos e os controles que os modificam, a
fim de assegurar que nenhum tratamento de risco adicional requerido (ABNT, 2009).
Gerenciamento de riscos corporativos processo efetuado pelo conselho de administrao,
gestores e outras pessoas, aplicado na definio da estratgia e atravs de toda a entidade,
estruturado para identificar potenciais eventos que possam afetar a entidade e gerenci-los para
mant-los dentro de seu apetite a risco, de modo a fornecer uma garantia razovel quanto
realizao dos objetivos da entidade (COSO GRC, 2004; INTOSAI, 2007).
Gesto estruturas responsveis pelo planejamento, execuo, controle, ao, enfim, pelo
manejo dos recursos e poderes colocados disposio de rgos e entidades para a consecuo
de seus objetivos, com vistas ao atendimento das necessidades e expectativas dos cidados e
demais partes interessadas (TCU, 2014).
Gesto de riscos atividades coordenadas para dirigir e controlar uma organizao no que se
refere ao risco (ABNT, 2009).
Gesto de riscos atividades coordenadas para dirigir e controlar uma organizao no que se
refere a risco (ABNT, 2009).
Gestor pessoa que ocupa funo de gesto em qualquer nvel hierrquico da organizao.
Governana conjunto de polticas e processos que moldam a maneira como uma organizao
dirigida, administrada, controlada e presta contas do cumprimento das suas obrigaes de
accountability. No setor pblico, a governana compreende essencialmente os mecanismos de
liderana, estratgia e controle postos em prtica para avaliar, direcionar e monitorar a atuao
da gesto, com vistas conduo de polticas pblicas e prestao de servios de interesse da
sociedade (BRASIL, 2014).
Identificao de riscos processo de busca, reconhecimento e descrio de riscos; envolve a
identificao das fontes de risco, os eventos, suas causas e suas consequncias potenciais
(ABNT, 2009), pode envolver anlise de dados histricos, anlises tericas, opinies de pessoas
informadas e de especialistas, e as necessidades das partes interessadas.
Indicadores-chaves de desempenho nmero, percentagem ou razo que mede um aspecto
do desempenho na realizao de objetivos estratgicos e operacionais relevantes para o negcio,
Pgina | 58
relacionados aos objetivos-chaves da organizao, com o objetivo de comparar esta medida
com metas preestabelecidas (TCU, 2010d, adaptado).
Indicadores-chaves de risco nmero, percentagem ou razo estabelecido para monitorar as
variaes no desempenho em relao meta para o cumprimento de objetivos estratgicos e
operacionais relevantes para o negcio, relacionados aos objetivos-chaves da organizao
(TCU, 2010d, adaptado).
Macroprocessos processos mais abrangentes da organizao. Representam conjuntos de
atividades agregadas em nvel de abstrao amplo, que formam a cadeia de valor de uma
organizao, explicitando como ela opera para cumprir sua misso e atender as necessidades de
suas partes interessadas (BRASIL, 2011). Ver tambm Processo.
Mapa de processo - representao grfica da sequncia de atividades que compem um
processo, fornecendo uma viso dos fluxos operacionais do trabalho, incluindo, a depender do
nvel de anlise que se deseja realizar, a evidenciao dos agentes envolvidos, os prazos, o fluxo
de documentos, o processo decisrio (BRASIL, 2003).
Matriz de achados papel de trabalho que estrutura o desenvolvimento dos achados,
explicitando para cada um a situao encontrada (ou condio) o critrio de auditoria, as causas,
os efeitos, as evidncias de auditoria, as propostas de encaminhamento (BRASIL, 2011).
Matriz de avaliao de riscos papel de trabalho que estrutura e sistematiza a identificao
de riscos, a anlise de riscos e a avaliao de riscos, incluindo a avaliao de controles internos
e outras respostas a riscos, podendo incluir as decises sobre o tratamento de riscos.
Matriz de planejamento papel de trabalho que organiza e sistematiza o planejamento do
trabalho de auditoria e documenta o programa de auditoria, discriminando o objetivo de
auditoria e as questes de auditoria formuladas para alcanar tal objetivo; as informaes
requeridas, as fontes de informaes e os procedimentos de auditoria para responder s
questes. (NAT, 94, 96-97, BRASIL, 2011).
Matriz de risco matriz grfica que exprime o conjunto de combinaes de probabilidade e
impacto de riscos para classificar os nveis de risco.
Medidas de contingncia aes previamente planejadas que devem ser executadas caso um
ou mais riscos se concretizem.
Mitigar risco ver Resposta a risco.
Monitoramento verificao, superviso, observao crtica ou identificao da situao,
executadas de forma contnua, a fim de identificar mudanas no nvel de desempenho requerido
ou esperado. Monitoramento pode ser aplicado a riscos, a controles, estrutura de gesto de
riscos e ao processo de gesto de riscos.
Nvel de risco magnitude de um risco ou combinao de riscos, expressa em termos da
combinao das consequncias [impacto] e de suas probabilidades (ABNT, 2009).
Objetivos-chaves os macro-objetivos, macroprodutos ou resultados finalsticos que geram,
preservam e entregam de valor pblico em benefcio do conjunto da sociedade ou de alguns
grupos especficos reconhecidos como destinatrios legtimos de bens e servios pblicos
(SERRA, 2008).
Obrigaes de accountability ver Accountability pblica.
Pgina | 59
rgo de governana conselho de administrao, diretoria colegiada ou semelhantes ou
ainda rgos com responsabilidade de superviso geral da direo estratgica de entidades e
das responsabilidades relacionadas s obrigaes de accountability.
Parceria - arranjo estabelecido a fim de possibilitar um relacionamento colaborativo entre as
partes (denominadas parceiras) visando o alcance de objetivos especficos previamente
acordados entre eles.
Parte interessada (stakeholder) pessoa ou organizao que pode afetar, ser afetada, ou
perceber-se afetada por uma deciso ou atividade da organizao (ABNT, 2009).
Plano de gesto de riscos esquema dentro da estrutura de gesto de riscos, que especifica a
abordagem, os componentes de gesto e os recursos a serem aplicados para gerenciar riscos,
incluindo, tipicamente, procedimentos, prticas, atribuio de responsabilidades, sequncia e
cronologia das atividades (ABNT, 2009). Um manual ou complemento poltica de gesto de
riscos que pode ser aplicado a um determinado produto, processo e projeto, em parte ou em
toda a organizao (ABNT, 2009, adaptado).
Poltica de gesto de riscos documento que contm a declarao das intenes e diretrizes
gerais relacionadas gesto de riscos e estabelece claramente os objetivos e o
comprometimento da organizao em relao gesto de riscos. No se trata de uma declarao
de propsitos genrica, mas de um documento que, alm de declarar os princpios, explica
porque a gesto de riscos adotada, o que se pretende com ela, onde, como e quando ela
aplicada, quem so os responsveis em todos os nveis, dentre outros aspectos (ABNT, 2009).
Processo conjunto de atividades inter-relacionadas ou interativas que transformam insumos
(entradas) em produtos/servios (sadas) com valor agregado. Processos so geralmente
planejados e realizados de maneira contnua para agregar valor na gerao de produtos e
servios. Processos podem ser agrupados em macroprocessos e subdivididos em subprocessos
(BRASIL, 2011).
Processo de avaliao de riscos processo global representado pelo conjunto de mtodos e
tcnicas que possibilitam a identificao de riscos, a anlise de riscos e a avaliao de riscos
que possam impactar os objetivos de organizaes, programas, projetos e atividades. Envolve
a identificao das fontes de risco, dos eventos e de sua probabilidade de ocorrncia, de suas
causas e suas consequncias potenciais, das reas de impacto, das circunstncias envolvidas,
inclusive aquelas relativas a cenrios alternativos (ABNT, 2009, adaptado).
Processo de gesto de riscos aplicao sistemtica de polticas, procedimentos e prticas de
gesto para as atividades de comunicao, consulta, estabelecimento do contexto, e na
identificao, anlise, avaliao, tratamento, monitoramento e anlise crtica de riscos (ABNT,
2009). Sinnimo de gerenciamento de riscos.
Processos de governana os processos que integram os mecanismos de liderana, estratgia
e controle e que permitem aos responsveis pela governana a avaliar, direcionar e monitorar a
atuao da gesto (BRASIL, 2014).
Responsabilizao (accountability) responsabilidade de uma organizao ou indivduo
perante suas decises e atividades e prestao de contas a seus rgos de governana,
autoridades legais e, de modo mais amplo, as suas outras partes interessadas no que se refere a
essas decises e atividades (ABNT, 2010). Ver tambm Accountability pblica.
Pgina | 60
Responsveis pela governana pessoas ou organizaes com responsabilidade de superviso
geral da direo estratgica da entidade e das responsabilidades relacionadas s obrigaes de
accountability da organizao (ISSAI 1003).
Respostas a risco opes e aes gerenciais para tratamento de riscos. Inclui evitar o risco
pela deciso de no iniciar ou descontinuar a atividade que d origem ao risco porque o risco
est alm do apetite a risco da organizao e outra resposta no aplicvel; transferir ou
compartilhar o risco outra parte, mitigar, aceitar ou reter o risco por uma escolha consciente
aceitar o risco por uma escolha consciente; ou mitigar o risco diminuindo sua probabilidade de
ocorrncia ou minimizando suas consequncias (INTOSAI, 2007).
Risco possibilidade de um evento ocorrer e afetar adversamente a realizao de objetivos
(COSO GRC, 2004); possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido
em termos de consequncias e probabilidades (BRASIL, 2010c); efeito da incerteza nos
objetivos (ABNT, 2009).
Risco de controle possibilidade de que os controles adotados pela administrao no sejam
eficazes para tratar o risco a que se prope.
Risco de oportunidade risco associado a aproveitar oportunidades que podem gerar
benefcios organizao.
Risco estratgico risco de longo prazo ou risco de oportunidade relacionado aos objetivos
estratgicos e s estratgias adotadas para alcan-los.
Risco inerente o risco intrnseco natureza do negcio, do processo ou da atividade,
independentemente dos controles adotados.
Risco operacional risco de perdas resultantes direta ou indiretamente de falha ou inadequao
de processos internos, pessoas e sistemas ou de eventos externos.
Risco residual o risco retido de forma consciente ou no pela administrao, que remanesce
mesmo aps o tratamento de riscos.
Risco significativo aquele com grande probabilidade de ocorrer e, se ocorrer, ter um impacto
relevante nos objetivos (LONGO, 2011).
Riscos-chaves riscos estratgicos e riscos operacionais relevantes para o negcio,
relacionados aos objetivos-chaves da organizao.
Transferir risco Ver Repostas a riscos.
Tratamento de riscos processo de implementar respostas a risco selecionadas. Ver Repostas
a riscos.
Valor pblico produtos e resultados gerados, preservados ou entregues pelas atividades de
uma organizao pblica que representem respostas efetivas e teis s necessidades ou
demandas de interesse pblico e modifiquem certos aspectos do conjunto da sociedade ou de
alguns grupos especficos reconhecidos como destinatrios legtimos de bens e servios
pblicos (SERRA, 2008).
Pgina | 61
10.REFERNCIAS
ABNT (ASSOCIAO BRASILEIRA DE NORMAS TCNICAS). NBR ISO 31000: Gesto

de Riscos: Princpios e diretrizes. Rio de Janeiro, 2009.
______. ABNT ISO GUIA 73: Gesto de Riscos: Vocabulrio, 2009a.
______. ABNT NBR ISO 26000:2010 Diretrizes sobre responsabilidade social. Rio de
Janeiro, 2010.
AVALOS, Jos Miguel Aguilera. Auditoria e gesto de riscos; Instituto Chiaventato (org.)
So Paulo : Saraiva, 2009.
BRASIL. Ministrio do Planejamento, Oramento e Gesto. Guia de Orientao para o
Gerenciamento de Riscos. Secretaria de Gesto Pblica. Departamento de Inovao e Melhoria
da Gesto. Gerncia do Programa GESPBLICA. Braslia, 2013. Disponvel em
<http://www.planejamento.gov.br/secretarias/upload/Arquivos/segep/projeto/2013_03_01_Pr
oduto_VII_Risco_Oportunidade_PT.pdf>. Acesso em: maro, 2017.
______. ______ e Controladoria-Geral da Unio. Instruo Normativa Conjunta N 1, de 10 de
maio de 2016. Dispe sobre controles internos, gesto de riscos e governana no mbito do
Poder Executivo federal. Braslia, 2016. Disponvel em <
http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=14&data=11/05/2
016>. Acesso em: maio 2016.
______. Tribunal de Contas da Unio. Tcnica de Auditoria Mapa de Processo. Braslia:
TCU, Secretaria de Fiscalizao e Avaliao de Programas de Governo (Seprog), 2003.
_____. _____. Tribunal de Contas da Unio. Anlise_____. Manual de auditoria operacional.
Braslia: TCU, 2010. Disponvel em: <http://www.tcu.gov.br>. Acesso em: maro, 2017.
_____. _____. Anlise SWOT e Diagrama de Verificao de Risco aplicados em Auditoria.
Braslia: TCU, Secretaria de Fiscalizao e Avaliao de Programas de Governo (Seprog),
2010a. Disponvel em: <http://www.tcu.gov.br>. Acesso em: maro, 2017.
_____. _____. Tcnica de pesquisa para auditorias. Braslia: TCU, Secretaria de Fiscalizao
e Avaliao de Programas de Governo (Seprog), 2010b. Disponvel em:
<http://www.tcu.gov.br>. Acesso em: maro, 2017.
_____. _____. Instruo Normativa 63/2010. Estabelece normas de organizao e de
apresentao dos relatrios de gesto e das peas complementares que constituiro os processos
de contas da administrao pblica federal, para julgamento do Tribunal de Contas da Unio,
nos termos do Art. 7 da Lei n 8.443, de 1992. Braslia: TCU, 2010c. Disponvel em:
_____. _____. Tcnica de Indicadores de Desempenho para Auditorias. Braslia: TCU,
Segecex, Secretaria de Fiscalizao e Avaliao de Programas de Governo (Seprog), 2010d.
Disponvel em: <http://www.tcu.gov.br>. Acesso em: maro, 2017.
_____. _____. Padres de Levantamento. Portaria-Segecex 15/2011. Braslia: TCU, Segecex,
Secretaria Adjunta de Planejamento e Procedimentos (Adplan) e Secretaria Adjunta de
Superviso e Suporte (Adsup), 2011. Disponvel em: <http://www.tcu.gov.br>. Acesso em:
maro, 2017.
Pgina | 62
_____. _____. Curso Avaliao de Controles Internos. Conteudistas: Antonio Alves de
Carvalho Neto, Bruno Medeiros Papariello. Aula 2. Modelos de referncia para controle
interno. 2. ed. Braslia: TCU, Instituto Serzedello Corra, 2012.
_____. _____. Acrdo n 2467/2013-TCU-Plenrio. Ata 35, Sesso de 11/09/2013.
Levantamento de auditoria para elaborao de indicador para medir o grau de maturidade de
entidades pblicas na gesto de riscos. Braslia, 2013. Disponvel em:
_____. _____. Curso Gesto de Riscos Princpios e Diretrizes. Antonio Alves de Carvalho
Neto. 1. ed. presencial (slides) Braslia: TCU, Instituto Serzedello Corra, 2013a.
_____. _____. Tcnica de grupo focal para auditorias. Braslia: TCU, Secretaria de Mtodos
Aplicados e Suporte Auditoria (Seaud), 2013b. Disponvel em: <http://www.tcu.gov.br>.
Acesso em: maro, 2017.
_____. _____. Resoluo-TCU n 246, de 30 de novembro de 2011. Altera o Regimento Interno
do Tribunal de Contas da Unio, aprovado pela Resoluo TCU n 155, de 4 de dezembro de
2002. Braslia, 2015. Disponvel em: <http://www.tcu.gov.br>. Acesso em: maro, 2017.
_____. _____. Normas de Auditoria do Tribunal de Contas da Unio. Reviso Junho 2011.
Braslia: TCU, 2011. Disponvel em: <http://www.tcu.gov.br>. Acesso em: maro, 2017.
_____. _____. Regimento Interno do Tribunal de Contas da Unio. Braslia: TCU, 2012.
Disponvel em: <http://www.tcu.gov.br>. Acesso em: maro, 2017.
_____. _____. Referencial bsico de governana aplicvel a rgos e entidades da
administrao pblica. Verso 2. - Braslia: TCU, Secretaria de Planejamento, Governana e
Gesto (Seplan), 2014. Disponvel em: <http://www.tcu.gov.br>. Acesso em: maro, 2017.
CANAD. Secretaria do Conselho do Tesouro do Canad. Framework for the management of
risk. Ottawa, 2010a. Disponvel em: <http://www.tbs-sct.gc.ca/pol/doc-
eng.aspx?id=19422&section=text>. Acesso em: maio de 2012.
_____. Secretaria do Conselho do Tesouro do Canad. Guide to integrated risk management.
Ottawa, 2010b. Disponvel em: <http://www.tbs-sct.gc.ca/tbs-sct/rm-gr/guides/girm-ggirtb-
eng.asp>. Acesso em: maio de 2012.
COYLE, G. The Analytic Hierarchy Process. Pearson Educational: New York, 2004.
THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY
COMMISSION (COSO). Controle Interno: Estrutura Integrada: Sumrio Executivo e
Estrutura. Traduo: PriceWatherhouseCoopers e Instituto dos Auditores Internos do Brasil,
So Paulo, 2013. Disponvel em:
<http://www.iiabrasil.org.br/new/2013/downs/coso/COSO_ICIF_2013_Sumario_Executivo.p
df>. Acesso em: maro, 2017.
_____. Gerenciamento de Riscos Corporativos: Estrutura Integrada: Sumrio Executivo e
Estrutura (COSO GRC, 2004). Traduo: PriceWatherhouseCoopers e Instituto dos Auditores
Internos do Brasil, So Paulo, 2007. Disponvel em:
<http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf>.
Acesso em: maro, 2017.
Pgina | 63
_____. Enterprise Risk Management: Align Risk with Strategy and Performance. COSO, 2016.
Disponvel em: <http:// http://erm.coso.org/Pages/viewexposuredraft.aspx>. Acesso em:
maro, 2017.
DAHMS, T. Risk management and corporate governance: are they the same? 2008. Disponvel
em: <http://www.plumcon.com.au/PDF/Risk_Gov_1.pdf>. Acesso em: junho de 2013.
DANTAS, Jos Alves; RODRIGUES, Fernanda Fernandes; MARCELINO, Gileno Fernandes;
LUSTOSA, Paulo Roberto Barbosa. Custo-benefcio do controle: proposta de um mtodo para
avaliao com base no COSO. Revista de Contabilidade, Gesto e Governana. 2010.
DE CICCO, Francesco (Rev.). Gesto de Riscos: Diretrizes para implementao da ISO
31000:2009 (Srie Risk Management). Risk Tecnologia Editora, 2009.
ESTADOS UNIDOS. General Accounting Office (GAO). GAO-01-1008G: Ferramenta de
gesto e avaliao de controle interno. Washington, D.C., 2001.
INSTITUTO DOS AUDITORES INTERNOS (IIA). Normas Internacionais para a Prtica
Profissional de Auditoria Interna. Flrida, 2009. Traduo: Instituto dos Auditores Internos do
Brasil. So Paulo, 2009.
______. Declarao de Posicionamento do IIA: O Papel da Auditoria Interna no
Gerenciamento de Riscos. Flrida, 2009. Traduo: Instituto dos Auditores Internos do Brasil.
So Paulo, 2009a.
_____. Declarao de Posicionamento do IIA: As Trs Linhas de Defesa no gerenciamento
eficaz de riscos e controles. Flrida, 2013. Traduo: Instituto dos Auditores Internos do Brasil.
So Paulo, 2013.
INTOSAI (International Organization of Supreme Audit Institutions). Reporting Standards in
Government Auditing (ISSAI 400). Vienna, 2001. Disponvel em: <www.issai.org>. Acesso
em: junho 2015.
_____. Performance Audit Methodology to ISSAI 3000 (ISSAI 3000/Appendix 1, 2004).
Viena: Intosai, 2004. Disponvel em: <www.issai.org>. Acesso em: junho 2015.
_____. Subcomit de Normas de Controle Interno. Diretrizes para Normas de Controle Interno
do Setor Pblico Informaes Adicionais sobre Gesto de Risco nas Entidades. INTOSAI
GOV 9130. ustria, 2007. Traduo: Antonio Alves de Carvalho Neto. Braslia, 2013.
KNIGHT, K. Risk Management: an integral component of corporate governance and good
management. ISO Bulletin, p.21-24, Out. 2003.
LONGO, Cludio Gonalo. Manual de Auditoria e Reviso de Demonstraes Financeiras.
So Paulo: Atlas, 2011.
MARTINS, N. C.; SANTOS, L. R.; DIAS FILHO, J. M. Governana empresarial, riscos e
controles internos: a emergncia de um novo modelo de controladoria. Revista Contabilidade
& Finanas, So Paulo,n. 34, p. 7-22, jan./abr. 2004.
OCDE (OECD - Organisation for Economic Co-operation and Development). Avaliaes da
OCDE Sobre Governana Pblica: Avaliao da OCDE sobre o Sistema de Integridade da
Administrao Pblica Federal Brasileira - Gerenciando riscos por uma administrao
pblica mais ntegra. OECD Publishing, 2011. Disponvel em:
Pgina | 64
<http://www.cgu.gov.br/assuntos/articulacao-internacional/convencao-da-
ocde/arquivos/avaliacaointegridadebrasileiraocde.pdf/view>. Acesso em: maro, 2017.
REINO UNIDO (UK). National Audit Office. Focus Groups. How to apply the technique to
vfm work. London: NAO, 1997.
______. ______. Comptroller and Auditor General. Supporting innovation: Managing risk in
government departments. Londres, 2000. Disponvel em: <http://www.nao.org.uk/wp-
content/uploads/2000/08/9900864.pdf>. Acesso em: outubro de 2014.
_____. HM Treasury. Management of Risk - Principles and Concepts - The Orange Book. HM
Treasury do HM Government, 2004._______._______. Risk management assessment
framework: a tool for departaments. London, 2009. Disponvel em:
<https://www.gov.uk/government/uploads/system/uploads/
attachment_data/file/191516/Risk_management_assessment_framework.pdf>. Acesso em:
maio de 2012.
_____. _____. Risk management assessment framework: a tool for departments. Londres, 2009.
Disponvel em: <https://www.gov.uk/government/uploads/system/uploads/
attachment_data/file/191516/Risk_management_assessment_framework.pdf>. Acesso em:
maio de 2012.
SERRA, Alberto. Modelo aberto de gesto para resultados no setor pblico. traduo de Ernesto
Montes-Bradely y Estayes. Secretaria de Estado da Administrao e dos Recursos Humanos
(SEARH/RN): Natal, RN, 2008.
SINEK, Simon. Start with Why: How Great Leaders Inspire Everyone to Take Action. Penguin
Group: New York, 2011.
Pgina | 65
APNDICES
Pgina | 66
11.APNDICES
APNDICE I CRITRIOS PARA AVALIAO DA MATURIDADE EM GESTO DE RISCOS
Dimenses do modelo de avaliao e Prticas relacionadas Fontes dos critrios

1. AMBIENTE
Nesta dimenso, busca-se avaliar as capacidades existentes na organizao em termos de liderana, polticas, estratgias e de preparo das
pessoas, incluindo aspectos relacionados com cultura, a governana de riscos e a considerao do risco na definio da estratgia e dos
objetivos em todos os nveis, para que a gesto de riscos tenha as condies necessrias para prosperar e fornecer segurana razovel do
cumprimento da misso institucional na gerao de valor para as partes interessadas.
1.1. Liderana
Nesta seo, busca-se avaliar em que medida os responsveis pela governana e a alta administrao exercem suas responsabilidades de
governana de riscos e cultura, assumindo um compromisso forte e sustentado e exercendo superviso para obter comprometimento com a
gesto de riscos em todos os nveis da organizao, promovendo-a e dando suporte, de modo que possam ter uma expectativa razovel de
que no cumprimento da sua misso institucional, a organizao entende e capaz de gerenciar os riscos associados sua estratgia para atingir
os seus objetivos de agregar, preservar e entregar valor s partes interessadas, tendo o cidado e a sociedade como vetores principais.
Cultura
1.1.1. A alta administrao e os responsveis pela governana reconhecem importncia da cultura,
integridade e valores ticos, e da conscincia de riscos como aspectos-chaves para o reforo da IN-MP/CGU N 1/2016, Art. 8, I
accountability: e II; Art. 11, I; Art. 16, I e Art. 21;
a) fornecendo normas, orientaes e supervisionando a incluso desses aspectos-chaves nos COSO GRC 2004, 2;
programas de apoio ao desenvolvimento de gestores;
COSO GRC Public Exposure (PE)
b) reforando o comprometimento das lideranas com a cultura de gesto baseada em riscos e 2016, Princpios 3, 4 e 5;
com os valores fundamentais da organizao; e ISO 31000:2009, 3, h e 4.2;
c) instituindo polticas, programas e medidas definindo padres de comportamento desejveis, OCDE, 2011.
tais como cdigos de tica e de conduta, canais de comunicao para cima e de denncia,
ouvidoria, e avaliao da aderncia integridade e aos valores ticos.
Pgina | 67
Governana de riscos IN-MP/CGU N 1/2016, Art. 23,
1.1.2. Os responsveis pela governana e a alta administrao utilizam instncias internas (p.ex.: comits II, Art. 17, II, a e d;
de governana, riscos e controles, auditoria, coordenao de gesto de riscos etc.) e outras
COSO GRC 2004, 10; COSO GRC
medidas para apoiar suas responsabilidades de governana de riscos e assegurar que a gesto de
PE 2016, Princpios 1, e 2;
riscos seja integrada aos processos de gesto, desde o planejamento estratgico at os projetos e
processos de todas as reas, funes e atividades relevantes para o alcance dos objetivos-chaves ISO 31000:2009, 3, b, c, e
da organizao. e 4.1.
Superviso da governana e da alta administrao

1.1.3. Os responsveis pela governana e a alta administrao supervisionam a estratgia e exercem suas
responsabilidades de governana de riscos, inclusive mediante:
a) incorporao explcita e monitoramento regular de indicadores-chaves de risco e indicadores-
chaves de desempenho nos seus processos de governana e gesto;
IN-MP/CGU N 1/2016, Art. 16,
b) notificao regular e oportuna sobre as exposies da organizao a riscos, sobre os riscos mais pargrafo nico; Art. 19, 20 e
significativos e sobre como a administrao est respondendo a esses riscos; 23, IX;
c) reviso sistemtica da viso de portflio de riscos em contraste com o apetite a riscos e COSO GRC 2004, 10; COSO GRC
fornecimento de direo clara para gerenciamento dos riscos; PE 2016, Princpios 1, 2 e 5;
d) utilizao dos servios da auditoria interna e de outras instncias de assegurao para se ISO 31000:2009, 4.2.
certificarem de que a administrao tem processos eficazes de gerenciamento de riscos e
controle; e
e) definio do nvel de maturidade almejado para a gesto de riscos e monitoramento do
progresso das aes para atingir ou manter-se no nvel definido.
Pgina | 68
1.2. Polticas e estratgias
Nesta seo, busca-se avaliar em que medida a organizao dispe de polticas e estratgias de gesto de riscos definidas, comunicadas e
postas em prtica, de maneira que o risco seja considerado na definio da estratgia, dos objetivos e planos em todos os nveis crticos da
entidade, e gerenciado nas operaes, funes e atividades relevantes das diversas partes da organizao.
Direcionamento estratgico IN-MP/CGU N 1/2016, Art. 2,

1.2.1. A alta administrao, com a superviso dos responsveis pela governana, estabelece de modo II; Art. 14, II; Art. 16, II; e Art. 19;
explcito o direcionamento estratgico (objetivos-chaves, misso, viso e valores fundamentais da
COSO GRC 2004, 3; COSO GRC
organizao), alinhado com as finalidades e as competncias legais da entidade, traduzindo uma
PE 2016, Princpios 1, 3 e 7.
expresso inicial do risco aceitvel (apetite a risco) para a definio da estratgia e a fixao de
objetivos estratgicos e de negcios, e para o gerenciamento dos riscos relacionados. ISO 31000:2009, 5.3.3.
1.2.2. A alta administrao, com a superviso e a concordncia dos responsveis pela governana, define,
comunica, monitora e revisa o apetite a risco na forma de uma expresso ampla, porm IN-MP/CGU N 1/2016, Art. 2,
suficientemente clara, de quanto risco a organizao est disposta a enfrentar na implementao II, e Art. 14, II; Art. 16, II, e V;
da estratgia para cumprir sua misso institucional e agregar valor para as partes interessadas, a COSO GRC 2004, 1, 2 e 3; COSO
fim de orientar a definio de objetivos por toda a organizao; a seleo de estratgias para GRC PE 2016, Princpios 1, 7 e 8;
realiz-los; a alocao de recursos entre as unidades e iniciativas estratgicas; e a identificao e o
ISO 31000:2009, 3, g e 5.3.3.
gerenciamento dos riscos, alinhados com o apetite a risco.
Integrao da gesto de riscos ao processo de planejamento IN-MP/CGU N 1/2016, Art. 8,
1.2.3. A gesto de riscos integrada ao processo de planejamento estratgico implementado na VI; Art. 14, IV; Art. 16, II.
organizao e aos seus desdobramentos de modo que, a partir do direcionamento estratgico e do
apetite a risco definidos conforme abordado nas questes 1.2.1 e 1.2.2, so definidos: COSO GRC 2004, 3; COSO GRC
PE 2016, Princpios 9, 10 e 11;
a) os objetivos estratgicos de alto nvel alinhados e dando suporte misso, viso e aos
propsitos da organizao e selecionadas as estratgias para atingi-los, considerando as vrias INTOSAI GOV 9130/2007, 1.3 e
2.2.
alternativas de cenrios e os riscos associados, de modo a estabelecer uma base consistente
para a definio dos objetivos de negcios especficos em todos os nveis da organizao; e
Pgina | 69
b) os objetivos de negcios especficos associados a todas as atividades, em todos os nveis, nas
categorias operacional, de divulgao (transparncia e prestao de contas) e de conformidade
e as respectivas tolerncias a risco (ou variaes aceitveis no desempenho), alinhados aos
objetivos estratgicos e ao apetite a risco estabelecidos.
1.2.4. A administrao define os objetivos mencionados na alnea b, acima, e as respectivas medidas de IN-MP/CGU N 1/2016, Art. 16,
desempenho (metas, indicadores-chaves de desempenho, indicadores-chaves de risco e variaes II; COSO GRC 2004, 3; COSO GRC
aceitveis no desempenho), explicitando-os com clareza suficiente, em termos especficos e PE 2016, Princpios 10 e 11;
mensurveis, comunicando-os a todas as reas, funes e atividades relevantes para a realizao COSO 2013, Princpio 6,
dos objetivos-chaves da organizao e aos responsveis em todos os nveis, a fim de permitir a atributos a e b;
identificao e avaliao dos riscos que possam ter impacto no desempenho e nos objetivos. INTOSAI GOV 9130, 2.2.
Poltica de gesto de riscos
1.2.5. A organizao dispe de uma poltica de gesto de riscos estabelecida e aprovada pela alta IN-MP/CGU N 1/2016, Art. 17;
administrao, comunicada apropriadamente e disponvel para acesso a todos, que aborde os ISO 31000:2009, 4.3.2.
seguintes aspectos:
a) os princpios e objetivos relevantes da gesto de riscos na organizao e as ligaes entre os IN-MP/CGU N 1/2016, Art. 17, I.
objetivos e polticas da organizao com a poltica de gesto de riscos; ISO 31000:2009, 4.3.2.
b) as diretrizes para a integrao da gesto de riscos a todos os processos organizacionais, IN-MP/CGU N 1/2016, Art. 17,
incluindo o planejamento estratgico, os projetos, as polticas de gesto em todos os nveis da II, a;
organizao e as parcerias com outras organizaes; ISO 31000:2009, 3, b e 4.3.4;
c) a definio clara de responsabilidades, competncias e autoridade para gerenciar riscos no IN-MP/CGU N 1/2016, Art. 17,
mbito da organizao como um todo e em todas as suas reas (unidades, departamentos, II, d e III;
divises, processos e atividades), incluindo a responsabilidade pela implementao e ISO 31000:2009, 4.3.3.
manuteno do processo de gesto de riscos e de assegurao da suficincia, eficcia e COSO GRC 2004, 10; COSO GRC
eficincia de quaisquer controles; PE 2016, Princpio 5;
Pgina | 70
IN-MP/CGU N 1/2016, Art. 17,
d) diretrizes sobre como e com qual periodicidade riscos devem ser identificados, avaliados, II, b e 18; ISO 31000:2009,
tratados, monitorados e comunicados, atravs de um plano de implementao do processo de 4.3.4 e 4.4.2. COSO GRC 2004, 4
gesto de riscos, em todos os nveis, funes e processos relevantes da organizao; a 9; COSO GRC PE 2016,
Princpios 12 a 16 e 21.
IN-MP/CGU N 1/2016, Art. 17,

e) diretrizes sobre como o desempenho da gesto de riscos, a adequao da estrutura, a aplicao II, c; ISO 31000:2009, 4.3.2,
do processo de gesto de riscos e a efetividade da poltica de gesto de riscos sero medidos e 4.3.3 e 4.5; COSO GRC 2004, 8 e
reportados; e 9; COSO GRC PE 2016, Princpios
20 e 21.
IN-MP/CGU N 1/2016, Art. 17,
f) atribuio clara de competncias e responsabilidades pelo monitoramento, anlise crtica e II, c e III; ISO 31000:2009,
melhoria contnua da gesto de riscos, bem como diretrizes sobre a forma e a periodicidade 4.3.3, 4.5 e 4.6. COSO GRC 2004,
como as alteraes devem ser efetivadas. 9; COSO GRC PE 2016, Princpios
22 e 23.
Comprometimento da gesto IN-MP/CGU N 1/2016, Art. 12 e
1.2.6. A alta administrao e o corpo executivo da gesto (ttica e operacional) esto completa e 16, nico; Art. 17, II, e e f;
diretamente envolvidos em estabelecer e rever a estrutura e o processo de gesto de riscos e Art. 19 e 20; ISO 31000:2009,
controles internos no mbito de suas respectivas reas de responsabilidade. 4.2 e 4.3.3.
Alocao de recursos
IN-MP/CGU N 1/2016, Art. 17,
1.2.7. A administrao aloca recursos suficientes e apropriados (pessoas, estruturas, sistemas de TI,
II, f; Art. 23, II, III e IX.
programas de treinamento, mtodos e ferramentas para gerenciar riscos) para a gesto de riscos,
considerando uma relao equilibrada com o tamanho da organizao, a relevncia das reas, ISO 31000:2009, 4.3.5.
funes e atividades crticas para a realizao dos seus objetivos-chaves, bem como com a COSO GRC PE 2016, Princpio 2.
natureza e o nvel dos riscos.
Pgina | 71
1.3. Pessoas
Nesta seo, busca-se avaliar em que medida as pessoas na organizao esto informadas, habilitadas e autorizadas para exercer seus papis
e suas responsabilidades no gerenciamento de riscos e controles; entendem esses papis e os limites de suas responsabilidades, e como os
seus cargos se encaixam na estrutura de gerenciamento de riscos e controle interno da organizao.
Reforo da Accountability IN-MP/CGU N 1/2016, Art. 11,

1.3.1. Todo o pessoal na organizao, inclusive prestadores de servios e outras partes relacionadas, IV e II; e Art. 16, III a VI;
recebe uma mensagem clara da gesto quanto importncia de se levar a srio suas INTOSAI GOV 9130/2007, 2.7.3.
responsabilidades de gerenciamento riscos, bem como orientado e sabe como proceder para
encaminhar assuntos relacionados a risco s instncias pertinentes. Ademais, o pessoal designado ISO 31000:2009, 5.2.
para atividades de identificao, avaliao e tratamento de riscos recebe capacitao suficiente COSO GRC 2004, 2, 8 e 10; COSO
para execut-las, inclusive no que diz respeito identificao de oportunidades e inovao. GRC PE 2016, Princpios 3, 5, 20.
Estrutura de gerenciamento de riscos e controles IN-MP/CGU N 1/2016, Art. 2,
1.3.2. Os grupos de pessoas que integram as trs linhas de defesa na estrutura de gerenciamento de III; e 3 e 6; ISO 31000:2009,
riscos e controles por toda a organizao tm clareza quanto aos seus papis, entendem os limites 4.3.3. COSO GRC 2004, 10;
de suas responsabilidades e como seus cargos se encaixam na estrutura geral de gesto de riscos e COSO GRC PE 2016, Princpios 2,
controles da organizao, especialmente quanto aos seguintes aspectos: 5 e Apndice B.
IN-MP/CGU N 1/2016, Art. 2,

a) Na primeira linha de defesa, os gestores: III; e Art. 3;
I. tm plena conscincia de sua propriedade sobre os riscos, de sua responsabilidade IIA 2013, As Trs Linhas de
primria pela identificao e gerenciamento dos riscos e pela manuteno de controles Defesa no gerenciamento eficaz
internos eficazes; e de riscos e controles.
II. so regularmente capacitados para conduzir o processo de gesto de riscos em suas COSO GRC 2004, 10; COSO GRC
reas de responsabilidade e para orientar as suas equipes sobre esse tema. PE 2016, Princpios 2, 5 e
Apndice B.
Pgina | 72
b) Na segunda linha de defesa, o pessoal que integra funes de coordenao de atividades de IN-MP/CGU N 1/2016, Art. 2,
gesto de riscos e/ou de gerenciamento de riscos especficos por toda a organizao: III; e Art. 6;
I. apoia e facilita os gestores no estabelecimento de processos de gerenciamento de riscos IIA 2013, As Trs Linhas de
que sejam eficazes em suas reas de responsabilidade; Defesa no gerenciamento eficaz
de riscos e controles.
II. fornece metodologias e ferramentas a todas as reas, por toda a organizao, com a
COSO GRC 2004, 10;
finalidade de identificar e avaliar riscos;
COSO GRC PE 2016, Princpios 2,
III. define, orienta e monitora funes e responsabilidades pela gesto de riscos em todas as 5 e Apndice B.
reas, por toda a organizao;
IV. estabelece uma linguagem comum de gesto de riscos, incluindo medidas comuns de
probabilidade, impacto e categorias de riscos;
V. orienta a integrao do gerenciamento de riscos nos processos organizacionais e de
gesto, e promovem competncia para suport-la;
VI. comunica ao dirigente mximo e aos gestores executivos o andamento do gerenciamento
de riscos em todas as reas, por toda a organizao.
c) Na terceira linha de defesa, o pessoal que integra a auditoria interna, especialmente o IN-MP/CGU N 1/2016, Art. 2,
dirigente dessa funo: III;
I. tem conhecimento dos papis fundamentais que a funo de auditoria interna deve IIA 2009, O papel da Auditoria
assumir em relao ao gerenciamento de riscos, dos que no deve assumir e dos que Interna no gerenciamento de
pode assumir com salvaguardas independncia, previstos na Declarao de riscos corporativo;
Posicionamento do IIA: O papel da Auditoria Interna no gerenciamento eficaz de riscos
IIA 2013, As Trs Linhas de
corporativo, e de fato exerce seus papis em conformidade com essas orientaes; Defesa no gerenciamento eficaz
de riscos e controles;
Pgina | 73
II. tem compreenso clara da estratgia da organizao e de como ela executada, COSO GRC 2004, 10; COSO GRC
incluindo objetivos, metas, riscos associados e como esses riscos so gerenciados, e alinha PE 2016, Princpios 2, 5 e
as atividades da auditoria interna com as prioridades da organizao; Apndice B.
III. detm as competncias necessrias para utilizar uma abordagem sistemtica e IIA IPPF Norma 2010, 2100, 2110
disciplinada baseada no risco, para avaliar e melhorar a eficcia dos processos de e 2210.
gerenciamento de riscos, controle e governana. RES CNJ 171/2013, Art. 10 e 12.
2. PROCESSOS
Nesta dimenso, examinam-se os processos de gesto de riscos adotados pela gesto, procurando avaliar em que medida a organizao dispe
de um modelo de processo formal, com padres e critrios definidos para a identificao, a anlise e a avaliao de riscos; para a seleo e a
implementao de respostas aos riscos avaliados; para o monitoramento de riscos e controles; e para a comunicao sobre riscos com partes
interessadas, internas e externas.
2.1. Identificao e anlise de riscos

Nesta seo, busca-se avaliar em que medida as atividades de identificao e anlise de riscos so aplicadas de forma consistente s operaes,
funes e atividades relevantes da organizao (unidades, departamentos, divises, processos e atividades que so crticos para a realizao
dos objetivos-chaves da organizao), de modo a priorizar os riscos significativos identificados para as atividades subsequentes de avaliao e
resposta a riscos.
Estabelecimento do contexto
2.1.1. O processo de identificao de riscos precedido de uma etapa de estabelecimento do contexto ISO 31000:2009, 5.3.
envolvendo o entendimento, por parte de todos os participantes do processo, da organizao, dos
COSO GRC 2004, 4;
seus objetivos-chaves e do ambiente no qual eles so perseguidos, com o fim de obter uma viso
abrangente dos fatores internos e externos que podem influenciar a capacidade da organizao de COSO GRC PE 2016, Princpio 7.
atingir seus objetivos, incluindo:
Pgina | 74
IN-MP/CGU N 1/2016, Art. 8,
a) a identificao dos objetivos-chaves da atividade, do processo ou do projeto objeto da
VI; Art. 16, II;
identificao e anlise de riscos realizada considerando o contexto dos objetivos-chaves da
organizao como um todo, de modo a assegurar que os riscos significativos do objeto sejam ISO 31000:2009, 5.3.3, a e b;
apropriadamente identificados; COSO GRC 2004, 3;
COSO GRC PE 2016, Princpio 10.
b) a identificao das partes interessadas (internas e externas), bem como a identificao e a IN-MP/CGU N 1/2016, Art. 22;
apreciao das suas necessidades, expectativas legtimas e preocupaes, de modo a incluir ISO 31000:2009, 5.3.2 e 5.3.3;
essas partes interessadas em cada etapa do processo de gesto de riscos, por meio de COSO GRC 2004, 3;
comunicao e consulta; e COSO GRC PE 2016, 1, item 1.
c) a comunicao e consulta com partes interessadas (internas e externas) para assegurar que as IN-MP/CGU N 1/2016, Art. 22;
suas vises e percepes, incluindo necessidades, suposies, conceitos e preocupaes sejam ISO 31000:2009, 5.2.
identificadas, registradas e levadas em considerao no processo de gesto de riscos; COSO GRC PE 2016, Princpio 20.
Documentao do estabelecimento do contexto
2.1.2. A documentao da etapa de estabelecimento do contexto inclui pelo menos os seguintes
elementos essenciais, para viabilizar um processo de avaliao de riscos consistente:
a) a descrio concisa dos objetivos-chaves e dos fatores crticos para que se tenha xito (ou
fatores crticos para o sucesso) e uma anlise dos fatores do ambiente interno e externo (por
exemplo, anlise SWOT); ISO 31000:2009, 5.3.4, 5.3.5 e
b) a anlise de partes interessadas e seus interesses (por exemplo, anlise de stakeholder, anlise 5.7.
RECI, matriz de responsabilidades); e
c) os critrios com base nos quais os riscos sero analisados, avaliados e priorizados (como sero
definidos a probabilidade e o impacto; como ser determinado se o nvel de risco tolervel ou
aceitvel; quais os critrios de priorizao para anlise, avaliao e tratamento dos riscos
identificados).
Pgina | 75
Identificao e anlise dos riscos
2.1.3. Os processos de identificao e anlise de riscos envolvem pessoas e utilizam tcnicas e
ferramentas que asseguram a identificao abrangente e a avaliao consistente dos riscos,
notadamente quanto aos seguintes aspectos:
a) so envolvidas pessoas com conhecimento adequado, bem como os gestores executivos das
ISO 31000:2009, 5.4.2 e A.3.2.
respectivas reas;
b) so utilizadas tcnicas e ferramentas adequadas aos objetivos e tipos de risco; ISO 31000:2009, 5.4.2.
c) o processo de identificao de riscos considera explicitamente a possibilidade de fraudes, burla ISO 31000:2009, 5.4.2;
de controles e outros atos imprprios, alm dos riscos inerentes aos objetivos de desempenho,
COSO 2013, Princpio 8.
divulgao (transparncia e prestao de contas) e de conformidade com leis e regulamentos;
d) o processo de identificao de riscos produz uma lista abrangente de riscos, incluindo causas, IN-MP/CGU N 1/2016, Art. 16,
fontes e eventos que possam ter um impacto na consecuo dos objetivos identificados na III;
etapa de estabelecimento do contexto; ISO 31000:2009, 5.4.2.
e) a seleo de iniciativas estratgicas, novos projetos e atividades tambm tm os riscos IN-MP/CGU N 1/2016, Art. 14,
identificados e analisados, incorporando-se ao processo de gesto de riscos; e IV; ISO 31000:2009, 3, b.
f) os riscos identificados so analisados em termos de probabilidade de ocorrncia e de impacto IN-MP/CGU N 1/2016, Art. 16,
IV;
nos objetivos, como base para a avaliao e tomada de decises sobre as respostas para o
tratamento dos riscos. ISO 31000:2009, 5.4.3.
Pgina | 76
Documentao da identificao e anlise de riscos
2.1.4. No registro de riscos, a documentao da identificao e anlise de riscos contm elementos
suficientes para apoiar o adequado gerenciamento dos riscos, incluindo pelo menos:
a) o registro dos riscos identificados e analisados em sistema, planilha ou matriz de avaliao de

riscos, descrevendo os componentes de cada risco separadamente com, pelo menos, suas
causas, o evento e as consequncias e/ou impactos nos objetivos identificados na etapa de
estabelecimento do contexto;
b) o escopo do processo, da atividade, da iniciativa estratgica ou do projeto coberto pela

identificao e anlise de riscos; ISO 31000:2009, 5.4.2, 5.4.3 e
5.7.
c) os participantes das atividades de identificao e anlise;
d) a abordagem ou o mtodo de identificao e anlise utilizado, as especificaes utilizadas para

as classificaes de probabilidade e impacto e as fontes de informao consultadas;
e) a probabilidade de ocorrncia de cada evento, a severidade ou magnitude do impacto nos

objetivos e a sua descrio, bem como consideraes quanto anlise desses elementos;
f) os nveis de risco inerente resultantes da combinao de probabilidade e impacto, alm de

outros fatores que a entidade considera para determinar o nvel de risco;
g) a descrio dos controles existentes e as consideraes quanto sua eficcia e confiabilidade; e

ISO 31000:2009, 5.5.1
h) o risco residual.
Pgina | 77
2.2. Avaliao e Resposta a riscos

Nesta seo, busca-se avaliar em que medida as atividades de avaliao e resposta a riscos so aplicadas de forma consistente para assegurar
que sejam tomadas decises conscientes, razoveis e efetivas para o tratamento dos riscos identificados como significativos, e para reforar a
responsabilidade das pessoas designadas para implementar e reportar as aes de tratamento.
Critrios para priorizao de riscos

2.2.1. Os critrios estabelecidos para priorizao de riscos levam em conta, por exemplo, a significncia
ou os nveis e tipos de risco, os limites de apetite a risco, as tolerncias a risco ou variaes IN-MP/CGU N 1/2016, Art. 16,
aceitveis no desempenho, os nveis recomendados de ateno, critrios de comunicao a V;
instncias competentes, o tempo de resposta requerido, revelando-se adequados para orientar ISO 31000:2009, 5.4.4;
decises seguras quanto a:
COSO GRC 2004, 6;
a) se um determinado risco precisa de tratamento e a prioridade para isso;
b) se uma atividade deve ser realizada, reduzida ou descontinuada; e
c) se controles devem ser implementados, modificados ou apenas mantidos.
Avaliao e seleo das respostas a riscos IN-MP/CGU N 1/2016, Art. 14,

2.2.2. A avaliao e a seleo das respostas a serem adotadas para reduzir a exposio aos riscos III;
identificados considera a relao custo-benefcio na deciso de implementar atividades de controle ISO 31000:2009, 5.5.2;
ou outras aes e medidas, alm de controles internos, para mitigar os riscos.
2.2.3. Todos os responsveis pelo tratamento de riscos so envolvidos no processo de seleo das opes
de resposta e na elaborao dos planos de tratamento, bem como so formalmente comunicados IN-MP/CGU N 1/2016, Art. 20;
das aes de tratamento decididas, para garantir que sejam adequadamente compreendidas, se ISO 31000:2009, 5.5.2 e A.3.2;
comprometam e sejam responsabilizados por elas.
Pgina | 78
Planos e medidas de contingncia
IN-MP/CGU N 1/2016, Art. 16,
2.2.4. Todas as reas, funes e atividades relevantes (unidades, departamentos, divises, processos,
VI;
projetos) para a realizao dos objetivos-chaves da organizao tm identificados os elementos
crticos de sua atuao e tm definidos planos e medidas de contingncia formais e documentados ISO 31000:2009, 5.5.3.
para garantir a recuperao e a continuidade dos seus servios em casos de desastres.
Documentao da avaliao e seleo de respostas a riscos

2.2.5. A documentao da avaliao e seleo de respostas aos riscos inclui:
a) o plano de tratamento de riscos, preferencialmente integrado ao registro de riscos da

organizao, identificando claramente os riscos que requerem tratamento e suas respectivas
classificaes (de probabilidade, impacto, nveis de risco etc.);
b) a ordem de prioridade para cada tratamento;
c) as respostas a riscos selecionadas e as razes para a seleo das opes de tratamento, ISO 31000:2009, 5.5.3 e 5.7.
incluindo a justificativa de custo-benefcio;
d) as aes de tratamento, os recursos requeridos, o cronograma e os benefcios esperados;
e) as medidas de desempenho e os requisitos para o reporte de informaes relacionadas ao

tratamento dos riscos, e as formas de monitoramento da sua implementao; e
f) os responsveis pela aprovao e pela implementao do plano de tratamento de riscos, com

autoridade suficiente para gerenci-lo.
Pgina | 79
2.3. Monitoramento e comunicao
Nesta seo, busca-se avaliar em que medida as atividades de monitoramento e comunicao esto estabelecidas e so aplicadas de forma
consistente na organizao, para garantir que a gesto de riscos e os controles sejam eficazes e eficientes no desenho e na operao.
Informao e comunicao
IN-MP/CGU N 1/2016, Art. 16,
2.3.1. As atividades de informao e comunicao esto estabelecidas em diretrizes e protocolos
VII;
efetivamente aplicados durante o processo de gerenciamento de riscos:
a) diretrizes e protocolos esto estabelecidos para viabilizar o compartilhamento de informaes ISO 31000:2009, 5.2 e A.3.4;
sobre riscos e a comunicao clara, transparente, tempestiva, relevante e recproca entre COSO GRC 2004, 8;
pessoas e grupos de profissionais no mbito da organizao, para que se mantenham COSO GRC PE 2016, Princpio 20.
informados e habilitados para exercer suas responsabilidades no gerenciamento de riscos; e
b) h efetiva comunicao e consulta s partes interessadas internas e externas durante todas as

ISO 31000:2009, 5.2 e A.3.4.
fases do processo de gesto de riscos.
Sistema de informao
2.3.2. A gesto de riscos apoiada por um registro de riscos ou sistema de informao que:
a) apoia a gesto de riscos da organizao e facilita a comunicao entre pessoas e grupos de ISO 31000:2009, 5.7.
profissionais com responsabilidades sobre o processo de gesto de riscos, permitindo uma
viso integrada das atividades de identificao, anlise, avaliao, tratamento e
monitoramento de riscos, incluindo a sua documentao; e
b) mantido atualizado pelas diversas pessoas e funes que tm responsabilidades pela gesto
de riscos em todas as reas da organizao, tanto em funo das decises e aes
implementadas em todas as etapas do processo de gesto de riscos, quanto pelas atividades de ISO 31000:2009, 5.7 e 5.6 (final).
monitoramento e correo de deficincias (tratadas a seguir), pelo menos quanto aos seus
resultados e com referncias para a documentao original completa.
Pgina | 80
Monitoramento contnuo e autoavaliaes
IN-MP/CGU N 1/2016, Art. 11,
2.3.3. Em todos os nveis da organizao, os gestores que tm propriedade sobre riscos (primeira linha de V; Art. 16, VIII;
defesa) monitoram o alcance de objetivos, riscos e controles chaves em suas respectivas reas de
responsabilidade: ISO 31000:2009, 5.6;
a) de modo contnuo, ou pelo menos frequente, por meio de indicadores-chaves de risco, COSO 2013, Princpios 16 e 17;
indicadores-chaves de desempenho e verificaes rotineiras, para manter riscos e resultados COSO GRC 2004, 9;
dentro das tolerncias a riscos definidas ou variaes aceitveis no desempenho;
COSO GRC PE 2016, Princpios
b) por meio de autoavaliaes peridicas de riscos e controles (Control and Risk Self Assessment 21/23.
CRSA), que constam de um ciclo de reviso peridica estabelecido; e
c) a execuo e os resultados desses monitoramentos so documentados e reportados s
instncias apropriados da administrao e da governana.
2.3.4. As funes que supervisionam riscos ou que coordenam as atividades de gesto de riscos (comit
de governana, riscos e controles; comit de auditoria ou grupos equivalentes da segunda linha de
defesa):
a) exercem uma superviso efetiva dos processos de gerenciamento de riscos, inclusive das
atividades de monitoramento contnuo e autoavaliaes da primeira linha de defesa; e
b) fornecem orientao e facilitao na conduo das atividades de monitoramento contnuo e
autoavaliaes da primeira linha de defesa, mantm sua documentao e comunica os seus
resultados s instncias apropriados da administrao e da governana.
Monitoramento peridico e avaliaes independentes
2.3.5. A funo de auditoria interna exerce o seu papel de auxiliar a organizao a realizar seus objetivos
IIA IPPF Definio da atividade
a partir da aplicao de uma abordagem sistemtica e disciplinada para avaliar e melhorar a
de Auditoria Interna.
eficcia dos processos de gerenciamento de riscos, controle e governana:
Pgina | 81
a) estabelece planos anuais ou plurianuais baseados em riscos, de modo a alinhar as atividades da IIA IPPF Norma 2010, 2100 e
auditoria interna com as prioridades da organizao e garantir que os seus recursos so 2110.
alocados em reas de maior risco, para avaliar e melhorar a eficcia dos processos de
gerenciamento de riscos, controle e governana; RES CNJ 171/2013, Art. 10 e 12.
b) utiliza abordagem baseada em risco ao definir o escopo e planejar a natureza, poca e extenso
IIA IPPF Norma 2201 e 2210.
dos procedimentos de auditoria em seus trabalhos, incluindo a identificao e anlise dos
RES CNJ 171/2013, Art. 24.
riscos e o exame de como eles so gerenciados pela gesto da rea responsvel; e
c) fornece assegurao aos rgos de governana e alta administrao, bem como aos rgos IIA 2009, O papel da Auditoria
de controle e regulamentao, de que os processos de gesto de riscos e controle operam de Interna no gerenciamento de
maneira eficaz e que os riscos significativos so gerenciados adequadamente em todos os riscos corporativo.
nveis da organizao.
2.3.6. H planos e as medidas de contingncia definidos para os elementos crticos da atuao da
entidade, em todos as reas, funes e atividades relevantes para o alcance dos objetivos-chave da ISO 31000:2009, 5.6.
organizao e estes so periodicamente testados e revisados.
Monitoramento de mudanas significativas COSO 2013, Princpio 9;
2.3.7. Esto estabelecidos e em funcionamento procedimentos e protocolos para monitorar e comunicar COSO GRC 2004, 9;
mudanas significativas nas condies que possam alterar o nvel de exposio a riscos e ter
impactos significativos na estratgia e nos objetivos da organizao. COSO GRC PE 2016, Princpio 22.
Correo de deficincias e melhoria contnua

2.3.8. Os resultados das atividades de monitoramento so utilizados para as tomadas de medidas IN-MP/CGU N 1/2016, Art. 8,
necessrias correo de deficincias e melhoria contnua do desempenho da gesto de riscos, XV;
incluindo, por exemplo: ISO 31000:2009, 4.5, 4.6 e A.3.1;
a) comunicao s instncias apropriados da administrao e da governana com autoridade e COSO 2013, Princpio 17;
responsabilidade para adotar as medidas necessrias; COSO GRC 2004, 9;
b) elaborao e devido acompanhamento de planos de ao para corrigir as deficincias COSO GRC PE 2016, Princpio 23.
identificadas e melhorar o desempenho da gesto de riscos.
Pgina | 82
3. PARCERIAS
Nesta dimenso, examinam-se os aspectos relacionados gesto de riscos no mbito de polticas de gesto compartilhadas (quando o alcance
de objetivos comuns de um setor estatal ou de uma poltica pblica envolve parcerias com outras organizaes pblicas ou privadas),
procurando avaliar em que medida a organizao estabelece arranjos com clareza sobre quais riscos sero gerenciados e por quem, e como se
daro as trocas de informaes sobre o assunto, de modo a assegurar que haja um entendimento comum sobre os riscos e o seu
gerenciamento.
3.1. Gesto de riscos em parcerias

Nesta seo, busca-se avaliar em que medida a organizao adota um conjunto de prticas essenciais de gesto de riscos para ter segurana
razovel de que os riscos no mbito das parcerias sero adequadamente gerenciados e os objetivos alcanados.
Avaliao da capacidade de gesto de riscos das entidades parceiras

3.1.1. O compartilhamento dos riscos precedido de avaliao fundamentada e documentada da ISO 31000:2009, 4.3.3 e A.3.3;
capacidade das potenciais organizaes parceiras para gerenciar os principais riscos relacionados a
cada objetivo, meta ou resultado.
Definio de responsabilidades, informao e comunicao IN-MP/CGU N 1/2016, Art. 20 e

3.1.2. So designados responsveis com autoridade e recursos para tomar e implementar decises 16, VII;
relacionadas ao gerenciamento dos principais riscos relacionados a cada objetivo, meta ou ISO 31000:2009, 4.3.3 e A.3.2.
resultado esperado das polticas de gesto compartilhadas por meio de parcerias, e so definidas
em quais condies e para quem cada responsvel deve fornecer informaes.
Processo de gesto de riscos em parcerias

3.1.3. O processo de gesto de riscos aplicado para identificar, avaliar, gerenciar e comunicar riscos ISO 31000:2009, 4.4.2;
relacionados a cada objetivo, meta ou resultado pretendido das polticas de gesto
compartilhadas.
Pgina | 83
3.1.4. Pessoas de todas as reas, funes ou setores das organizaes parceiras com envolvimento na
parceria e outras partes interessadas no seu objeto participam do processo de identificao e ISO 31000:2009, 5.4.2 e A.3.2.
avaliao dos riscos relacionados a cada objetivo, meta ou resultado esperado das parcerias.
3.1.5. Um registro de riscos nico elaborado na identificao e avaliao dos riscos e atualizado
conjuntamente pelas organizaes parceiras em funo das atividades de tratamento e ISO 31000:2009, 5.7 e 5.6 (final).
monitoramento de riscos.
IN-MP/CGU N 1/2016, Art. 16,

3.1.6. H informao regular e confivel para permitir que cada organizao parceira monitore os riscos e VII;ISO 31000:2009, 5.2 e A.3.4;
o desempenho em relao a cada objetivo, meta ou resultado esperado.
3.2. Planos e medidas de contingncia

Nesta seo, busca-se avaliar em que medida a organizao estabelece, em conjunto com as entidades parceiras, planos e medidas de
contingncia para garantir a recuperao e a continuidade da prestao de servios em caso incidentes.
Planos e medidas de contingncia IN-MP/CGU N 1/2016, Art. 16,

3.2.1. As organizaes parceiras definem planos e medidas de contingncia formais e documentados VI;
para garantir a recuperao e a continuidade dos servios em casos de desastres ou para minimizar
efeitos adversos sobre o fornecimento de servios ao pblico quando uma ou outra parte falhar. ISO 31000:2009, 5.6.
3.2.2. Os planos e medidas de contingncia so periodicamente testados e revisados.
Pgina | 84
4. RESULTADOS
Nesta dimenso, examinam-se os efeitos das prticas de gesto de riscos, procurando avaliar em que medida a gesto de riscos tem sido eficaz
para a melhoria dos processos de governana e gesto e os resultados da gesto de riscos tm contribudo para o alcance dos objetivos
relacionados eficincia das operaes, qualidade de bens e servios, transparncia e prestao de contas e ao cumprimento de leis e
regulamentos.
4.1. Melhoria dos processos de governana
Nesta seo, busca-se avaliar em que medida a organizao integra a gesto de riscos em seus processos de governana e gesto e isso tem
sido eficaz para a sua melhoria.
Integrao da gesto de riscos aos processos organizacionais IN-MP/CGU N 1/2016, Art. 8,
4.1.1. Os responsveis pela governana e a alta administrao sabem at que ponto a administrao II; Arts. 19, 20, 21, pargrafo
estabeleceu uma gesto de riscos eficaz, integrada e coordenada por todas as reas, funes e nico, 22 e 23;
atividades relevantes e crticas para a realizao dos objetivos-chaves da organizao, tendo ISO 31000:2009, 4.3.4 e A.3.5;
conscincia do nvel de maturidade atual e do progresso das aes em curso para atingir ao nvel COSO GRC 2004, 10.
almejado. COSO GRC PE 2016, Princpio 1.
4.1.2. Os objetivos-chaves, que traduzem o conjunto de valores a serem gerados, preservados e/ou IN-MP/CGU N 1/2016, Art. 22;
entregues sociedade esto identificados e refletidos na cadeia de valor, na misso e viso e da ISO 31000:2009, 3 a e 5.3.1;
organizao e nos seus valores fundamentais, formando a base para a definio da estratgia e a COSO GRC 2004/2016,
fixao de objetivos estratgicos e de negcios. Premissa.
4.1.3. Os objetivos estratgicos e de negcios esto estabelecidos, alinhados com o direcionamento IN-MP/CGU N 1/2016, Art. 16,
estratgico (item anterior), juntamente com as medidas de desempenho (metas, indicadores- II; ISO 31000:2009, 4.2, itens 3 e
chaves de desempenho, indicadores-chaves de risco e variaes aceitveis no desempenho), 4; COSO GRC 2004, 3. COSO GRC
permitindo medir o progresso e monitorar o desempenho de todas as reas, funes e atividades PE 2016, Dimenso 2.
relevantes da organizao para a realizao dos seus objetivos-chaves.
4.1.4. Esto identificados, avaliados e sob tratamento e monitoramento os principais riscos relacionados IN-MP/CGU N 1/2016, Art. 20;
a cada objetivo, meta ou resultado chave pretendido de todas as reas, funes e atividades ISO 31000:2009, A.2 e A.3.2.
relevantes para a realizao dos objetivos-chaves da organizao, com o desempenho sendo COSO GRC 2004, 4; COSO GRC
comunicado aos nveis apropriados da administrao e da governana. PE 2016, Princpios 12 a 16.
Pgina | 85
4.2. Resultados-chaves da gesto de riscos
Nesta seo, busca-se avaliar em que medida os resultados da gesto de riscos tm contribudo para o alcance dos objetivos relacionados
eficincia das operaes, qualidade de bens e servios, transparncia e prestao de contas e ao cumprimento de leis e regulamentos.
Entendimento dos objetivos, riscos, papis e responsabilidades
4.2.1. Os responsveis pela governana, a administrao e as pessoas responsveis em todos os nveis
tm um entendimento atual, correto e abrangente dos objetivos sob a sua gesto, de seus papis e ISO 31000:2009, A.2.
responsabilidades, e sabem em que medida os resultados de cada rea ou pessoa para atingir os
objetivos-chave envolvem riscos.
Garantia proporcionada pela gesto de riscos
4.2.2. Os responsveis pela governana e a administrao tm uma garantia razovel, proporcionada COSO GRC 2004, 1, Anexo 1.1.
pela gesto de riscos, que:
a) entendem at que ponto os objetivos estratgicos esto sendo alcanados na realizao da
misso e dos objetivos-chaves da organizao;
b) entendem at que ponto os objetivos operacionais de eficincia e eficcia das operaes, de
qualidade de bens e servios esto sendo alcanados;
COSO GRC 2004, 1, Anexo 1.1.
c) a comunicao de informaes por meio de relatrios, de mecanismos de transparncia e
prestao de contas confivel;
d) as leis e os regulamentos aplicveis esto sendo cumpridos.
Eficcia da gesto de riscos

4.2.3. Os riscos da organizao esto dentro dos seus critrios de risco, vale dizer, dentro do apetite a
risco definido e das variaes aceitveis no desempenho ou tolerncias a risco estabelecidas, ISO 31000:2009, A.2.
conforme a documentao resultante da aplicao do processo de gesto de risco, atualizada pelas
atividades de monitoramento.
Pgina | 86
APNDICE II MATRIZ DE PLANEJAMENTO
Objetivo da auditoria: Avaliar a maturidade da gesto de riscos e identificar os aspectos que necessitam ser aperfeioados.
INFORMAES FONTES DE PROCEDIMENTOS PROCEDIMENTOS O QUE A ANLISE VAI PERMITIR
QUESTES DE AUDITORIA REQUERIDAS INFORMAO DE COLETA DE DE ANLISE DE DIZER (CONCLUSES A CHEGAR)
DADOS DADOS
1. AMBIENTE
Nesta dimenso, o objetivo da equipe de auditoria avaliar as capacidades existentes na organizao, em termos de liderana, polticas & estratgias e
preparo das pessoas, incluindo aspectos relacionados com a cultura, a governana de riscos e a considerao do risco na definio da estratgia e dos
objetivos em todos os nveis, para que a gesto de riscos tenha as condies necessrias para prosperar e fornecer segurana razovel do cumprimento da
misso institucional na gerao de valor para as partes interessadas.
Se os responsveis pela governana e a
1.1. Liderana6 alta administrao assumem um
Em que medida os responsveis pela governana e a alta administrao exercem suas responsabilidades de compromisso forte e sustentado e
governana de riscos e cultura? exercem superviso para obter
comprometimento com a gesto de
riscos em todos os nveis da organizao,
promovendo-a e dando suporte, de modo
que possam ter uma expectativa razovel
de que no cumprimento da misso
institucional, a organizao entende e
capaz de gerenciar os riscos associados
sua estratgia para atingir seus objetivos
de gerar valor para as partes
interessadas, tendo o cidado e a
sociedade como vetores principais.
6
Quando a questo de auditoria se desdobrar em subquestes, como neste caso, a concluso ou resposta questo (o que a anlise vai permitir dizer) obtida mediante avaliao conjunta das
evidncias obtidas na execuo dos procedimentos de anlise das subquestes respectivas. Por conseguinte, o nvel de maturidade (ou pontuao) do item correspondente questo, ser calculado
conforme as orientaes constantes do tpico Determinao do nvel de maturidade, do Roteiro de Auditoria de Gesto de Riscos (RAGR).
Pgina | 87
DADOS DADOS
Cultura Se a alta administrao e os

responsveis pela governana
1.1.1. A alta administrao e os
fornecem normas, orientaes e
responsveis pela Estes campos devem ser preenchidos pela equipe de auditoria, supervisionam as questes afetas a
governana reconhecem seguindo as orientaes constantes do tpico Elaborao da cultura, integridade, valores ticos e
a importncia da cultura,
Matriz de Planejamento do Roteiro. conscincia de riscos.
da integridade, dos
valores ticos e da Se as questes relacionadas a
conscincia de riscos cultura, integridade, valores ticos e
como aspectos-chaves conscincia de riscos integram o
para o reforo da contedo de cursos e programas
accountability? voltados para o desenvolvimento de
gestores.
Se a alta administrao e os
responsveis pela governana
reforam o comprometimento das
lideranas com a cultura de gesto
baseada em riscos e com os valores
fundamentais da organizao.
Se esto institudos programas,
polticas ou outras medidas que
definem os padres de
comportamento desejveis, tais
como cdigos de tica e de conduta,
canais de denncia e de
comunicao para cima, ouvidoria,
avaliaes de aderncia aos padres
de integridade e valores ticos.
Pgina | 88
DADOS DADOS
Governana de riscos Se existem instncias internas de

1.1.2. Existem estruturas e apoio governana de riscos, tais
processos definidos para como comits de governana, riscos
apoiar as e controles; auditoria interna;
responsabilidades de coordenao central da gesto
governana de riscos e corporativa de riscos.
assegurar que a gesto de Se as instncias internas de apoio
riscos seja integrada aos governana de riscos exercem suas
processos de gesto? atribuies mediante uma
abordagem planejada, sistemtica e
disciplinada.
Se a gesto de riscos integrada aos
processos de gesto, desde o
planejamento estratgico at os
projetos e processos de todas as
reas, funes e atividades7
relevantes para o alcance dos
7
reas (por exemplo: unidades, departamentos, divises), funes (por exemplo: finanas, aquisies, contabilidade, gesto de pessoas, TI), atividades (por exemplo: processos,
projetos, sistemas).
Pgina | 89
Superviso da Governana e Se os processos de governana e
da alta administrao gesto incorporam explicitamente
1.1.3. Os responsveis pela indicadores-chaves de risco e
governana e a alta indicadores-chaves de desempenho,
administrao monitorados regularmente.
supervisionam a Se o rgo de governana e a alta
estratgia e exercem suas administrao so notificados de
responsabilidades de modo regular e oportuno sobre as
governana de riscos? exposies da organizao a riscos,
sobre os riscos mais significativos e
sobre como a administrao est
respondendo a esses riscos.
Se o rgo de governana faz uma
reviso sistemtica da viso de
portflio dos riscos em contraste
com o apetite a riscos, fornecendo
direo clara para gerenciamento
dos riscos.
Se o rgo de governana e a alta
administrao utilizam os servios
da auditoria interna e de outras
instncias de assegurao para se
certificarem de que a administrao
tem processos eficazes de
gerenciamento de riscos e controles.
Se o rgo de governana definiu
um nvel de maturidade almejado
para a gesto de riscos e monitora o
progresso das aes para atingir ou
manter-se no nvel definido.
Pgina | 90
DADOS DADOS
Se organizao dispe de polticas e
1.2. Polticas e estratgias estratgias de gesto de riscos definidas,
Em que medida a organizao dispe de polticas e estratgias de gesto de riscos definidas, comunicadas e comunicadas e postas em prtica, de
postas em prtica? maneira que o risco seja considerado na
definio da estratgia, dos objetivos e
planos em todos os nveis crticos da
entidade, e gerenciado nas operaes,
funes e atividades relevantes das
diversas partes da organizao.
Direcionamento estratgico Se alta administrao, com a

1.2.1. A alta administrao, superviso dos responsveis pela
com a superviso dos governana, estabelece de modo
responsveis pela explcito o direcionamento
governana, estabelece estratgico traduzido nos objetivos-
de modo explcito o chaves, na misso, na viso e
direcionamento valores fundamentais da
estratgico? organizao.
Se o direcionamento estratgico
alinhado com as finalidades e
competncias legais da entidade.
Se o direcionamento estratgico
fornece uma base suficiente para a
definio da estratgia e a fixao
dos objetivos estratgicos e de
negcios, traduzindo uma expresso
inicial do risco aceitvel (apetite a
risco) para o gerenciamento dos
riscos relacionados.
Pgina | 91
DADOS DADOS
1.2.2. A alta administrao, Se a alta administrao, com a

com a superviso e a superviso e a concordncia do
concordncia dos rgo de governana, define,
responsveis pela comunica, monitora e revisa o
governana, define, apetite a risco na forma de uma
comunica, monitora e expresso ampla, porm
revisa o apetite a risco? suficientemente clara, de quanto
risco a organizao est disposta a
enfrentar na implementao da
estratgia para cumprir sua misso
institucional e agregar valor para as
partes interessadas.
Se a expresso do apetite a risco
fornece uma base consistente para
orientar a definio de objetivos por
toda a organizao; a seleo de
estratgias para realiz-los; a
alocao de recursos entre as
unidades e iniciativas estratgicas; e
a identificao e o gerenciamento
dos riscos, alinhados com o apetite a
risco.
Pgina | 92
DADOS DADOS
Integrao da gesto de riscos Se os objetivos estratgicos de alto

ao processo de planejamento nvel so alinhados e do suporte
1.2.3. A gesto de riscos misso, viso e aos propsitos da
integrada ao processo de organizao, e se so estabelecidos
planejamento estratgico em consistncia com o
implementado na direcionamento estratgico e o
organizao e aos seus apetite a risco definidos
desdobramentos? (subquestes 1.2.1 e 1.2.2), de modo
a fornecer uma base consistente para
a definio dos objetivos de
negcios em todos os nveis da
organizao.
Se so consideradas as vrias
alternativas de cenrios e os riscos
associados na definio dos
objetivos estratgicos e na seleo
das estratgias para atingi-los.
Se os objetivos de negcios
especficos associados a todas as
atividades, em todos os nveis, nas
categorias operacional, de
divulgao (transparncia e
prestao de contas) e de
conformidade e as respectivas
tolerncias a risco (ou variaes
aceitveis no desempenho) so
definidos alinhados aos objetivos
estratgicos e ao apetite a risco.
Pgina | 93
DADOS DADOS
1.2.4. A administrao define e Se a administrao define os

comunica os objetivos e objetivos de negcios de todas as
as respectivas medidas reas, funes e atividades
de desempenho em relevantes para a realizao dos
termos especficos e objetivos-chaves da organizao,
mensurveis? explicitando-os com clareza
suficiente, em termos especficos e
mensurveis.
Se a administrao define as
medidas de desempenho (metas,
indicadores-chaves de desempenho,
indicadores-chaves de risco e
variaes aceitveis no
desempenho) para todos os
objetivos definidos.
Se os objetivos e as medidas de
desempenho so comunicados aos
responsveis, em todos os nveis, de
todas as reas, funes e atividades
relevantes para a realizao dos
Se o modo como os objetivos so
definidos, explicitados e
comunicados permite a identificao
e avaliao dos riscos que possam
ter impacto no desempenho e no
alcance dos objetivos.
Pgina | 94
DADOS DADOS
Poltica de gesto de riscos Se a alta administrao aprovou a

1.2.5. A organizao dispe de poltica de gesto de riscos e
uma poltica de gesto de assumiu a liderana no
riscos estabelecida e compromisso com a sua
aprovada pela alta implementao.
administrao, Se a poltica de gesto de riscos
apropriadamente apropriadamente comunicada e est
comunicada, abordando disponvel para acesso a todos,
todos os aspectos dentro e fora da organizao.
relevantes?
Se a poltica de gesto de riscos
estabelece os princpios e objetivos
relevantes da gesto de riscos na
organizao e as ligaes entre os
objetivos e polticas da organizao
com a poltica de gesto de riscos.
estabelece as diretrizes para a
integrao da gesto de riscos a
todos os processos organizacionais,
incluindo o planejamento
estratgico, os projetos, as polticas
de gesto em todos os nveis da
organizao e as parcerias com
outras organizaes.
Pgina | 95
DADOS DADOS
Poltica de gesto de riscos Se a poltica de gesto de riscos

(Continuao da questo 1.2.5). contm uma definio clara de
responsabilidades, competncias e
autoridade para gerenciar riscos no
mbito da organizao como um
todo e em todas as suas reas
(unidades, departamentos, divises,
processos e atividades), incluindo a
implementao e manuteno do
processo de gesto de riscos e a
assegurao da suficincia, eficcia
e eficincia de quaisquer controles.
estabelece diretrizes sobre como e
com qual periodicidade riscos
devem ser identificados, avaliados,
tratados, monitorados e
comunicados, por meio de um plano
de implementao do processo de
gesto de riscos, em todos os nveis,
funes e processos relevantes da
organizao.
estabelece diretrizes sobre como o
desempenho da gesto de riscos, a
adequao da estrutura, a aplicao
do processo de gesto de riscos e a
efetividade da poltica de gesto de
riscos, sero medidos e reportados.
Pgina | 96
DADOS DADOS
Poltica de gesto de riscos Se a poltica de gesto de riscos

(Continuao da questo 1.2.5). estabelece atribuio clara de
competncias e responsabilidades
pelo monitoramento, anlise crtica
e melhoria contnua da gesto de
riscos, bem como diretrizes sobre a
forma e a periodicidade como as
alteraes devem ser efetivadas.
Comprometimento da gesto Se a alta administrao e o corpo

1.2.6. Toda a gesto da executivo da gesto (ttica e
organizao operacional) esto completa e
comprometida com a diretamente envolvidos em
gesto de riscos? estabelecer e rever a estrutura e o
processo de gesto de riscos e
controles internos no mbito de suas
respectivas reas de
responsabilidade.
Alocao de recursos Se a administrao aloca recursos

1.2.7. A administrao aloca suficientes e apropriados (pessoas,
recursos suficientes e estruturas, sistemas de TI, mtodos,
apropriados para a gesto treinamento e ferramentas) para a
riscos? gesto de riscos, considerando uma
relao equilibrada com o tamanho
da organizao, a relevncia das
reas, funes e atividades crticas
para a realizao dos seus objetivos-
chaves, bem como com a natureza e
o nvel dos riscos.
Pgina | 97
DADOS DADOS
Se as pessoas na organizao esto
1.3. Pessoas informadas, habilitadas e autorizadas
Em que medida as pessoas na organizao entendem seus papis e responsabilidades relacionados gesto de para exercer os seus papis e as suas
riscos e esto preparadas exerc-los? responsabilidades no gerenciamento de
riscos e controles; entendem esses papis
e os limites de suas responsabilidades, e
como os seus cargos se encaixam na
estrutura de gerenciamento de riscos e
controle interno da organizao.
Reforo da accountability Se todo o pessoal na organizao,

1.3.1. A gesto transmite uma inclusive prestadores de servios e
mensagem clara quanto outras partes relacionadas, recebe
importncia de se levar a uma mensagem clara da gesto
srio as quanto importncia de cumprir
responsabilidades de suas responsabilidades de
gerenciamento riscos e o gerenciamento riscos, bem como
pessoal recebe orientao orientado e sabe como proceder para
e capacitao suficiente encaminhar assuntos relacionados a
para exercer essas risco s instncias pertinentes.
responsabilidades? Se o pessoal designado para
atividades de identificao,
avaliao e tratamento de riscos
recebe capacitao suficiente para
execut-las, inclusive no que diz
respeito identificao de
oportunidades e inovao.
Pgina | 98
DADOS DADOS
Estrutura de gerenciamento Se os gestores, que integram a

de riscos e controles primeira linha de defesa:
1.3.2. Os grupos de pessoas que i) tm plena conscincia de sua
integram as trs linhas propriedade sobre os riscos, de
de defesa na estrutura de sua responsabilidade primria
gerenciamento de riscos pela identificao e
e controles por toda a gerenciamento dos riscos e pela
organizao tm clareza manuteno de controles
quanto aos seus papis, internos eficazes; e
entendem os limites de
ii) so regularmente capacitados
suas responsabilidades e
para conduzir o processo de
como seus cargos se
gesto de riscos em suas reas
encaixam na estrutura
de responsabilidade e para
geral de gesto de riscos
orientar as suas equipes sobre
e controles da
esse tema.
organizao?
Se o pessoal da segunda linha de
defesa, que integra funes de
coordenao de atividades de gesto
de riscos e/ou de gerenciamento de
riscos especficos por toda a
organizao:
i) apoia e facilita os gestores no
estabelecimento de processos
de gerenciamento de riscos que
sejam eficazes em suas reas de
responsabilidade;
Pgina | 99
DADOS DADOS
Estrutura de gerenciamento i) fornece metodologias e

de riscos e controles ferramentas a todas as reas,
por toda a organizao, com a
(Continuao da questo 1.3.2).
finalidade de identificar e
avaliar riscos;
ii) define, orienta e monitora
funes e responsabilidades
pela gesto de riscos em todas
as reas, por toda a
organizao;
iii) estabelece uma linguagem
comum de gesto de riscos,
incluindo medidas comuns de
probabilidade, impacto e
categorias de riscos;
iv) orienta a integrao do
gerenciamento de riscos nos
processos organizacionais e de
gesto, e promovem
competncia para suport-la;
v) comunica ao dirigente mximo
e aos gestores executivos o
andamento do gerenciamento
de riscos em todas as reas, por
toda a organizao.
Se o pessoal da auditoria interna,
que integra a terceira linha de
defesa, especialmente o dirigente
dessa funo:
Pgina | 100
DADOS DADOS
Estrutura de gerenciamento i) tem conhecimento dos papis

de riscos e controles fundamentais que a funo de
auditoria interna deve assumir
em relao ao gerenciamento de
riscos, dos que no deve assumir
e dos que pode assumir com
salvaguardas independncia,
conforme previsto na Declarao
de Posicionamento do IIA: O
papel da Auditoria Interna no
gerenciamento eficaz de riscos
corporativo, e de fato os exerce
em conformidade.
ii) tem compreenso clara da
estratgia da organizao e de
como ela executada, incluindo
objetivos, metas, riscos
associados e como esses riscos
so gerenciados, e alinha as
atividades da auditoria interna
com essas prioridades da
organizao;
iii) detm as competncias
necessrias para utilizar uma
abordagem sistemtica e
disciplinada baseada no risco,
para avaliar e melhorar a eficcia
dos processos de gerenciamento
de riscos, controle e governana.
Pgina | 101
DADOS DADOS
2. PROCESSOS
Nesta dimenso, o objetivo da equipe de auditoria examinar os processos de gesto de riscos adotados pela gesto, procurando avaliar em que medida a
organizao dispe de um modelo de processo formal, com padres e critrios definidos para a identificao, a anlise e a avaliao de riscos; para a seleo
e a implementao de respostas aos riscos avaliados; para o monitoramento de riscos e controles; e para a comunicao sobre riscos com partes interessadas,
internas e externas.
Se a identificao e anlise de riscos
2.1. Identificao e anlise de riscos realizada de forma consistente em
Em que medida as atividades de identificao e anlise de riscos so aplicadas de forma consistente a todas relao a todas operaes, funes e
operaes, funes e atividades relevantes da organizao (unidades, departamentos, divises, processos e atividades relevantes para a realizao
atividades que so crticos para a realizao dos objetivos-chaves da organizao)? dos objetivos-chaves da organizao, de
modo a priorizar os riscos significativos
identificados para as atividades
subsequentes de avaliao e resposta a
riscos.
Estabelecimento do contexto Se previamente ao processo de

identificao de riscos, todos os
2.1.1. A identificao de riscos
participantes desse processo obtm
precedida de uma etapa
entendimento da organizao e dos
de estabelecimento do
seus objetivos-chaves, bem como do
contexto?
ambiente no qual esses objetivos so
buscados, a fim de obter uma viso
abrangente dos fatores internos e
externos que podem influenciar a
capacidade da organizao para
atingir seus objetivos.
Pgina | 102
DADOS DADOS
Se a identificao dos objetivos-
Estabelecimento do contexto
chaves da atividade, do processo ou
(Continuao da questo 2.1.1). do projeto objeto da identificao e
anlise de riscos realizada
considerando o contexto dos
objetivos-chaves da organizao
como um todo, de modo a assegurar
que os riscos significativos do
objeto sejam apropriadamente
identificados.
Se realizada a identificao das
partes interessadas (internas e
externas), bem como a identificao
e a apreciao das suas
necessidades, expectativas legtimas
e preocupaes, de modo a incluir
essas partes interessadas em cada
etapa do processo de gesto de
riscos, por meio de comunicao e
consulta.
Se realizada comunicao e
consulta com partes interessadas
(internas e externas) para assegurar
que as suas vises e percepes,
incluindo necessidades, suposies,
conceitos e preocupaes sejam
identificadas, registradas e levadas
em considerao no processo de
gesto de riscos.
Pgina | 103
DADOS DADOS
Se a documentao da etapa de
Documentao do
estabelecimento do contexto inclui
estabelecimento do contexto
pelo menos:
2.1.2. A documentao da etapa
i) a descrio concisa dos
de estabelecimento do
objetivos-chaves e dos fatores
contexto inclui
crticos para que se tenha xito
elementos essenciais
(ou fatores crticos para o
para viabilizar um
sucesso) e uma anlise dos
processo de avaliao de
fatores do ambiente interno e
riscos consistente?
externo (por exemplo, anlise
SWOT);
ii) a anlise de partes interessadas e
seus interesses (por exemplo,
anlise de stakeholder, anlise
RECI, matriz de
responsabilidades);
iii) os critrios com base nos quais
os riscos sero analisados,
avaliados e priorizados (como
sero definidos a probabilidade e
o impacto; como ser
determinado se o nvel de risco
tolervel ou aceitvel; quais os
critrios de priorizao para
anlise, avaliao e tratamento
dos riscos identificados).
Pgina | 104
Identificao e anlise dos Se nos processos de identificao de
riscos riscos so envolvidas pessoas com
conhecimento adequado, bem como
2.1.3. Os processos de os gestores das reas.
identificao e anlise de
riscos envolvem pessoas Se so utilizadas tcnicas e
e utilizam tcnicas e ferramentas adequadas aos objetivos
ferramentas que e tipos de riscos.
asseguram a Se o processo de identificao de
identificao abrangente riscos considera explicitamente a
e a avaliao consistente possibilidade de fraudes, burla de
dos riscos? controles e outros atos imprprios,
alm dos riscos inerentes aos
objetivos de desempenho,
divulgao (transparncia e
prestao de contas) e de
conformidade com leis e
regulamentos.
Se o processo de identificao de
riscos produz uma lista abrangente
de riscos, incluindo causas, fontes e
eventos que possam ter um impacto
na consecuo daqueles objetivos
identificados na etapa de
estabelecimento do contexto.
Se a seleo de iniciativas
estratgicas, novos projetos e
atividades tambm tm os riscos
identificados e analisados,
incorporando-se ao processo de
gesto de riscos.
Se so analisados o impacto e a
probabilidade dos riscos.
Pgina | 105
DADOS DADOS
Se h registro dos riscos
Documentao da
identificao e anlise dos identificados e analisados em
riscos sistema, planilhas ou matrizes de
avaliao de riscos, descrevendo os
2.1.4. No registro de riscos componentes de cada risco
(sistema, planilhas ou matrizes separadamente com, pelo menos,
de avaliao de riscos), a suas causas, o evento e as
documentao da identificao consequncias e/ou impactos nos
e anlise dos riscos contm objetivos identificados na etapa de
elementos suficientes para estabelecimento do contexto.
apoiar um adequado
gerenciamento dos riscos? Se no registro de riscos da
organizao, a documentao das
atividades de identificao e anlise
de riscos inclui pelo menos:
i) o escopo do processo, da
atividade, da iniciativa
estratgica ou do projeto coberto
pela identificao e anlise;
ii) os participantes das atividades de
identificao e anlise de riscos;
iii) a abordagem ou o mtodo de
identificao e anlise utilizado,
as especificaes utilizadas para
as classificaes de
probabilidade e impacto e as
fontes de informao
consultadas;
Pgina | 106
DADOS DADOS
Identificao e anlise dos iv) a probabilidade de ocorrncia de

riscos cada evento, a severidade ou
magnitude do impacto nos
objetivos e a sua descrio, bem
como consideraes quanto
anlise desses elementos;
v) os nveis de risco inerente
resultantes da combinao de
probabilidade e impacto, alm de
outros fatores que a entidade
considera para determinar o nvel
de risco;
vi) a descrio dos controles
existentes, as consideraes
quanto sua eficcia e
confiabilidade; e
vii)o risco residual.
Se a avaliao de riscos e a seleo de
2.2. Avaliao e resposta a riscos respostas aos riscos identificados e
Em que medida as atividades de avaliao e resposta a riscos so aplicadas de forma consistente aos riscos analisados como significativos
identificados e analisados como significativos? realizada de forma consistente, para
assegurar que sejam tomadas decises
conscientes, razoveis e efetivas para o
tratamento dos riscos identificados como
significativos, e para reforar a
responsabilidade das pessoas designadas
para implementar e reportar as aes de
tratamento.
Pgina | 107
DADOS DADOS
Se existem critrios estabelecidos
Critrios para priorizao de
riscos para orientar as decises sobre
riscos em relao a todas as
2.2.1. Os critrios estabelecidos operaes, funes e atividades
para priorizao de relevantes da organizao.
riscos so adequados
para orientar decises Se os critrios estabelecidos levam
seguras por toda a em conta fatores como a
organizao? significncia ou os nveis e tipos de
risco, os limites de apetite a risco, as
tolerncias a risco ou variaes
aceitveis no desempenho, os nveis
recomendados de ateno, critrios
de comunicao a instncias
competentes, o tempo de resposta
requerido.
Se os critrios estabelecidos so
adequados para orientar decises
quanto a se:
i) um determinado risco precisa de
tratamento e a prioridade para
isso;
ii) uma atividade deve ser realizada,
reduzida ou descontinuada;
iii) controles devem ser
implementados, modificados ou
apenas mantidos.
Pgina | 108
Avaliao e seleo das Se a avaliao e a seleo das
respostas a riscos respostas a serem adotadas para
reduzir a exposio aos riscos
2.2.2. A seleo de respostas identificados considera a relao
para tratar riscos custo-benefcio na deciso de
considera todas as implementar atividades de controle
opes de tratamento e o ou outras aes e medidas, alm de
seu custo-benefcio? controles internos, para mitigar os
riscos.
Se todos os responsveis pelo
tratamento de riscos so envolvidos
2.2.3. Os responsveis pelo no processo de seleo das opes
tratamento de riscos so de resposta e na elaborao dos
envolvidos no processo planos de tratamento, bem como so
de avaliao e seleo formalmente comunicados das aes
das respostas e so de tratamento decididas para garantir
formalmente que sejam adequadamente
comunicados das aes compreendidas, se comprometam e
de tratamento decididas? sejam responsabilizados por elas.
Se todas as reas, funes e
atividades relevantes para a
realizao dos objetivos-chaves da
organizao tm identificados os
Planos e medidas de elementos crticos de sua atuao e
contingncia tm definidos planos e medidas de
contingncia formais e
2.2.4. Os elementos crticos da documentados para garantir a
atuao da organizao recuperao e a continuidade dos
esto identificados e tm seus servios em casos de desastres.
definidos planos e
medidas de
contingncia?
Pgina | 109
Documentao da avaliao e Se a documentao da avaliao e
seleo das respostas a riscos seleo de respostas aos riscos
inclui pelo menos:
2.2.5. A documentao da
avaliao e seleo de i) o plano de tratamento de riscos,
respostas a riscos inclui preferencialmente integrado ao
elementos suficientes registro de riscos, identificando
para permitir o claramente os riscos que
gerenciamento adequado requerem tratamento, suas
da implementao das respectivas classificaes
respostas? (probabilidade, impacto, nveis
de risco etc.), a ordem de
prioridade para cada tratamento;
ii) as respostas a riscos selecionadas
e as razes para a seleo,
incluindo justificativa de custo-
benefcio; as aes propostas, os
recursos requeridos, o
cronograma e os benefcios
esperados;
iii) as medidas de desempenho e os
requisitos para o reporte de
informaes relacionadas ao
tratamento dos riscos, e as
formas de monitoramento da sua
implementao;
iv) a identificao dos responsveis
pela aprovao e pela
implementao de cada ao do
plano de tratamento, com
autoridade suficiente para
gerenci-las.
Pgina | 110
DADOS DADOS
Se as atividades de monitoramento e
2.3. Monitoramento e comunicao comunicao esto estabelecidas e so
Em que medida as atividades de monitoramento e comunicao esto estabelecidas e so aplicadas de forma aplicadas de forma consistente, para
consistente na organizao? garantir que a gesto de riscos e os
controles sejam eficazes e eficientes no
desenho e na operao.
Se diretrizes e protocolos esto
Informao e comunicao
estabelecidos para viabilizar o
2.3.1. Diretrizes e protocolos de compartilhamento de informaes
informao e sobre riscos e a comunicao clara,
comunicao esto transparente, tempestiva, relevante e
estabelecidos e so recproca entre pessoas e grupos de
efetivamente aplicados profissionais no mbito da
em todas as fases do organizao, para que se
processo de gesto de mantenham informados e
riscos? habilitados para exercer suas
responsabilidades no gerenciamento
de riscos.
Se h efetiva comunicao e
consulta s partes interessadas
internas e externas durante todas as
fases do processo de gesto de
riscos.
Pgina | 111
DADOS DADOS
Se h um registro de riscos ou
Sistema de informao
sistema de informao apoia a
2.3.2. A gesto de riscos gesto de riscos da organizao e
apoiada por um registro facilita a comunicao entre pessoas
de riscos ou sistema de e grupos de profissionais com
informao efetivo e responsabilidades sobre o processo
atualizado? de gesto de riscos, permitindo uma
viso integrada das atividades de
identificao, anlise, avaliao,
tratamento e monitoramento de
riscos, incluindo a sua
documentao;
Se o registro de riscos ou sistema de
informao mantido atualizado
pelas diversas pessoas e funes que
tm responsabilidades pela gesto
de riscos em todas as reas da
organizao, tanto em funo das
decises e aes implementadas em
todas as etapas do processo de
gesto de riscos, quanto pelas
atividades de monitoramento e
correo de deficincias (tratadas na
sequncia), pelo menos quanto aos
seus resultados e com referncias
para a documentao original
completa.
Pgina | 112
DADOS DADOS
Se os gestores com propriedade
Monitoramento contnuo e
autoavaliaes sobre os riscos e como primeira
linha de defesa monitoram o alcance
2.3.3. Em todos os nveis da de objetivos, riscos e controles
organizao, os gestores chaves em suas respectivas reas de
que tm propriedade responsabilidade:
sobre riscos (primeira
linha de defesa) i) de modo contnuo, ou pelo
monitoram o alcance de menos frequente, por meio de
objetivos, riscos e indicadores-chaves de risco,
controles chaves em suas indicadores-chaves de
respectivas reas de desempenho e verificaes
responsabilidade? rotineiras, para manter riscos e
resultados dentro das tolerncias
a riscos definidas ou variaes
aceitveis no desempenho;
ii) por meio de autoavaliaes
peridicas de riscos e controles
(Control and Risk Self
Assessment CRSA), que
constam de um ciclo de reviso
peridica estabelecido; e
iii) a execuo e os resultados desses
monitoramentos so
documentados e reportados s
instncias apropriados da
administrao e da governana.
Pgina | 113
DADOS DADOS
Se as funes que supervisionam
Monitoramento contnuo e
autoavaliaes riscos ou coordenam atividades de
gesto de riscos exercem uma
(Continuao). superviso efetiva dos processos de
2.3.4. As funes que gerenciamento de riscos, inclusive
supervisionam riscos ou das atividades de monitoramento
que coordenam as contnuo e autoavaliaes da
atividades de gesto de primeira linha de defesa.
riscos (comit de Se essas funes fornecem
governana, riscos e orientao e facilitao para a
controles; comit de conduo das atividades de
auditoria ou grupos monitoramento contnuo e
equivalentes da segunda autoavaliaes da primeira linha de
linha de defesa) exercem defesa, mantm a sua documentao
suas atribuies de modo e comunica os seus resultados s
efetivo? instncias apropriadas da
administrao e da governana.
Se a funo de auditoria interna
Monitoramento peridico e
avaliaes independentes estabelece planos anuais ou
plurianuais baseados em riscos, de
2.3.5. A funo de auditoria modo a alinhar as atividades da
interna auxilia a auditoria interna com as prioridades
organizao a realizar da organizao e garantir que os
seus objetivos aplicando seus recursos so alocados em reas
abordagem sistemtica e de maior risco, para avaliar e
disciplinada para avaliar melhorar a eficcia dos processos de
e melhorar a eficcia dos gerenciamento de riscos, controle e
processos de governana.
gerenciamento de riscos,
controle e governana?
Pgina | 114
DADOS DADOS
Monitoramento peridico e Se a funo de auditoria interna

avaliaes independentes utiliza abordagem baseada em risco
ao definir o escopo e planejar a
(Continuao da questo 2.3.5). natureza, poca e extenso dos
procedimentos de auditoria em seus
trabalhos, o que implica a
identificao e anlise dos riscos e o
exame de como eles so gerenciados
pela gesto da rea responsvel.
Se a funo de auditoria interna
fornece assegurao aos rgos de
governana e alta administrao,
bem como aos rgos de controle e
regulamentao, de que os
processos de gesto de riscos e
controle operam de maneira eficaz e
que os riscos significativos so
gerenciados adequadamente em
todos os nveis da organizao.
2.3.6. H planos e medidas de Se os planos e as medidas de

contingncia definidos contingncia definidos para os
para os elementos elementos crticos da atuao da
crticos da atuao da entidade, em todas as reas, funes
organizao e estes so e atividades relevantes para a
periodicamente testados realizao dos objetivos-chaves da
e revisados? organizao
Se os planos e as medidas de
contingncia so periodicamente
testados e revisados.
Pgina | 115
DADOS DADOS
Se existem procedimentos e
Monitoramento de mudanas
significativas protocolos estabelecidos e em
funcionamento para monitorar e
2.3.7. A organizao monitora comunicar mudanas significativas
as mudanas que podem nas condies que possam alterar o
aumentar sua exposio nvel de exposio a riscos e ter
a riscos ter impacto nos impactos significativos na estratgia
seus objetivos? e nos objetivos da organizao.
Correo de deficincias e Se os resultados das atividades de

monitoramento so comunicados s
melhoria contnua
instncias apropriados da
2.3.8. So tomadas as medidas administrao e da governana com
necessrias para a autoridade e responsabilidade para
correo de deficincias adotar as medidas necessrias.
e a melhoria contnua do
desempenho da gesto de Se so elaborados e devidamente
riscos em funo dos acompanhados planos de ao para
resultados das atividades corrigir as deficincias identificadas
de monitoramento? nas atividades de monitoramento e
para melhorar o desempenho da
gesto de riscos.
3. PARCERIAS
Nesta dimenso, o objetivo da equipe de auditoria examinar os aspectos relacionados gesto de riscos no mbito de polticas de gesto compartilhadas
(quando o alcance de objetivos comuns de um setor estatal ou de uma poltica pblica envolve parcerias com outras organizaes pblicas ou privadas),
procurando avaliar em que medida a organizao estabelece arranjos com clareza sobre quais riscos sero gerenciados e por quem, e como se daro as trocas
de informaes sobre o assunto, de modo a assegurar que haja um entendimento comum sobre os riscos e o seu gerenciamento.
Pgina | 116
DADOS DADOS
Se a organizao adota um conjunto de
3.1. Gesto de riscos em parcerias prticas essenciais de gesto de riscos
Em que medida a organizao estabelece arranjos com clareza para assegurar que haja um entendimento comum para ter segurana razovel de que os
sobre os riscos e o seu gerenciamento no mbito das parcerias? riscos no mbito das parcerias sero
gerenciados adequadamente e os
objetivos alcanados.
Se o compartilhamento dos riscos
Avaliao da capacidade de
com potenciais organizaes
gesto de riscos das entidades
parceiras parceiras precedido de avaliao
fundamentada e documentada da
3.1.1. A capacidade das capacidade da organizao para
potenciais organizaes gerenciar os principais riscos
parceiras para gerenciar relacionados a cada objetivo, meta
os riscos das polticas de ou resultado das polticas de gesto
gesto compartilhadas compartilhadas.
avaliada antes da
realizao das parcerias?
Se so designados responsveis com
Definio de
responsabilidades, autoridade e recursos para tomar e
informao e comunicao implementar decises relacionadas
ao gerenciamento dos principais
3.1.2. Existe clara e adequada riscos relacionados a cada objetivo,
designao de meta ou resultado esperado das
responsveis pelo polticas de gesto compartilhadas
gerenciamento de riscos por meio de parcerias.
nas parcerias e de
protocolos de informao Se so definidas em quais condies
e comunicao entre e para quem cada responsvel deve
eles? fornecer informaes relacionadas a
risco e desempenho.
Pgina | 117
DADOS DADOS
Se o processo de gesto de riscos
Processo de gesto de riscos
em parcerias aplicado para identificar, avaliar,
gerenciar e comunicar riscos
3.1.3. O processo de gesto de relacionados a cada objetivo, meta
riscos aplicado no ou resultado pretendido das polticas
mbito das parcerias? de gesto compartilhadas.
3.1.4. A identificao e Se pessoas de todas as reas,

avaliao de riscos em funes ou setores com
parcerias envolve as envolvimento na parceria, de ambas
pessoas apropriadas das organizaes parceiras, e outras
organizaes parceiras e partes interessadas no seu objeto
outras partes participam do processo de
interessadas? identificao e avaliao dos riscos
relacionados a cada objetivo, meta
ou resultado esperado das parcerias.
3.1.5. A gesto de riscos nas Se um registro de riscos nico

parcerias apoiada por elaborado na identificao e
um registro de riscos avaliao dos riscos e atualizado
nico ou sistema de conjuntamente pelas organizaes
informao efetivo e parceiras em funo das atividades
atualizado? de tratamento e monitoramento de
riscos.
3.1.6. Os riscos e o Se h informao regular e

desempenho das confivel para permitir que cada
parecerias so organizao parceira monitore os
monitorados mediante riscos e o desempenho em relao a
troca regular de cada objetivo, meta ou resultado
informao confivel? esperado das parcerias.
Pgina | 118
DADOS DADOS
Se a organizao estabelece, em
3.2. Planos de medidas de contingncia conjunto com as entidades parceiras,
Em que medida so estabelecidos planos ou medidas de contingncia para garantir a recuperao e a continuidade planos e medidas de contingncia para
dos servios no mbito das parecerias realizadas? garantir a recuperao e a continuidade
da prestao de servios em caso de
incidentes.
Se as organizaes parceiras
Planos e medidas de
definem planos e medidas de
contingncia
contingncia formais e
3.7. So definidos planos e documentados para garantir a
medidas de contingncia recuperao e a continuidade dos
no mbito das parcerias, servios, em casos de desastres, ou
periodicamente testados e para minimizar efeitos adversos
revisados? sobre o fornecimento de servios ao
pblico, quando uma ou outra parte
falhar.
Se os planos e as medidas de
contingncia so periodicamente
testados e revisados.
4. RESULTADOS
Nesta dimenso, o objetivo da equipe de auditoria examinar os efeitos das prticas de gesto de riscos, procurando avaliar em que medida a gesto de
riscos tem sido eficaz para a melhoria dos processos de governana e gesto e os resultados da gesto de riscos tm contribudo para os objetivos
relacionados eficincia das operaes, qualidade de bens e servios, transparncia e prestao de contas e ao cumprimento de leis e regulamentos.
Se a organizao integra a gesto de
4.1. Melhoria dos processos de governana e gesto riscos em seus processos de governana
Em que medida a gesto de riscos tem sido eficaz para a melhoria dos processos de governana e gesto? e gesto e isso tem sido eficaz para a sua
melhoria.
Pgina | 119
DADOS DADOS
Se os responsveis pela governana
Integrao da gesto de riscos
aos processos organizacionais e a alta administrao sabem at que
ponto a administrao estabeleceu
4.1.1. Os responsveis pela uma gesto de riscos eficaz,
governana e a alta integrada e coordenada por todas as
administrao tm reas, funes e atividades
conscincia do estgio relevantes para a realizao dos
atual da gesto de riscos objetivos-chaves da organizao,
na organizao? tendo conscincia do nvel de
maturidade atual e do progresso das
aes em curso para atingir o nvel
almejado.
4.1.2. Os objetivos-chaves da Se os objetivos-chaves, que

organizao esto traduzem o conjunto de valores a
identificados e refletidos serem gerados, preservados e/ou
na sua cadeia de valor e entregues sociedade esto
nos seus demais identificados e refletidos na cadeia
instrumentos de de valor, na misso e viso e da
direcionamento e organizao e nos seus valores
comunicao da fundamentais, formando a base para
estratgia? a definio da estratgia e a fixao
de objetivos estratgicos e de
negcios.
Pgina | 120
DADOS DADOS
4.1.3. Os objetivos estratgicos Se os objetivos estratgicos e de

e de negcios esto negcios esto estabelecidos,
estabelecidos juntamente alinhados com o direcionamento
com as respectivas estratgico (questo anterior), com
medidas de desempenho? as respectivas medidas de
desempenho (metas, indicadores-
chaves de desempenho, indicadores-
chaves de risco e variaes
aceitveis no desempenho),
permitindo medir o progresso e
monitorar o desempenho de todas as
reas, funes e atividades
relevantes da organizao para a
realizao dos seus objetivos-
chaves.
4.1.4. Os principais riscos Se esto identificados, avaliados e

relacionados a cada sob tratamento e monitoramento os
objetivo, meta ou principais riscos relacionados a cada
resultado chave objetivo, meta ou resultado chave
pretendido esto pretendido de todas as reas, funes
identificados e e atividades relevantes para a
incorporados ao processo realizao dos objetivos-chaves da
de gerenciamento de organizao, com o desempenho
riscos? sendo comunicado aos nveis
apropriados da administrao e da
governana.
Pgina | 121
DADOS DADOS
Se os resultados da gesto de riscos tm
4.2. Resultados-Chaves da gesto de riscos contribudo para o alcance dos objetivos
Em que medida os resultados da gesto de riscos tm contribudo para o alcance dos objetivos da organizao? relacionados eficincia das operaes,
qualidade de bens e servios,
transparncia e prestao de contas e
ao cumprimento de leis e regulamentos.
Se os responsveis pela governana,
Entendimento dos objetivos,
a administrao e as pessoas
riscos, papis e
responsabilidades responsveis em todos os nveis tm
um entendimento atual, correto e
4.2.1. Uma conscincia sobre abrangente dos objetivos sob a sua
riscos, objetivos, gesto, de seus papis e
resultados, papis e responsabilidades, e sabem em que
responsabilidades est medida os resultados de cada rea
disseminada por todos os ou pessoa para atingir os objetivos-
nveis da organizao? chave envolvem riscos.
Garantia proporcionada pela Se os responsveis pela governana

gesto de riscos e a administrao, com base nas
informaes resultantes da gesto de
4.2.2. Os responsveis pela riscos, tm garantia razovel de que:
governana e a
administrao tm uma i) entendem at que ponto os
garantia razovel, objetivos estratgicos esto
proporcionada pela sendo alcanados na realizao
gesto de riscos, do da misso e dos objetivos-chaves
cumprimento dos da organizao;
objetivos da
organizao?
Pgina | 122
DADOS DADOS
Garantia proporcionada pela ii) entendem at que ponto os

gesto de riscos objetivos operacionais de
eficincia e eficcia das
operaes, de qualidade de bens
e servios esto sendo
alcanados;
iii) a comunicao de informaes
por meio de relatrios, de
mecanismos de transparncia e
prestao de contas confivel;
iv) as leis e os regulamentos
aplicveis esto sendo
cumpridos.
Se, de acordo com a documentao
Eficcia da gesto de riscos
resultante do processo de gesto de
4.2.3. Os riscos da organizao riscos e os critrios de risco
esto dentro dos seus definidos pela alta administrao
critrios de risco? com a superviso e concordncia
dos responsveis pela governana,
(apetite a risco, tolerncias a risco
ou variaes aceitveis no
desempenho), os riscos da
organizao esto dentro dos seus
critrios de risco.
Elaborado por: / /
Revisado por: / /
Supervisionado por: / /
Pgina | 123

Roterio de Auditoria Gestao de Riscos

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Roterio de Auditoria Gestao de Riscos

Hochgeladen von

Copyright:

Verfügbare Formate

PORTARIA-SEGECEX N 9, DE 18 DE MAIO DE 2017.

Aprova o documento Roteiro de Auditoria de

O SECRETRIO-GERAL DE CONTROLE EXTERNO, no uso de suas atribuies e tendo

considerando o disposto no Plano Estratgico do Tribunal de Contas da Unio para o

considerando que as auditorias do setor pblico devem contribuir para a melhoria do

considerando que a correta implementao e aplicao sistemtica, estruturada e oportuna

considerando a oportunidade de contribuir com orientaes e ferramentas para avaliar o

Art. 2 A Secretaria de Mtodos e Suporte ao Controle Externo (Semec) manter atualizado

Art. 3 Esta Portaria entra em vigor na data de sua publicao.

CLUDIO SOUZA CASTELLO BRANCO

SECRETARIA-GERAL DE CONTROLE EXTERNO

Permite-se a reproduo desta publicao, em parte ou no todo, sem

RESPONSABILIDADE PELO CONTEDO

Brasil. Tribunal de Contas da Unio.

1. Gesto de riscos governana. 2. Gesto de riscos accountability. 3. Auditoria metodologia. I.

Ficha catalogrfica elaborada pela Biblioteca Ministro Ruben Rosa

1.1. FUNDAMENTO E PROPSITO DO ROTEIRO .............................................................................................. 1

2.1. RELAO DA GESTO DE RISCOS COM A ACCOUNTABILITY PBLICA ............................................ 5

3.1. PRINCPIOS, ESTRUTURA E COMPONENTES ........................................................................................... 8

4.1. COSO GRC 2004 GERENCIAMENTO DE RISCOS ESTRUTURA INTEGRADA ............................. 16

5.1. VISO GERAL DO PROCESSO DE GESTO DE RISCOS ....................................................................... 21

6.1. DIMENSES DO MODELO ............................................................................................................................. 34

7.1. OBJETO DA AUDITORIA ................................................................................................................................. 41

8.1. VISO GERAL DO PROCESSO E FLUXO DO TRABALHO ...................................................................... 45

10. REFERNCIAS ............................................................................................................................................. 62

11. APNDICES .................................................................................................................................................. 67

APNDICE I CRITRIOS PARA AVALIAO DA MATURIDADE EM GESTO DE RISCOS ........................... 67

1.1. FUNDAMENTO E PROPSITO DO ROTEIRO

Induzir o aperfeioamento da gesto de riscos e

2. Conhecer o nvel de maturidade e identificar os aspectos da gesto de riscos que necessitam

a) apoiar a avaliao da maturidade da gesto de riscos de organizaes pblicas e a

b) fornecer orientao e disponibilizar ferramentas para a realizao de auditorias de gesto

4. So conceitos-chaves para iniciar a leitura deste roteiro1:

g) Tolerncia a risco nvel de variao aceitvel no desempenho em relao meta para o

1.3. ABORDAGENS DO RISCO EM TRABALHOS DO TCU

5. O risco inerente a todas as atividades humanas, em todos os campos. No mbito da gesto de

1.3.1. Avaliao de riscos para o plano de controle externo

7. Avaliao de riscos relacionados a um objeto especfico de controle externo, com o objetivo

1.3.3. Avaliao de riscos em auditorias

8. Avaliao de riscos realizada na fase de planejamento de auditorias, com objetivo de subsidiar

1.3.4. Auditoria de gesto de riscos

9. Auditoria realizada com o objetivo de avaliar a maturidade da gesto de riscos em organizaes

1.4. COMO USAR ESTE ROTEIRO

O captulo 2 descreve a importncia da gesto de riscos para apoiar a governana e a gesto

13. Assim, as organizaes pblicas necessitam gerenciar riscos, identificando-os, analisando-os

14. A gesto de riscos corretamente implementada e aplicada de forma sistemtica, estruturada e

2.1. RELAO DA GESTO DE RISCOS COM A ACCOUNTABILITY PBLICA

15. O elemento basilar da accountability pblica o dever que tm as pessoas ou entidades s

2.2. RELAO DA GESTO DE RISCOS COM A GOVERNANA

3.2. PAPIS E RESPONSABILIDADES

31. A alta administrao e os rgos de governana tm, coletivamente, a responsabilidade e o

32. Na prtica, os rgos de governana decidem e delegam a implantao e operao da gesto

33. A superviso da gesto de riscos pelos rgos de governana envolve:

37. Em organizaes grandes, e dependendo de fatores como o ambiente e o setor de atuao, a

e) fornecer metodologias e ferramentas para unidades de negcios com a finalidade de

f) definir funes e responsabilidades pela gesto de riscos nas unidades de negcio;

g) promover competncia em gerenciamento de riscos;

h) orientar a integrao do gerenciamento de riscos com outras atividades de gesto;

j) comunicar ao presidente e diretoria executiva o andamento do gerenciamento de riscos

Figura 3.2: O papel da auditoria interna no gerenciamento de riscos (IIA, 2009a).

Em situaes em que a organizao no tenha processos formais de gesto

46. medida que a maturidade da gesto de riscos da organizao evolui e o gerenciamento de

1) Funes que gerenciam e tm propriedade de riscos (pargrafos 35-36): a gesto

3) Funes que fornecem avaliaes independentes (pargrafos 41-46): a auditoria interna