<h2>Gestão de Riscos no Setor Público</h2> <p><strong>Risco</strong> é o efeito da incerteza sobre os objetivos (ISO 31000). Pode ser positivo (oportunidade) ou negativo (ameaça). <strong>Gestão de riscos</strong> é o conjunto coordenado de atividades para dirigir e controlar a organização em relação aos riscos.</p> <h3>Marcos normativos no Brasil</h3> <ul> <li><strong>IN Conjunta MP/CGU 01/2016</strong> — primeira norma a exigir gestão de riscos, controles internos e governança nos órgãos do Poder Executivo Federal;</li> <li><strong>Decreto 9.203/2017</strong> — Política de Governança da Administração Pública Federal direta, autárquica e fundacional. Define princípios (capacidade de resposta, integridade, confiabilidade, melhoria regulatória, prestação de contas, transparência) e diretrizes (gestão de riscos, controles internos, integridade);</li> <li><strong>Decreto 11.529/2023</strong> — Sistema de Integridade Pública do Poder Executivo Federal;</li> <li><strong>TCU</strong> — Referencial Básico de Gestão de Riscos (RBGR);</li> <li><strong>CGU</strong> — Manual de Gestão de Integridade, Riscos e Controles Internos da Gestão.</li> </ul> <h3>Modelos internacionais de referência</h3> <h4>COSO ERM (2017)</h4> <p>O <strong>Committee of Sponsoring Organizations of the Treadway Commission</strong>, em sua versão atualizada de 2017 (<em>Enterprise Risk Management — Integrating with Strategy and Performance</em>), organiza a gestão de riscos em <strong>5 componentes</strong> e <strong>20 princípios</strong>:</p> <ol> <li><strong>Governança e cultura</strong>;</li> <li><strong>Estratégia e definição de objetivos</strong>;</li> <li><strong>Desempenho</strong> (identificação, avaliação, priorização e resposta a riscos);</li> <li><strong>Análise crítica e revisão</strong>;</li> <li><strong>Informação, comunicação e divulgação</strong>.</li> </ol> <p>O COSO original (1992 / 2013) cobre <strong>controles internos</strong> com 5 componentes (Ambiente de controle, Avaliação de riscos, Atividades de controle, Informação e comunicação, Atividades de monitoramento) — não confundir com o COSO ERM.</p> <h4>ISO 31000:2018</h4> <p>Norma técnica internacional sobre gestão de riscos. Estrutura:</p> <ul> <li><strong>Princípios</strong> (8): integrada, estruturada, customizada, inclusiva, dinâmica, melhor informação disponível, fatores humanos e culturais, melhoria contínua;</li> <li><strong>Estrutura</strong> (<em>framework</em>): liderança e comprometimento, integração, concepção, implementação, avaliação, melhoria;</li> <li><strong>Processo de gestão de riscos</strong>: comunicação e consulta, escopo/contexto/critérios, identificação, análise, avaliação, tratamento, monitoramento e análise crítica, registro e relato.</li> </ul> <h3>Processo de gestão de riscos (etapas)</h3> <ol> <li><strong>Identificação</strong> — listar eventos potencialmente impactantes (técnicas: brainstorming, análise SWOT, listas de verificação, entrevistas, workshops);</li> <li><strong>Análise</strong> — entender natureza, causas e fontes do risco;</li> <li><strong>Avaliação</strong> — combinar <strong>probabilidade</strong> e <strong>impacto</strong> (ex.: matriz 5x5) para priorizar;</li> <li><strong>Tratamento</strong> — escolher resposta (4T): <strong>tolerar</strong>, <strong>tratar (mitigar)</strong>, <strong>transferir</strong> (seguro/terceirização), <strong>terminar (eliminar)</strong>. Alguns autores acrescentam <strong>aceitar</strong> e <strong>compartilhar</strong>;</li> <li><strong>Monitoramento e análise crítica</strong> — acompanhar a evolução dos riscos e a eficácia dos controles;</li> <li><strong>Comunicação e consulta</strong> — atravessa todas as etapas.</li> </ol> <h3>Apetite e tolerância ao risco</h3> <ul> <li><strong>Apetite a risco</strong> — quantidade ampla de risco que a organização está disposta a assumir para alcançar seus objetivos;</li> <li><strong>Tolerância</strong> — variação aceitável em relação a metas específicas;</li> <li><strong>Capacidade de risco</strong> — quantidade máxima de risco que a organização suporta antes de comprometer sua viabilidade.</li> </ul> <h3>Tipologia de riscos</h3> <ul> <li><strong>Estratégicos</strong> — afetam objetivos de longo prazo;</li> <li><strong>Operacionais</strong> — falhas em processos, pessoas, sistemas;</li> <li><strong>Financeiros</strong> — orçamentários, de mercado, de crédito;</li> <li><strong>de Conformidade (compliance)</strong> — descumprimento de normas;</li> <li><strong>de Imagem/reputação</strong>;</li> <li><strong>Fiscais e legais</strong>;</li> <li><strong>de Integridade</strong> — fraude, corrupção, conflito de interesses;</li> <li><strong>Cibernéticos</strong>.</li> </ul> <h3>As Três Linhas de Defesa (modelo IIA — atualizado em 2020)</h3> <ul> <li><strong>1ª linha</strong> — gerentes operacionais e equipes finalísticas: identificam, avaliam e tratam riscos no dia a dia;</li> <li><strong>2ª linha</strong> — funções de monitoramento de riscos e conformidade (controles internos, gestão de riscos corporativa, integridade);</li> <li><strong>3ª linha</strong> — auditoria interna: avaliação independente da eficácia das duas anteriores;</li> <li>Acima delas: <strong>órgão de governança</strong> (alta administração, conselho); fora: <strong>auditoria externa</strong> (TCU/CGU).</li> </ul> <h3>Matriz de risco e mapa de calor</h3> <p>Ferramenta visual para priorização: eixo X = probabilidade; eixo Y = impacto; cores indicam nível (verde, amarelo, vermelho). Permite focar tratamento nos riscos críticos (alto impacto + alta probabilidade).</p> <h3>Riscos x Oportunidades</h3> <p>A norma ISO 31000 e o COSO ERM enfatizam que risco <strong>não é só ameaça</strong>: o tratamento pode envolver <em>aproveitar</em> ou <em>buscar</em> riscos positivos (oportunidades). Esse aspecto é frequentemente ignorado em prova.</p> <h3>Para a prova</h3> <ul> <li><strong>Risco</strong> = efeito da incerteza sobre objetivos (ISO 31000); pode ser positivo ou negativo.</li> <li>Marcos brasileiros: <strong>IN MP/CGU 01/2016</strong>, <strong>Decreto 9.203/2017</strong>, <strong>Decreto 11.529/2023</strong>.</li> <li><strong>COSO ERM (2017)</strong>: 5 componentes, 20 princípios. <strong>COSO controles internos</strong>: 5 componentes (não confundir).</li> <li><strong>ISO 31000:2018</strong>: princípios, estrutura, processo.</li> <li><strong>4T</strong>: Tolerar, Tratar, Transferir, Terminar.</li> <li><strong>Três Linhas de Defesa</strong>: gestão operacional → funções de risco/compliance → auditoria interna.</li> <li><strong>Apetite</strong> ≠ <strong>tolerância</strong> ≠ <strong>capacidade</strong> de risco.</li> </ul> Exercícios: [COMPERVE 2025] Emily, gestora de qualidade de uma organização, utilizou o FMEA para a melhoria de um processo organizacional, cujo objetivo é minimizar as chances de ocorrência de uma falha. Para definir o “número de prioridade de risco” (RPN), Emily teve acesso às informações relativas [Avança SP 2025] Alguns métodos podem ser usados para incorporar à avaliação o risco associado à projeção dos valores. Assinale a alternativa que completa corretamente as lacunas do texto abaixo, que consiste na definição de um desses métodos. “A análise de _____________ consiste em avaliar as alterações nos resultados calculados, após alterações em uma determinada variável. Os resultados podem ser os gerados pelos métodos de avaliação (VPL, TIR, VUE etc.) e, normalmente, escolhe-se uma variável cujo comportamento seja incerto, podendo variar em relação ao valor esperado. Portanto, esse método quantifica a/o _____________ dos resultados do projeto em relação às mudanças em uma variável, mantendo as demais variáveis inalteradas.” De acordo com a ISO 31000, risco é definido como o efeito da incerteza sobre os objetivos. Qual das alternativas abaixo melhor caracteriza o conceito de risco? Qual das seguintes normativas brasileiras estabeleceu a primeira exigência formal de gestão de riscos nos órgãos do Poder Executivo Federal? No modelo COSO ERM (2017), quantos componentes e princípios são organizados para a gestão de riscos? No processo de gestão de riscos, qual das seguintes etapas é responsável por entender a natureza, causas e fontes do risco? Qual é a principal diferença entre apetite ao risco e tolerância ao risco, conforme definido no conteúdo da aula? No modelo das Três Linhas de Defesa, qual é a função da 2ª linha?