Gerenciamento de Continuidade de Negócios na Administração Pública

Prévia do material em texto

Governo e Transformação Digital; Inovação.
Gerenciamento de 
Continuidade de Negócios 
na Administração Pública
Enap, 2022
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Diretoria de Desenvolvimento Profissional
Conteudista/s 
Sergio Ricardo de Magalhães Souza, (Conteudista, 2022).
Sumário
Módulo1: Por que estudar Gestão de Crises e Continuidade de Negócios? ......7
Unidade 1: A Importância da Estratégia nas Organizações ................................9
1.1 Missão e Visão das Organizações, Objetivos Estratégicos .................................... 9
1.2 O que impede as organizações de atingirem seus objetivos e o que as protege? .14
Referências ..................................................................................................................... 19
Unidade 2: Impactos Diretos e Indiretos nos Processos de Transformação Digital .20
2.1 O que é Transformação Digital? ............................................................................. 20
2.2 Pilares da Transformação Digital (Pessoas, Processos, Tecnologia, Locais) ..... 22
2.3 Impactos Diretos e Indiretos da Transformação Digital gerando valor para as 
Organizações ................................................................................................................... 25
Referências ..................................................................................................................... 29
Unidade 3: A Continuidade de Negócios no Gerenciamento de Crises e 
Emergências ........................................................................................................... 30
3.1 Afinal, o que é a Continuidade de Negócios? ........................................................ 30
3.2 O que é gerir a Continuidade de Negócios e qual a sua importância? .............. 33
3.3 O que são as Crises e Emergências para a Continuidade de Negócios? ........... 34
3.3.1 O que é Crise? ........................................................................................................ 34
3.3.2 O que é Emergência? ............................................................................................ 35
3.4 Respostas às crises e emergências ........................................................................ 35
3.5 Consequências diretas e indiretas das crises e emergências nas organizações .....36
Referências ..................................................................................................................... 38
Módulo 2: O Processo de Gerenciamento de Emergências e Crises ................39
Unidade 1: Contextualizando a Gestão de Riscos e Controles .........................39
1.1 Principais Conceitos da Gestão de Riscos e Controles ........................................ 40
1.2 As Políticas de Gestão de Riscos e Controles ........................................................ 41
1.3 Processos de Gestão de Riscos: ISO 31.000 e Coso (I, II e III) .............................. 42
Escopo, contexto e critérios .......................................................................................... 45
Avaliação de Riscos ......................................................................................................... 46
1.4 A Integração dos Processos de Gestão de Riscos e Controles ........................... 53
Referências ..................................................................................................................... 55
4Enap Fundação Escola Nacional de Administração Pública
Unidade 2: O Ciclo de Gerenciamento de Emergências e Crises nas Organizações .56
2.1 Etapas da Materialização das Consequências de Eventos .................................. 56
2.2 Por que os eventos indesejáveis se tornam eventos ampliados? ...................... 59
2.3 Instalação de Situação de Emergência: Crises Operacionais, Financeiras, de 
Imagem/Reputação ........................................................................................................ 60
2.4 Aspectos Fundamentais na Gestão de Crises: NFPA 1.600 e PAS 200:2011 ..... 63
2.5 O que é a Decretação de Crise? .............................................................................. 64
2.6 Necessidade de Gestão da Continuidade ............................................................. 67
Referências ..................................................................................................................... 68
Módulo 3: Como fazer um Plano de Continuidade de Negócios? .....................69
Unidade 1: Gestão da Continuidade de Negócios (GCN) ...................................69
1.1 Os Sistemas Integrados de Gestão (SIG) ............................................................... 69
1.2 Inserção da GCN nos Sistemas de Gestão de Riscos e Controles ...................... 73
1.3 Padrões e Boas Práticas de Gestão da Continuidade de Negócios (GCN) ........ 74
1.4 Normas Internacionais para a Continuidade de Negócios: ABNT NBR ISO 
22.301/2020 ..................................................................................................................... 76
1.5 A importância da Política de Continuidade de Negócios .................................... 80
1.6 Princípios e Diretivas para a implantação de um Sistema de Gestão de 
Continuidade de Negócios (SGCN) ............................................................................... 81
Referências ..................................................................................................................... 84
Unidade 2: Planos de Continuidade de Negócios (PCN) ....................................85
2.1 Etapas clássicas de desenvolvimento de um Plano de Continuidade de Negócios 
(PCN). ................................................................................................................................ 85
2.2 Mapeamento inicial de prioridades e Análise de Impacto nos Negócios (BIA) 90
2.3 Risk Assessment e Business Impact Analysis (BIA) .............................................. 93
2.4 Estimativa de impacto nos negócios (MTPD) e Determinação de Metas de 
Recuperação (RTO) ......................................................................................................... 94
2.5 Tipos de estratégia de resposta, reinício, recuperação e retorno das atividades ...96
2.6 Preparativos e Procedimentos para o Plano de Continuidade de Negócios (PCN) .. 100
Referências ................................................................................................................... 101
Unidade 3: Integração do Plano de Continuidade de Negócios .....................102
3.1 Plano de Administração de Crises e Comunicação (PCC) .................................. 103
3.2 Plano de Atendimento a Emergência (PAE) ......................................................... 105
3.3 Plano de Contingência Emergencial (PCE) ........................................................... 106
3.4 Plano de Recuperação de Desastres (PRD) e Plano de Continuidade Operacional (PCP) .106
Referências ................................................................................................................... 109
Enap Fundação Escola Nacional de Administração Pública 5
Módulo 4: Avaliando a Maturidade da Gestão de Continuidade de Negócios 110 
Unidade 1: Avaliação e Maturidade da Gestão da Continuidade de Negócios 110
1.1 Avaliação da Maturidade do SGCN ...................................................................... 110
1.2 Indicadores de Maturidade ................................................................................... 114
1.3 Auditorias, Exercícios e Testes como formas de medir a maturidade ............ 115
Referências ................................................................................................................... 116
Módulo 5: O Gerenciamento de Continuidade de Negócios na Transformação 
Digital da Adm. Pública .......................................................................................117
Unidade 1: Boas práticas e estudo de casos ..................................................... 117
1.1 Boas práticas ........................................................................................................... 118
1.2 Estudos de caso ...................................................................................................... 119
Referências ................................................................................................................... 124
6Enap Fundação Escola Nacional de Administração Pública
Apresentação e Boas-vindas 
Olá, seja muito bem-vindo(a) ao curso Gerenciamento de Continuidade de Negócios 
na Administração Pública.
Conforme você acabou de assistir nesta videoaula, o convidamos a se engajar nesta 
jornada, cujo compromisso é apresentar, de forma evolutiva, todos os conhecimentos 
necessários para que você entenda a importância de investir na Gestão da Continuidade 
de Negócios para a Transformação Digital na Administração Pública.
Para ajudar em sua jornada de conhecimentos e na organização de seus estudos, 
o curso foi fragmentado em cinco módulos, com tópicos e subtópicos. No primeiro 
módulo “Por que estudar Gestão de Crises e Continuidade de Negócios?” você 
estudará diversos temas, dentre eles, os pilares da transformação digital e como ela 
impacta direta e indiretamente na geração de valor para as organizações.
No segundo módulo “O Processo de Gerenciamento de Emergências e Crises” 
serão apresentados os conceitos de gestão de riscos e controles previstos no Coso 
e na ISO 31.000, entre outros.
Já no módulo 3 “Como fazer um Plano de Continuidade de Negócios?” prepare-
se para compreender os principais aspectos relativos à elaboração de um Plano 
de Continuidade de Negócio, bem como a importância da integração do PCN aos 
planos acessórios de resposta às crises e emergências.
O módulo 4 “Avaliando a Maturidade da Gestão de Continuidade de Negócios” 
tratará sobre o processo de avaliação contínua do SGCN e do PCN, por meio de 
indicadores e ações integradas.
No módulo 5 “O Gerenciamento de Continuidade de Negócios na Transformação 
Digital da Adm. Pública”, última etapa de seus estudos, esteja pronto para aprender 
a diferenciar, a partir de casos reais na Administração Pública, os conceitos de 
Gerenciamento de Continuidade de Negócios. 
Bom curso para você! 
Videoaula: Apresentação do Curso
https://
https://cdn.evg.gov.br/cursos/808_EVG/video/modulo01_video01/index.html
7Enap Fundação Escola Nacional de Administração Pública
 Módulo
Por que estudar Gestão de Crises 
e Continuidade de Negócios?1
A palavra crise vem do latim, crisis, e do grego, krísis, que dá origem ao verbo krínein. 
Na língua portuguesa, é utilizada para descrever o estado de caos e incerteza.
Alguns autores costumam dizer que uma crise surge quando os problemas que se 
instauram não recebem respostas adequadas. Portanto, crises acontecem quando 
eventos indesejáveis ocorrem, trazem consequências diretas e indiretas e podem 
até se agravar. 
A incerteza e o caos que caracterizam as crises ganham ainda mais lugar quando 
não há prévia condução de planejamentos, previsão de procedimentos e ações 
de respostas adequadas para lidar com seus primeiros sinais. Analise a imagem a 
seguir e reflita mais sobre isso!
Crise.
Fonte: Galvão (2019).
8Enap Fundação Escola Nacional de Administração Pública
Mas, talvez, você esteja aí do outro lado se perguntando: Por que eu preciso 
estudar e aprender sobre gestão de crises? Bem, a importância de estudar os 
mecanismos pelos quais as crises podem se instaurar (suas causas e seus efeitos) e 
como geri-las ganha especial importância quando se percebe que, ao longo do tempo, 
há inúmeras oportunidades de garantir que os processos dentro das organizações 
se tornem mais robustos e resilientes, a fim de preservar a continuidade dos 
negócios e atender às partes interessadas. Isso é ainda mais significativo quando se 
pensa na administração pública ou em empresas públicas, que existem para prestar 
serviço à sociedade.
Há situações em que a ocorrência de eventos indesejáveis exige uma ação imediata. 
Esses momentos também podem gerar crises, quando não se sabe o que fazer de 
forma estruturada e organizada para enfrentá-las. As emergências são limitadas no 
tempo, mas as crises podem perdurar. Dito isso, convido você a mergulhar nesses 
temas a partir de agora!
Gestão de crises.
Fonte: Freepik (2022). 
A gestão de crises é um conjunto de práticas que têm como objetivo 
lidar com problemas inesperados, internos ou externos, que 
podem causar prejuízos estratégicos, financeiros, operacionais, 
além de danos à imagem e reputação de uma organização, seja 
ela pública ou privada.
Enap Fundação Escola Nacional de Administração Pública 9
1.1 Missão e Visão das Organizações, Objetivos Estratégicos
Unidade 1: A Importância da Estratégia nas Organizações
Objetivo de aprendizagem
Ao término dos estudos desta unidade, espera-se que você reconheça a missão, visão 
e objetivos estratégicos das organizações, assim como os fatores que as impedem de 
atingir objetivos traçados.
As organizações são criadas por muitos motivos, mas talvez o principal seja atender 
a alguma demanda da sociedade por produtos e/ou serviços.
Na área financeira, alguns dizem que as organizações têm por objetivo dar retorno 
aos seus acionistas pelo investimento realizado. Porém, essa definição não está 
totalmente correta, porque muitas organizações não têm fins lucrativos – como é o 
caso, por exemplo, da administração pública, cujo foco é a prestação de serviços 
para a sociedade.
Os economistas dizem que as organizações existem a partir das oportunidades que 
surgem da demanda e da oferta de produtos e serviços, porque a Economia é a 
ciência que estuda a escassez. Quando há mais demanda do que oferta, surgem 
os interesses dos empreendedores e dos investidores.
Os especialistas em marketing, por sua vez, têm uma visão mais holística do assunto, 
preocupando-se mais com os processos de troca, já que, segundo a AMA – American 
Marketing Association (2017) a partir da visão de Philip Kotler, o mais reconhecido 
autor na área, as organizações são responsáveis pelo processo por meio do qual 
pessoas e grupos obtêm aquilo que necessitam e que desejam com a criação, 
oferta e livre negociação de produtos e serviços de valor.
Seja como for, as organizações existem para cumprir uma determinada missão 
idealizada pelos seus fundadores, podendo ser: social ou econômica (ou ambas).
Assim, a missão de uma organização, de forma sucinta, é o porquê de ela existir. 
Também é o propósito da empresa, ou seja, alguma coisa que justifique para a 
sociedade a sua existência, de uma forma clara, objetiva e até inspiradora.
10Enap Fundação Escola Nacional de Administração Pública
Espera-se que a missão de uma organização se mantenha por um período 
razoavelmente longo, mas ela pode ser alterada quando se percebe que o mundo 
mudou e que a motivação inicial precisa ser revisada. 
Quer um exemplo? Pense nas empresas de petróleo, que, nos últimos anos, 
revisaram a sua missão, realinhando e ampliando seus propósitos para a provisão 
de soluções de energia com qualquer fonte, inclusive as alternativas.
Quase que em ato contínuo, ao se definir a missão de uma organização, estabelece-
se também a sua visão de futuro, ou seja, a expressão de como ela quer estar ou 
ser percebida em médio ou longo prazo, isto é, um período suficiente para que as 
coisas aconteçam – por exemplo, 5 ou 10 anos. 
Organização – Pilares.
Elaboração: CEPED/UFSC (2022).
A visão organizacional pode ser entendida como o destino a que 
se quer chegar ou até um sonho com data para acontecer.
Da mesma forma, não se pode esquecer que, para vivermos em sociedade, 
estabelecemos e observamos valores, portanto, uma organização também precisa 
ter os seus. Devem ser valores coerentes com as necessidades dos seus stakeholders, 
colaboradores e demais partes interessadas.
Enap FundaçãoEscola Nacional de Administração Pública 11
Valores também são regras de conduta a serem seguidas pela organização no 
cumprimento de sua missão e visão, devendo ser explícitos, éticos, compartilhados 
por todos e, sobretudo, comunicados a todos e postos em prática.
Conhecendo a missão e a visão, é possível determinar o caminho norteador das 
ações estratégicas da organização, no período definido, o que se faz por meio de 
formulação de objetivos estratégicos e de ciclos de planejamento estratégico.
Antes disso, é fundamental que as organizações compreendam a diferença entre 
objetivos estratégicos e planejamento estratégico.
Planejamento estratégico
Estratégia, segundo Henry Mintzberg (2001), autor do famoso livro “O 
Safári da Estratégia”, é a forma, integrada no processo decisório, de 
pensar no futuro, com base em um processo formalizado e articulador 
de resultados, que advém do planejamento estratégico, ou seja, do 
planejamento que incorpora a visão estratégica.
Objetivos estratégicos 
Portanto, para que se possa cumprir a missão de uma organização e a sua 
visão de futuro, é necessário parar para pensar quais estratégias formular 
para chegar lá e, mais do que isso, quais serão os pilares dessas estratégias, 
pois é preciso fixar os objetivos estratégicos a serem atingidos.
Valores são convicções claras, firmes e fundamentais que a 
organização adota e procura defender, servindo como guia 
(crenças e posturas éticas, além de noções de certo e errado, de 
bom e ruim, de importante e não importante). Os valores são 
tudo o que é inegociável na organização e norteiam a atuação.
Imagine que a missão de uma organização é atender à sociedade, fornecendo 
informações relevantes sobre as previsões meteorológicas. Imagine também que 
a sua visão é se tornar referência nacional nessa prestação de serviço em 10 anos.
12Enap Fundação Escola Nacional de Administração Pública
Para que a organização possa cumprir 
sua missão e visão, terá que investir em 
processos, equipamentos, tecnologia 
e pessoas. Também terá que fixar, 
ao longo da jornada, os objetivos 
estratégicos que serão cumpridos por 
meio de um portfólio de projetos e de 
construção de processos, todos muito 
bem planejados e articulados ao longo 
do tempo.
Empresa de meteorologia.
Fonte: Freepik (2022).
Objetivos estratégicos.
Fonte: Freepik (2022). 
Isso garante que os resultados 
sejam progressivos e se acumulem, 
melhorando passo a passo a prestação 
de serviço a qual a organização se 
propõe, possivelmente, alcançando seu 
objetivo ao final do tempo estabelecido 
se todas essas etapas ocorrerem de 
forma estruturada e organizada.
Alcançando resultados.
Fonte: Freepik (2022). 
Acompanhe o exemplo a seguir:
Imagine que a missão de uma 
organização é atender à sociedade, 
fornecendo informações relevantes 
sobre as previsões meteorológicas. 
Imagine também que a sua visão é 
se tornar referência nacional nessa 
prestação de serviço em 10 anos.
Enap Fundação Escola Nacional de Administração Pública 13
Claro que é possível, ao longo da 
jornada, a ocorrência de resultados 
parciais não satisfatórios. Faz parte 
do jogo criar ciclos de reavaliação das 
estratégias e dos planos estratégicos 
para retroalimentar o processo em si 
e corrigir possíveis desvios, mantendo 
o foco no que é fundamental, qual 
seja ao alcance dos objetivos.
Alcançando resultados.
Fonte: Freepik (2022). 
Assim, os objetivos estratégicos são aquilo que se quer alcançar ao longo do 
tempo para o cumprimento da missão institucional e o alcance de sua visão de 
futuro. Traduzem, ainda, consideradas as demandas e expectativas de suas partes 
interessadas, os desafios a serem enfrentados e como eles se relacionam para fazer 
cumprir a missão e a visão da organização.
Não basta ter objetivos estratégicos, é preciso colocar as estratégias em prática, e isso 
se faz por meio de ciclos de planejamento estratégico, que devem ser definidos ao 
longo do tempo. Assim, organizações que estão em desenvolvimento mais acelerado 
podem cumprir ciclos mais curtos. Já as mais estabelecidas e maduras, atuando em 
mercados mais tradicionais, em ciclos mais longos.
O planejamento estratégico é o registro formal e detalhado, 
desdobrado nos ambientes estratégicos, táticos e operacionais, 
do que as organizações farão para cumprir os seus objetivos 
estratégicos e como monitorarão a jornada, intervindo, quando 
necessário, para corrigir a rota.
Algumas organizações já utilizam o mapa estratégico, uma ferramenta visual na qual 
os objetivos estratégicos que serão considerados pela alta direção estão conectados 
sequencialmente, permitindo a qualquer pessoa compreender o fluxo de geração 
de valor a partir de todos os passos necessários para atingi-los.
14Enap Fundação Escola Nacional de Administração Pública
Mapa estratégico.
Fonte: Adaptado de Freepik (2022). 
De certa maneira, o mapa estratégico torna bem claro o modo como os planos 
estratégicos serão conduzidos para transformar a visão de futuro em realidade, 
cumprindo a missão estabelecida com base nos valores delineados, tudo isso de 
forma estruturada. Permite, também, que as várias áreas compreendam seus 
respectivos papéis e contribuições para a construção das perspectivas estratégicas.
1.2 O que impede as organizações de atingirem seus objetivos e o 
que as protege?
Ao traçarem seus objetivos estratégicos, as organizações esperam construir 
resultados que possam alterar o status quo, ou seja, o estado atual das coisas, 
superando, para isso, as eventuais dificuldades e obstáculos.
A evolução da humanidade vem se acelerando, a partir da curiosidade de descobrir, 
de ousar fazer diferente e melhor. Nos últimos anos, isso é ainda mais perceptível, 
com a transformação rápida na forma de a sociedade ter acesso a bens e serviços, 
Enap Fundação Escola Nacional de Administração Pública 15
graças ao advento de novas tecnologias, o que também exigiu investimentos e 
financiamento público e privado.
Por exemplo, muitas décadas atrás, quando o homem decidiu ir ao espaço, tudo 
aconteceu a partir de percepções que misturaram desejos (sonhos), necessidades e 
oportunidades. O sonho era ir além dos limites e matar curiosidades, porque, desde 
os primórdios, o céu está sobre as nossas cabeças, todas as noites. Ainda hoje, há 
uma série de questões a serem respondidas sobre a nossa própria existência, e, um 
dia, elas serão respondidas ou a partir da exploração do Universo ou de outro modo. 
No entanto, sempre é muito difícil convencer alguém a financiar um sonho, a não 
ser que ele se torne uma necessidade. Analise! 
Logo após a II Guerra Mundial, a Guerra Fria criou uma corrida espacial que, dentre 
outras coisas, significava a oportunidade de captar recursos para acelerar o avanço 
tecnológico, fechando a tríade que justificou o investimento e o financiamento para os 
programas espaciais. No caso, isso foi exatamente o que ocorreu. Os desdobramentos 
que vieram dos estudos científicos daquela época produziram enormes avanços em 
todas as áreas do conhecimento, permitindo que chegássemos aonde chegamos.
Claro que, ao longo da jornada, houve grandes desafios – principalmente, a incerteza 
sobre atingir os objetivos –, o que instigou os cientistas e especialistas a buscarem 
mais conhecimento e gerou ideias que transformaram hipóteses em projetos e 
processos tecnológicos revolucionários. As incertezas moveram a curiosidade 
científica, que se alimentou de questões e hipóteses para gerar avanços tecnológicos.
Avanços tecnológicos.
Fonte: Freepik (2022). 
16Enap Fundação Escola Nacional de Administração Pública
Como a incerteza está em todas as atividades humanas, é presumível entender que 
ela é um dos fatores que pode afetar os resultados de uma atividade.
Por outro lado, os riscos1 estão sempre no futuro, mas a incerteza pode estar no 
presente e significa um estado (ainda que parcial) de deficiência de informações 
sobre eventos que podem vir a impedir ou permitir que alguma coisa venha a 
ocorrer– denominado evento de risco. 
A incerteza faz pensar que sempre há a probabilidade de um evento de risco vir a 
ocorrer, que só poderá ser estimado com um bom grau de confiabilidade quando 
se tem informações de qualidade sobre as fontes e causas do evento e sobre a sua 
dinâmica de ocorrência.
Os eventos de risco, quando se materializam, trazem consequências que podem 
ser negativas para os objetivos de uma organização ou até impedi-los. 
Em geral, os objetivos estratégicos são produzidos por meio de planos que envolvem 
projetos e, em última análise, pela construção ou alteração dos seus processos. Pode-
se dizer, então, que a ocorrência de riscos, ou dos eventos de riscos, pode impedir 
que as organizações atinjam seus objetivos ou até mesmo sua visão de futuro.
1_ A ISO (International Organization for Standardization) 31.000 define risco como o efeito da incerteza em relação 
aos objetivos (ABNT, 2009).
Ocorrência de Riscos.
Elaboração: CEPED/UFSC (2022).
Enap Fundação Escola Nacional de Administração Pública 17
Assim, para garantir que os objetivos de uma organização sejam atingidos, é 
necessário gerir os riscos expostos, em projetos, processos (de todos os tipos) e 
tarefas do dia a dia. Essa gestão deverá ser feita de forma metodológica e contínua, 
como parte da percepção de que as decisões precisam ser tomadas levando em 
consideração todos os riscos que podem vir a ocorrer, inclusive aqueles que, mesmo 
não estando claros, precisam ser estudados.
Para que se possa estudar os riscos, é necessário compreender o ambiente em que 
a organização está inserida e as influências internas e externas. Isso tem tudo a 
ver com a análise ambiental, que faz parte do processo de planejamento estratégico 
e estuda as influências dos ambientes. 
A gestão de riscos é de extrema importância não apenas para 
proteger a organização, mas também para agregar-lhe valor 
e transformá-la em uma alternativa de investimento valiosa 
para o mercado e/ou referência em produtos e serviços. Há 
a percepção de que a empresa que mantém os seus riscos sob 
controle, conhecendo e declarando o seu apetite e sua tolerância 
a eles, tranquiliza os investidores e a sociedade e atrai mais 
investimentos, já que há mais previsibilidade.
• Ambiente externo
• Ambiente interno
Onde são geradas as oportunidades e ameaças. 
Onde as forças e fraquezas das organizações se manifestam. 
Além disso, a análise ambiental estuda como a maturidade da governança corporativa 
está e o quanto ela está engajada com os pilares de responsabilidade corporativa, 
equidade, transparência e prestação de contas.
Quando as organizações compreendem que gerir riscos faz parte da estratégia para 
atingir os seus objetivos, movimentam-se no sentido de fazê-lo. As decisões passam 
a considerar a possibilidade de materialização dos eventos indesejáveis, tornando 
necessário identificá-los previamente, analisá-los e avaliá-los, criando programas 
de resposta com planos de ação que envolvem proteções estratégicas, táticas 
operacionais e financeiras.
18Enap Fundação Escola Nacional de Administração Pública
Os riscos podem produzir efeitos diretos ou indiretos, que também precisam ser 
compreendidos e tratados. Isso porque o que importa é estar preparado para 
preservar a continuidade daquilo que a organização se predispõe a entregar aos 
seus clientes e à sociedade, mesmo quando eventos adversos ocorrem. Por isso, é 
fundamental gerir os riscos, mas também cuidar da continuidade dos negócios. 
Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o 
conteúdo e se aprofunde nos temas propostos. Até a próxima!
É importante ressaltar que as organizações e as pessoas são as 
proprietárias dos riscos expostos, e as soluções de tratamento 
e controle são de sua responsabilidade, não havendo como 
terceirizá-las, por mais que haja alguns instrumentos de 
transferência de riscos possíveis.
Enap Fundação Escola Nacional de Administração Pública 19
ABNT (Associação Brasileira de Nomas Técnicas). ISO Guia 73 – Vocabulário 
relacionado à gestão de riscos. ABNT, 2009.
AMA (American Marketing Association). Definition of Marketing. AMA, 2017. 
Disponível em: https://www.ama.org/the-definition-of-marketing-what-is-
marketing/. Acessado em 21 ago. 2022.
GOOLD, M.; CAMPBELL, A. As melhores maneiras de formular estratégias. In: 
MONTEGOMERY, C. A.; PORTER, M. Estratégia: a busca da vantagem competitiva. Rio 
de Janeiro: Campus, 1998.
KAPLAN, R.; NORTON, D. Organização Orientada para a Estratégia. Rio de Janeiro: 
Campus, 2000.
MINTZBERG, H.; BRUCE, A; JOSEPH, L. Safári de Estratégia: um roteiro pela selva do 
planejamento estratégico. Porto Alegre: Bookman, 2001.
MINTZBERG, H., QUINN, J. B., O Processo de Estratégia. Porto Alegre: Bookman, 
2001.
PORTER, M. E. Competição: estratégias competitivas essenciais. 3. ed. Rio de Janeiro: 
Campus, 1998.
PORTER, M. E. Estratégia Competitiva: Técnicas para Análise de Indústrias e da 
Concorrência. Rio de Janeiro: Campus, 1986.
PORTER, M. E. Estratégia Competitiva: técnicas para análise de indústrias e da 
concorrência. Rio de Janeiro: Campus, 1991.
PORTER, M. Vantagem Competitiva: criando e sustentando um desempenho 
superior. Rio de Janeiro: Campus, 1990.
GALVÃO, Jean. Charge 11/11/2019. [Um Brasil]. 2019. Disponível em: https://
umbrasil.com/charges/charge-11-11/. Acesso em: 27 out. 2022.
Referências 
https://www.ama.org/the-definition-of-marketing-what-is-marketing/
https://www.ama.org/the-definition-of-marketing-what-is-marketing/
https://umbrasil.com/charges/charge-11-11/
https://umbrasil.com/charges/charge-11-11/
20Enap Fundação Escola Nacional de Administração Pública
2.1 O que é Transformação Digital?
Unidade 2: Impactos Diretos e Indiretos nos Processos de 
Transformação Digital
Objetivo de aprendizagem
Ao final desta unidade, espera-se que você reconheça os pilares da transformação digital 
e como ela impacta direta e indiretamente na geração de valor para as organizações, 
o que é muito importante, sobretudo, quando elas pertencem à Administração Pública, 
provedora de vários serviços à sociedade.
A transformação digital é o processo estruturado para substituir paulatina e 
completamente formas manuais e tradicionais de realização de procedimentos por 
alternativas digitais mais recentes. Esse tipo de reinvenção interfere em todos os 
aspectos de uma organização, não apenas nas arquiteturas e serviços de tecnologia, 
como muitos imaginam, porque pressupõe repensar como as coisas são feitas e o 
valor que há em cada uma delas.
A experiência em todo o mundo mostra que, ao se engajar com a transformação 
digital, as organizações tornam-se mais preparadas para a entrega de valor, 
justamente porque, mais resilientes às interferências externas, respondem melhor 
e mais rápido às demandas e, assim, acabam reagindo melhor às constantes 
mudanças do ambiente.
Para tal, é necessário entender que não se pode mudar seletivamente os processos. 
A mudança deve ser conceitual e completa, pois só assim poderá transformar 
decisivamente as estratégias e objetivos estratégicos, a cultura organizacional, a 
governança e os papéis dos seus atores, bem como os macrofluxos das operações. 
Tudo isso exige revisão e investimento em tecnologias, além da adequação de 
espaços e capacitação das pessoas em todos os níveis, sempre com o intuito de 
ampliar a entrega de valor e sua percepção.
A ideia de transformação digital não é recente. Pelo menos desde a década de 
1990, o setor de varejo começou a fazer campanhas de publicidade por meios de 
comunicação de massa, as quais estavam na linha de frente da transformação digital. 
Embora as compras ainda fossem feitas nas lojas físicas, os conceitos que viriam 
a desencadear a transformação digital, integrando marketing, vendas e logística, 
estavam lá. Já se percebia o caminho a ser seguido, pois o consumidor se tornava 
Enap Fundação Escola Nacional de Administração Pública 21
Na prática, a transformação digital permite:Tudo isso significa que a experiência do usuário é um fator muito importante no 
projeto e na avaliação dos serviços digitais. Mais um aspecto importante, que vem 
da engenharia da confiabilidade, é que os serviços aos consumidores precisam 
estar disponíveis, o que se consegue pela avaliação e tratamento dos riscos, além 
de controles e acompanhamento de indicadores, para monitorar desempenho, 
cada vez mais ávido por informações e serviços, mas faltavam os meios para que 
isso ocorresse, o que acabou sendo resolvido com a democratização do acesso à 
internet e a proliferação dos dispositivos móveis em todo o mundo.
Serviços digitais ao cidadão.
Fonte: Brasil (2022). 
Clique aqui e conheça mais sobre dispositivos móveis e os avanços 
do 5G no Brasil. 
• customizar as entregas a partir da segmentação do público-alvo; 
• compreender as necessidades do público-alvo e projetar soluções de 
processos de forma personalizada e satisfatória;
• avaliar em tempo real se o que está sendo oferecido satisfaz as 
expectativas do consumidor e se sua jornada não apresenta gargalos 
que precisem ser rapidamente solucionados. 
https://articulateusercontent.com/rise/courses/Utxtjb7gm07ZxeaQ6gkKRL7Lny5ancUH/PV9fvsXKZnHJ5Aks-Dispositivo%2520m%25C3%25B3vel%2520e%2520a%2520implanta%25C3%25A7%25C3%25A3o%2520do%25205G.pdf
22Enap Fundação Escola Nacional de Administração Pública
garantindo a continuidade da disponibilidade e do acesso aos ambientes, processos 
e sistemas, mesmo que estejam sob a ocorrência de acidentes que venham a 
desencadear crises.
Quando um contribuinte acessa um serviço digital para retirar 
um boleto a pagar ou mesmo um comprovante de determinada 
transação, o ideal é que a aplicação esteja disponível e cumpra 
aquilo que se espera dela. Quando isso não acontece, além das 
eventuais reclamações, é criado um clima de insegurança, 
e a confiabilidade do serviço é comprometida. Por isso, a 
transformação digital também deve se preocupar com a 
segurança e com a disponibilidade dos serviços, ou seja, daquilo 
que é demandado pelo consumidor, além de oferecer uma boa 
experiência de utilização.
É crucial compreender que ser digital não significa apenas ter aparência digital, mas 
ter processos construídos a partir da modelagem digital, automatizando funções 
e rotinas que eram realizadas de forma tradicional, ampliando funcionalidade, 
serviços e valor. 
A transformação digital tem a ver com a velocidade exponencial das mudanças 
disruptivas que vêm ocorrendo na sociedade, em constante evolução, mas isso 
só é possível com a participação das pessoas, bem como por meio de processos, 
tecnologias e os próprios ambientes onde tudo isso acontece.
2.2 Pilares da Transformação Digital (Pessoas, Processos, Tecnologia, 
Locais)
Os autores tendem a criar pilares para resumir certos conceitos. Muitos deles 
preconizam que a transformação digital tem quatro grandes pilares: pessoas, 
processos, tecnologia e locais.
Enap Fundação Escola Nacional de Administração Pública 23
Pilares da Transformação Digital.
Elaborado pelo autor (2022). 
1. Pessoas
Qualquer iniciativa de transformação digital é iniciada com as pessoas, 
porque é necessário perceber a necessidade, ter intenção de fazer e engajar 
nos esforços em conhecimento e inovação tecnológica.
2. Processos
Processos são formas intangíveis de criar resultados tangíveis.
3. Tecnologia
É importante perceber que as tecnologias são meios, e não fins. Elas exigem 
investimentos contínuos e têm ciclos que nem sempre são renováveis. À 
medida que vão sendo conhecidas, percebe-se que precisam ser substituídas.
4. Locais
É preciso entender que a produção de bens (produtos) será cada vez mais 
otimizada e que a produção de serviços, com a transformação digital, cada 
vez mais dependerá menos dos espaços corporativos e será revolucionária.
Agora, leia o material recomendado, clicando aqui, e saiba mais 
sobre os Pilares da Transformação Digital.
https://articulateusercontent.com/rise/courses/Utxtjb7gm07ZxeaQ6gkKRL7Lny5ancUH/T5u4R5-bIat2SfCM-Pilares%2520da%2520Transforma%25C3%25A7%25C3%25A3o.pdf
24Enap Fundação Escola Nacional de Administração Pública
Faz sentido pensar que, além dos pilares que você acabou de ver, há outras 
preocupações em relação ao curso da transformação digital, em diversas disciplinas 
e áreas do conhecimento, como você analisará no infográfico a seguir:
É imperativo que haja intenção de se fazer a mudança, por meio de decisões 
estratégicas, olhando para o futuro, e clareza em relação aos objetivos. Construir 
processos de negócios digitais exige elaborar soluções que contem com o 
engajamento dos envolvidos, bem como foco na experiência de clientes e usuários.
Por fim, como você já aprendeu, para que se atinjam os objetivos esperados, é 
necessário inserir também a preocupação com a gestão de riscos e a continuidade 
de processos de negócios, minimizando ao máximo a possibilidade de ocorrência 
de eventos indesejáveis e as suas consequências. É preciso, ainda, estar pronto para 
reagir em caso de acidentes, interrupções, emergências e crises, pois as demandas 
passam a ficar maiores e mais urgentes. 
Preocupações em relação à transformação digital.
Fonte: Freepik (2022).
Enap Fundação Escola Nacional de Administração Pública 25
2.3 Impactos Diretos e Indiretos da Transformação Digital gerando 
valor para as Organizações
Não há dúvida de que a transformação digital traz impactos diretos e indiretos, 
positivos e negativos, para as organizações, privadas e públicas, muitos deles já 
comentados na seção anterior, mas é preciso colocar na balança algumas coisas.
Os mais céticos dizem que a transformação digital vai ceifar postos de trabalho. 
A previsão negativa está correta em relação ao primeiro momento, quando isso 
ocorrerá de forma paulatina, mas ignora que, ao mesmo tempo, serão criadas novas 
especialidades e até movimentos de empreendedorismo.
Outro impacto direto positivo é a velocidade de adaptação das organizações às 
mudanças do ambiente e da sociedade. Vivemos em um mundo de mudanças 
rápidas e com diversas facetas, que precisam ser acompanhadas pelas organizações 
que pretendem manter valor.
Diz-se que o mundo de hoje é VUCA – sigla em inglês formada pela primeira letra das 
palavras Volatility (volatilidade), Uncertainty (incerteza), Complexity (complexidade) e 
Ambiguity (ambiguidade).
Nesse novo momento, o que vai importar é a especialização das 
pessoas para trabalhar na indústria da transformação digital, 
que é pautada no conhecimento.
Isso significa que é necessário criar cursos de formação e 
especialização que possam atrair, sobretudo, os mais jovens, 
exigindo-se, consequentemente, uma verdadeira revolução 
educacional e dos currículos escolares. Os empregos na indústria da 
transformação digital são mais bem remunerados e, quanto mais 
capacitadas forem as pessoas, maior a possibilidade de atingirem 
patamares superiores nas empresas de tecnologia. Esses são 
impactos diretos que trazem impactos sociais indiretos relevantes.
26Enap Fundação Escola Nacional de Administração Pública
Mundo VUCA.
Fonte: Adaptado de Freepik (2022).
Para as organizações, criar valor é mais do que gerar resultados financeiros. Significa 
serem percebidas por acionistas, investidores, colaboradores e pela sociedade 
como tendo propósitos claros, éticos e sustentáveis, que permanecem os mesmos 
ao longo do tempo, por mais que busquem novos mercados ou alterem suas 
estratégias corporativas. 
Quando se pensa que o mundo é VUCA, entende-se que apenas as organizações que 
conseguem se adaptar, produzindo respostas na mesma velocidade com que são 
atingidas pelas mudanças do ambiente, sobreviverão. Portanto, a transformação 
digital é um conjunto de estratégias que permite que as organizações estejam aptas 
a acompanhar ou até a antecipar demandas. 
E, na área pública, como fica a transformação digital? Faz-se necessário oferecer 
um serviço público de qualidade, com menos recursos (espaços, pessoas etc.) 
e burocracia,ofertando acesso a serviços tempestivos e de qualidade, visando 
melhorar a vida da população, com impactos sociais positivos diretos e indiretos.
Enap Fundação Escola Nacional de Administração Pública 27
Adeus, burocracia!
Elaboração: CEPED/UFSC (2022).
Entende-se que o potencial da transformação digital no setor público é enorme, não 
apenas pela automação de serviços, mas pela redução de recursos necessários e 
ampliação da possibilidade de ofertas, tendo acesso, em tempo real, à experiência 
dos usuários, permitindo uma melhoria contínua.
É fortalecida, também, a governança pública, que se baseia em responsabilidade, 
equidade, transparência e prestação de contas, dando acesso a todos os atos 
da administração pública e dos poderes, assim como das empresas públicas, à 
sociedade, seja por meio de dados ou de informações, preservada a segurança e os 
interesses estratégicos. 
Neste sentido, vale entender que a Organização para a Cooperação e Desenvolvimento 
Econômico (OCDE) concentra a visão dos países membros em relação à adesão ao 
conceito de Governo Aberto. Em outras palavras, percebem-se como necessidades a: 
O Brasil, uma das maiores economias do mundo, é postulante a ser um dos membros 
da OCDE, o que necessariamente implica criar meios para que as mudanças ocorram, 
sejam elas de cunho cultural (com a administração reconhecendo o papel central do 
cidadão); nos procedimentos oferecidos, com foco nos consumidores e usuários; ou 
na organização da administração em si, para que se torne menos burocrática e mais 
eficiente e para que estabeleça relações cada vez mais inclusivas e plurais.
• transparência das ações governamentais; 
• acessibilidade aos serviços e informações governamentais; 
• capacidade de resposta às novas ideias, demandas e necessidades da 
sociedade.
28Enap Fundação Escola Nacional de Administração Pública
Saiba mais sobre os marcos do Governo Digital no Brasil clicando aqui. 
Você chegou ao final desta Unidade de estudo. Caso ainda tenha dúvidas, reveja o 
conteúdo e se aprofunde nos temas propostos. Até a próxima! 
https://articulateusercontent.com/rise/courses/Utxtjb7gm07ZxeaQ6gkKRL7Lny5ancUH/a_KTmVYka4_s7zil-Marcos%2520do%2520Governo%2520Digital%2520no%2520Brasil.pdf
Enap Fundação Escola Nacional de Administração Pública 29
BRASIL. Governança Digital. Governança Digital, 2019. Disponível em: https://www.gov.
br/governodigital/pt-br/legislacao/legislacao-governanca-digital. Acesso em: 16 jun. 2022.
BRASIL. Transformação Digital. Portal da Transformação Digital. Disponível em: https://
www.gov.br/governodigital/pt-br/transformacao-digital. Acesso em: 16 jun. 2022.
MCKINSEY DIGITAL. Digital strategy in a time of crisis. McKinsey, 2020. Disponível 
em: https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKin-
sey%20Digital/Our%20Insights/Digital%20strategy%20in%20a%20time%20of%20
crisis/Digital-strategy-in-a-time-of-crisis-final.pdf. Acesso em: 21 ago. 2022.
WESTERMAN, George. Management Review, Why Digital Transformation Needs 
a Heart. MIT Sloan, 2016. Disponível em: https://sloanreview.mit.edu/article/why-
digital-transformation-needs-a-heart/ Acessado em: 21 ago. 2022.
ROGERS, David L. Transformação digital: repensando o seu negócio para a era 
digital. Tradução Afonso Celso da Cunha Serra. Autêntica Business: São Paulo, 2017.
SAMPAIO, Rafael. Vantagem Digital. Guia prático para a Transformação Digital. 
Rio de Janeiro: Altabooks, 2018.
VERAS, Manuel. Gestão da Tecnologia da Informação: sustentação e inovação 
para a transformação digital. São Paulo: Brasport, 2020.
Referências 
https://www.gov.br/governodigital/pt-br/legislacao/legislacao-governanca-digital
https://www.gov.br/governodigital/pt-br/legislacao/legislacao-governanca-digital
https://www.gov.br/governodigital/pt-br/transformacao-digital
https://www.gov.br/governodigital/pt-br/transformacao-digital
https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20strategy%20in%20a%20time%20of%20crisis/Digital-strategy-in-a-time-of-crisis-final.pdf
https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20strategy%20in%20a%20time%20of%20crisis/Digital-strategy-in-a-time-of-crisis-final.pdf
https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20strategy%20in%20a%20time%20of%20crisis/Digital-strategy-in-a-time-of-crisis-final.pdf
https://sloanreview.mit.edu/article/why-digital-transformation-needs-a-heart/
https://sloanreview.mit.edu/article/why-digital-transformation-needs-a-heart/
30Enap Fundação Escola Nacional de Administração Pública
3.1 Afinal, o que é a Continuidade de Negócios?
Unidade 3: A Continuidade de Negócios no Gerenciamento 
de Crises e Emergências
Objetivo de aprendizagem
Ao final desta unidade você estará apto a classificar o que são crises e emergências no 
processo de gerenciamento de continuidade de negócios.
O processo de gerenciamento de continuidade de negócios trata da preparação 
das organizações para lidar de forma estratégica e tática com incidentes, acidentes 
e eventuais interrupções dos negócios, mantendo suas operações em um nível 
previamente definido pelos gestores.
Nesses cenários, é, também, importante compreender como os riscos se 
materializam, dando origem a um estado de emergência que pode se transformar 
em crises, que as organizações devem antever e tratar. Em outras palavras, para 
lidar com riscos e evitar crises, as organizações precisam preparar-se para atuar nos 
níveis de resposta imediata e, posteriormente, planejar ações ao longo do tempo 
para a retomada das atividades nos padrões anteriores à ocorrência dos eventos.
Continuidade de Negócios.
Fonte: Freepik (2022). 
Enap Fundação Escola Nacional de Administração Pública 31
O termo negócio origina-se do latim “negotium”, isto é, a partir da junção dos conceitos 
de nec e otium (“aquilo que não é lazer”). Definições mais antigas referiam-se à 
ocupação, atividade ou trabalho que se realizava com fins lucrativos, mas a definição 
atual é mais ampla, incorporando também aquilo que não tem fins lucrativos, razão 
pela qual falamos em negócios privados, públicos e do terceiro setor, que devem ser 
preservados para que possam cumprir a missão para a qual foram empreendidos 
e a sua visão.
Também são chamados de negócios as partes constituintes, formadas pelos 
processos de negócio, o que, segundo o BPM CBOK (2019), significa:
Ou seja, qualquer conjunto de atividades, tarefas e comportamentos executados 
por pessoas ou máquinas – seja dentro da empresa, entre os setores ou entre 
empresas – pode compor um processo de negócio, que é realizado seguindo uma 
determinada lógica (um fluxo), de forma a permitir que os objetivos da organização 
sejam atingidos ou que questões do negócio sejam solucionadas. Você já viu isso 
na unidade anterior, a partir das definições do “por que ser feito, de que forma, para 
quem e por quem”.
A continuidade de negócios pode ser ameaçada quando eventos de risco (incidentes 
ou acidentes) se materializam, sobretudo quando não são previamente mapeados, 
tratados e monitorados por controles adequados. 
“um trabalho que entrega valor para os clientes ou 
apoia/gerencia outros processos; um trabalho que 
pode ser de ponta a ponta, interfuncional e até mesmo 
intraorganizacional.”
Assim, tratar da continuidade de negócios significa entender 
ameaças e dotar operações e processos de negócio, em seu 
sentido mais amplo, de resiliência e capacidade de resposta, 
preservando a capacidade de entregar aquilo que se espera 
delas, ou seja, a sua missão.
32Enap Fundação Escola Nacional de Administração Pública
Pode também ser ameaçada quando não se sabe o que fazer quando esses eventos 
ocorrem, o que impossibilita que organizações reajam de forma rápida e assertiva, 
minimizando os danos diretos ou indiretos em todos os níveis, a fim de preservar a 
entrega de valor.
Há processos de negócios essenciais,de suporte ou apoio e, também, gerenciais. Todos 
contribuem, em diferentes níveis de importância, para o cumprimento da missão 
organizacional, e precisam ser preservados. Porém, quando ocorre uma ameaça 
externa e uma emergência se instala, as organizações devem entender o que será 
prioritário proteger e o que será necessário manter funcionando para minimizar os 
eventuais comprometimentos às operações que entregam valor.
Processos Essenciais
São aqueles que entregam valor diretamente aos consumidores ou usuários, 
por serem atividades cruciais para que as organizações consigam atingir sua 
missão e visão. Neles se concentram as operações relacionadas à percepção 
dos consumidores, a sua experiência e ao real valor.
Processos de Suporte ou Apoio
São procedimentos que pretendem oferecer suporte para execução dos 
processos essenciais, permitindo que a realização do primeiro seja facilitada 
pelo segundo. O real valor desses processos é proporcionar qualidade para 
outros processos, não interagindo com o consumidor final. 
Gestão de riscos e controles.
Elaborado pelo autor (2022).
Enap Fundação Escola Nacional de Administração Pública 33
Processos Gerenciais
São procedimentos que têm por função acompanhar os processos essenciais 
e de suporte, fornecendo informações gerenciais para tomada de decisões 
estratégicas e/ou táticas, por meio de dados, informações, medições, 
monitoramentos e controles. Assim como os processos de suporte, não há 
relacionamento com os consumidores, mas com a melhoria de qualidade 
dos demais processos.
Em termos de continuidade, é interessante perceber que, dependendo da 
organização, se os processos de suporte não estiverem funcionando, será muito 
difícil manter os processos essenciais entregando o que se pretende deles. Por 
esse motivo, é necessário mapear previamente os impactos possíveis em casos de 
materialização de incidentes (que em geral não significam perdas de capacidade, 
mas abalos pontuais) e acidentes (eventos com consequências mais sérias). 
3.2 O que é gerir a Continuidade de Negócios e qual a sua importância?
A Gestão de Continuidade de Negócios (GCN) é o gerenciamento da recuperação ou 
da continuidade das atividades no caso de uma interrupção dos processos de negócios 
pela ocorrência de eventos indesejáveis, previstos ou não. É, também, a implantação 
e o gerenciamento do Programa de Continuidade de Negócios (PCN), que reúne a 
política, as definições, os planos, as etapas de levantamento e análise dos eventos, o 
cronograma e os demais procedimentos para operacionalização das atividades.
Trata-se de um processo organizacional estratégico que estabelece a estrutura 
adequada para:
• Fomentar continua e proativamente a resiliência da organização contra 
possíveis ameaças com potencial de causar interrupções da capacidade 
de atingir seus principais objetivos estratégicos e entregar valor.
• Planejar quais recursos e providências serão necessários para 
restabelecer a capacidade produtiva no menor espaço de tempo 
possível (em níveis determinados e sucessivos), conforme previamente 
planejado e acordado.
• Criar know-how para gerenciar uma interrupção no negócio.
34Enap Fundação Escola Nacional de Administração Pública
3.3 O que são as Crises e Emergências para a Continuidade de Negócios?
3.3.1 O que é Crise?
Você acabou de estudar o que é a Continuidade de Negócios. Ademais, a Norma 
NBR ISO 22300/2022 define Continuidade de Negócios como a capacidade de uma 
organização de continuar a entrega de produtos e serviços em um nível aceitável, 
com capacidade predefinida, durante uma interrupção. 
Segundo a mesma norma, interrupção é um incidente, antecipado ou imprevisto, que 
resulta em desvios negativos e não planejados na entrega esperada de produtos e serviços 
de acordo com os objetivos da organização. Incidente, como descrito pela norma, é o 
evento que pode consistir ou levar a uma interrupção, perda, emergência ou crise.
Para melhor entendimento, os eventos de risco são aqueles que têm probabilidade 
não nula de ocorrer, e, quando ocorrem, podem produzir perdas diretas e/ou 
indiretas, podendo, ainda, instalar ou não emergências.
Para a continuidade de negócios, importa identificar os eventos que podem produzir 
emergências e crises, pois são aqueles passíveis de alterar o movimento de negócios, 
impedindo que as organizações atinjam seus objetivos estratégicos, mesmo que 
momentaneamente.
Segundo a Norma NBR ISO 22300/2022, crise é uma condição instável, envolvendo 
uma mudança abrupta ou significativa iminente que requer atenção e ação urgentes 
para proteger a vida, os ativos, a propriedade ou o meio ambiente.
Commodities.
Freepik (2022).
Enap Fundação Escola Nacional de Administração Pública 35
3.3.2 O que é Emergência?
3.4 Respostas às crises e emergências
Emergência, ainda segundo a Norma NBR ISO 22300/2022, é um evento ou 
ocorrência repentina, urgente e usualmente inesperada que requer ação imediata.
As emergências podem ser estimadas a partir dos estudos dos riscos e desdobramentos 
de incidentes e acidentes (eventos indesejáveis), cabendo conhecer os impactos e 
suas consequências diretas e indiretas, para que se possa saber o que fazer e quais 
recursos serão necessários para as respostas.
Em poucas palavras, enquanto a emergência se instala pela ocorrência de um 
evento indesejável, a crise pode decorrer dele ou de outras situações que ameaçam 
a organização, estejam elas sob controle de gestão da organização ou não. Seja 
como for, tanto crises como emergências precisam ser gerenciadas e exigem, pelo 
menos, o desenvolvimento de estratégias de defesa e de alternativas.
É interessante notar que as ameaças podem ser tangíveis ou intangíveis. Por exemplo, 
a iminência de mudança abrupta, não controlável, no preço de uma commodity que 
é um dos insumos de produção (combustíveis, energia elétrica etc.), pode ser o 
prenúncio de uma crise – em outras palavras, o conceito do que ocasiona as crises 
pode ser mais amplo. 
Respostas às crises e emergências.
Freepik (2022). 
36Enap Fundação Escola Nacional de Administração Pública
No gerenciamento de riscos, uma etapa importante é a formulação de respostas 
aos riscos expostos. Para a gestão da continuidade de negócios, essa visão é 
ampliada, incorporando respostas a crises e emergências e preparando organizações 
nessas condições por meio de planos específicos, cada um dos quais com objetivos 
específicos.
Há inúmeras vantagens em implantar a Gestão da Continuidade de Negócios, 
dentre elas estabelecer capacidades para:
As respostas às emergências têm foco operacional e seu planejamento visa evitar, 
dissuadir e prevenir a ocorrência de eventos indesejáveis ao mesmo tempo que 
prepara as organizações para reagir de forma estruturada. A gestão de crises, por 
sua vez, busca gerenciar os aspectos estratégicos.
• identificar proativamente os impactos de uma interrupção operacional;
• planejar respostas eficientes às interrupções, o que minimiza o 
impacto à organização;
• ampliar os esforços de gerenciamento de riscos;
• aproveitar a oportunidade de promover o trabalho entre equipes;
• simular respostas por meio de simulados e testes;
• melhorar a reputação;
• ganhar vantagem competitiva por meio da capacidade demonstrada de 
manter seus produtos e serviços disponíveis frente a emergências ou crises.
3.5 Consequências diretas e indiretas das crises e emergências nas 
organizações
As organizações são responsáveis por gerir o que acontece em seus limites internos, 
mas sempre é possível que as coisas passem do ponto e ultrapassem os seus muros, 
produzindo danos a terceiros, o que é ainda pior.
Além disso, há situações em que, simplesmente, não há como controlar as fontes 
e causas dos eventos - quando elas são externas - não havendo como evitá-los, 
mas se espera que as organizações possam estar preparadas para reagir a eles 
rapidamente, minimizando perdas diretas e indiretas, as emergências e as crises.
Enap Fundação Escola Nacional deAdministração Pública 37
De uma forma ou de outra, as organizações estão sujeitas a vários riscos que, 
dependendo da forma que são geridos, podem ser ampliados. Esses riscos podem 
gerar emergências, as quais exigem respostas imediatas, e, também, crises iminentes, 
que precisam ser mitigadas para garantir a continuidade dos negócios.
Emergências criam um estado de caos, mas têm um período curto. Já as crises podem 
durar muito tempo. Assista à videoaula a seguir para compreender melhor o assunto.
Que bom que você chegou até aqui! Agora é hora de testar seus conhecimentos. 
Acesse o exercício avaliativo disponível no ambiente virtual. Bons estudos!
Videoaula: Quais são as Consequências das Crises e Emergências
https://
https://cdn.evg.gov.br/cursos/808_EVG/video/modulo01_video02/index.html
38Enap Fundação Escola Nacional de Administração Pública
ABNT. NBR ISO22301 DE 06/2020 – Segurança e resiliência — Sistema de gestão de 
continuidade de negócios — Requisitos.
BPM CBOK Version 4.0: Guide to the Business Process Management Common 
Body Of Knowledge. ABPMP: 2019.
Referências 
Enap Fundação Escola Nacional de Administração Pública 39
 Módulo
O Processo de Gerenciamento 
de Emergências e Crises2
Unidade 1: Contextualizando a Gestão de Riscos e Controles
Objetivo de aprendizagem
Ao final desta unidade, você será capaz de reconhecer os conceitos de gestão de riscos e 
controles, previstos no Coso e na ISO 31.000.
Neste módulo, há temas importantes para que você compreenda o processo de 
gestão de riscos e o que acontece quando eles saem do controle, vindo a desencadear 
emergências e crises. Para isso, será necessário percorrer as normas internacionais 
referentes à gestão de emergências e crises que tratam de gestão de riscos, bem 
como as normas que deram origem às que estão vigentes no momento, criando, 
assim, um pano de fundo para que se possa, de fato, gerir a continuidade dos 
processos de negócios.
Esses conceitos são fundamentais para que se possa contextualizar como as 
organizações devem se preparar para a gestão da continuidade dos negócios.
Peter Bernstein (2019), no livro Desafio aos Deuses – A Fascinante História do Risco, a 
concepção do controle do risco constitui uma das ideias centrais que distinguem os 
tempos modernos do passado mais remoto.
Naquela época, apesar de alguma percepção de riscos, as pessoas não dominavam 
as metodologias para gerenciá-los e até atribuíam as ocorrências a um “capricho 
dos deuses”. Mais recentemente, a sociedade pôde perceber que isso é um tema 
central e estratégico, pois os riscos estão presentes em todas as nossas atividades e 
as decisões precisam considerá-los.
40Enap Fundação Escola Nacional de Administração Pública
1.1 Principais Conceitos da Gestão de Riscos e Controles
O homem definiu o risco de muitas formas ao longo do tempo, quase sempre com 
foco específico nos seus interesses particulares. Assim, várias áreas das ciências 
exatas e não exatas construíram definições próprias, segundo as suas percepções 
e interesses.
Na origem, o termo risco é proveniente da palavra risicu, ou riscu, em latim, que 
significa ousar (dare, em inglês). Costuma-se entender o risco como a possibilidade 
de “algo não dar certo”, mas seu conceito atual envolve a quantificação e qualificação 
da incerteza, tanto no que diz respeito às possíveis perdas, como em relação aos 
possíveis ganhos para indivíduos ou organizações.
Até algum tempo, havia um certo conflito conceitual entre o risco de ganhar (que 
muitos consideravam ser conveniente denominar como chance) e o de perder. Mais 
recentemente, passou-se a dizer que os riscos podem ser positivos ou negativos. 
Outras vezes, quando os riscos vêm de fora para dentro das organizações, são 
entendidos como oportunidades (de ganhar) e ameaças (de perder).
A definição matemática de evento de risco é o produto entre probabilidade de 
ocorrência de um determinado evento (aleatório, futuro e independente da vontade 
humana) e as consequências (positivas ou negativas) resultantes.
 
Nessa definição, há 3 fatores que merecem destaque: o evento, a probabilidade e a 
consequência (ou impacto), que denominamos de parâmetros de risco.
Parâmetros de Risco.
Fonte: Adaptado do autor (2022). 
Enap Fundação Escola Nacional de Administração Pública 41
Evento:
O evento ou evento de risco é composto por uma sequência de situações que podem 
dar origem a um incidente ou acidente. Ele pode vir a ocorrer ou não, dependendo 
da ativação de vários fatores internos e/ou externos, razão pela qual se estimam as 
probabilidades de ocorrência, mas o que importa inicialmente é compreender se o 
evento é possível e se há potencial de gerar consequências.
Probabilidade:
A ideia geral da probabilidade é frequentemente dividida em dois conceitos 
relacionados: a probabilidade de repetir frequências, que representa uma série 
de eventos futuros cuja ocorrência é definida por fenômenos aleatórios e a 
probabilidade epistemológica, que representa o grau das nossas incertezas sobre 
proposições futuras, quando não se tem conhecimento completo sobre as fontes e 
as circunstâncias que envolvem as causas.
Consequência: 
Os eventos a que nos referimos podem trazer consequências positivas ou negativas 
para uma pessoa, uma organização ou para a sociedade. As consequências ou 
impactos gerados pelos eventos de riscos geralmente trazem algum tipo de 
modificação no status quo que podem acarretar perdas ou ganhos. 
Aprofunde um pouco mais sobre os conceitos de evento, probabilidade 
e consequência (ou impacto), denominados de Parâmetros de Risco. 
Acesse o material complementar, disponível aqui.
1.2 As Políticas de Gestão de Riscos e Controles
Segundo a Norma ISO 31.000, a política de gestão de riscos é a “declaração das 
intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos”.
A norma preconiza que a política de gestão de riscos estabeleça claramente os 
objetivos e o comprometimento da organização em relação à gestão de riscos e, 
tipicamente, aborde:
• a justificativa da organização para gerenciar riscos;
• as ligações entre os objetivos e políticas da organização com a política 
de gestão de riscos;
https://articulateusercontent.com/rise/courses/HVvpl3r7birQ8xosx6Ps-FV1yzsH_0wV/w5Gb5iv-aDYP_jua-Principais%2520Conceitos%2520da%2520Gest%25C3%25A3o%2520de%2520Riscos%2520e%2520Controles.pdf
42Enap Fundação Escola Nacional de Administração Pública
• as responsabilidades para gerenciar riscos;
• a forma com que são tratados conflitos de interesses;
• o comprometimento de tornar disponíveis os recursos necessários 
para auxiliar os responsáveis pelo gerenciamento dos riscos;
• a forma com que o desempenho da gestão de riscos será medido e reportado;
• o comprometimento de analisar criticamente e melhorar 
periodicamente a política e a estrutura da gestão de riscos em 
resposta a um evento ou mudança nas circunstâncias.
A política de gestão de riscos deve ser comunicada e disseminada, 
pelos melhores meios possíveis, para todas as partes interessadas. 
Na prática, a Política de Gestão de Riscos é mais do que um 
documento. É um marco que estabelece como as organizações 
devem se estruturar para gerir os riscos, fixando seus objetivos, 
metodologias, referências normativas e de eventuais legislações, 
a governança de riscos, em todos os seus detalhes, com os 
papéis dos agentes organizacionais, o quanto ela deverá ser 
considerada na tomada das decisões, em todos os níveis, além 
das classificações de risco de interesse prioritário da organização, 
dentre os externos e internos.
É uma boa prática ampliar o espectro da política para incluir também os controles, 
passando a ser a Política de Gestão de Riscos e Controles.
A política deve incluir, ainda, um glossário de termos e aspectos particulares da 
organização que sejam relevantes para a compreensão do texto.
1.3 Processos de Gestão de Riscos: ISO 31.000 e Coso (I, II e III)
ISO 31.000
A Norma ISO 31.000 sofreu alterações entre assuas edições de 2009 e 2018, 
basicamente para explicar alguns conceitos e incluir outros. 
Enap Fundação Escola Nacional de Administração Pública 43
A visão estratégica, como descrita na norma, determina que as organizações 
incluam a análise de riscos ao tomar decisões, para garantir que atinjam seus 
objetivos, sendo fundamental que isso se estenda aos níveis táticos e estratégicos 
(um desencadeando consequências para o outro).
Além disso, convém que seja possível identificar a gestão de riscos em todas as 
atividades-chave, ou seja, os princípios, a estrutura e os processos. Acompanhe os 
detalhes abaixo: 
Princípios 
O propósito da gestão de riscos é a criação e proteção de valor, o que 
melhora o desempenho, encoraja a inovação e apoia o alcance de objetivos. 
São princípios:
Princípios da Gestão de Riscos – ISO 31.000:2018.
Fonte: Adaptada da ABNT ISO NBR 31.000:2018 (2022).
• Integrada – A gestão de riscos é parte integrante de todas as 
atividades organizacionais.
• Estruturada e abrangente – Contribui para resultados consistentes 
e comparáveis. 
• Personalizada – A estrutura e o processo de gestão de riscos são 
personalizados e proporcionais aos contextos externo e interno 
da organização relacionados aos seus objetivos. 
44Enap Fundação Escola Nacional de Administração Pública
• Inclusiva – O envolvimento apropriado e oportuno das partes 
interessadas possibilita que seus conhecimentos, pontos de 
vista e percepções sejam considerados. Resulta em melhor 
conscientização e processos de gestão de riscos fundamentados. 
• Dinâmica – Riscos podem emergir, mudar ou desaparecer à 
medida que os contextos externo e interno de uma organização 
são alterados. A gestão de riscos antecipa, detecta, reconhece e 
responde a essas mudanças e eventos de uma maneira apropriada 
e oportuna. 
• Melhor informação disponível – As entradas para a gestão de riscos 
são baseadas em informações históricas e atuais, bem como em 
expectativas futuras. Leva em consideração quaisquer limitações 
e incertezas associadas a essas informações e expectativas. A 
informação deve ser oportuna, clara e disponível para as partes 
interessadas pertinentes. 
• Fatores humanos e culturais – O comportamento humano e 
a cultura influenciam significativamente todos os aspectos da 
gestão de riscos em cada nível e estágio. 
• Melhoria contínua – A gestão de riscos é melhorada continuamente 
por meio do aprendizado e de experiências.
Estrutura 
O propósito da estrutura da gestão de riscos é apoiar a organização da sua 
integração em atividades significativas e funções. A eficácia da gestão de riscos 
dependerá da sua integração com a governança, a cultura organizacional e 
as atividades que exijam decisões. Isso requer apoio das partes interessadas, 
em particular da alta direção. Além da integração, o desenvolvimento 
da estrutura depende de implementação de procedimentos, avaliação e 
melhoria contínua.
Processo 
O processo de gestão de riscos envolve a aplicação sistemática da metodologia 
definida na política de gestão de riscos, com base na norma ISO 31.000.
Enap Fundação Escola Nacional de Administração Pública 45
É fundamental que o processo de gestão de riscos seja parte integrante da 
estrutura, das operações e dos processos da organização. Deve estar presente 
nos níveis estratégico, tático e operacional, em todas as atividades, áreas 
e setores. O processo de gestão de riscos deve ser colaborativo e interativo, 
capaz de engajar as pessoas com o seu desenvolvimento.
O propósito é personalizar o processo de gestão de riscos, permitindo um processo 
de avaliação de riscos eficaz e o tratamento apropriado dos riscos. Para isso, é 
necessário compreender os seguintes pontos:
Escopo
O processo de gestão de riscos pode ser aplicado em diferentes níveis 
(estratégico, operacional, programa, projeto ou outras atividades), sendo 
importante ter-se clareza sobre o escopo em consideração e seu alinhamento 
aos objetivos organizacionais.
Escopo, contexto e critérios
Processo de Gestão de Riscos – ISO 31.000:2018.
Fonte: Adaptado da ABNT ISO NBR 31.000:2018 (2022). 
46Enap Fundação Escola Nacional de Administração Pública
Contextos
Os contextos externo e interno são os ambientes nos quais a organização 
procura definir e alcançar seus objetivos. Convém que sejam considerados a 
partir da compreensão das influências dos riscos que advêm dos ambientes 
externo (política, economia, mercado etc.) e interno (estratégia, ativos, 
produtividade etc.), restando entender os graus de influência de cada um.
Critérios
É importante que organização especifique os critérios para identificar, analisar 
e avaliar os riscos expostos. Eles devem estar alinhados com os objetivos e 
recursos da organização, o que vai determinar quais das exposições podem 
ser retidas e quais devem ser transferidas. Para estabelecer os critérios 
de risco, convém considerar: a natureza e o tipo de incertezas que podem 
afetar resultados e objetivos (tanto tangíveis quanto intangíveis), além de 
suas consequências (tanto positivas, quanto negativas). Os critérios podem 
se qualitativos ou quantitativos.
O processo de avaliação de riscos (risk assessment) reúne as etapas de identificação, 
análise e avaliação de riscos, que devem ser conduzidas de forma sistemática, 
interativa e colaborativa, com base no conhecimento e nos pontos de vista das 
partes interessadas, utilizando as melhores bases de informação disponíveis, 
complementadas por investigação adicional, quando necessário. 
Acompanhe com muita atenção o que diz a ISO 31.000 sobre essas etapas: 
Identificação de riscos 
É a fase em que se encontra, reconhece e descreve os riscos que possam ajudar 
ou impedir que uma organização alcance seus objetivos. 
A quantidade e qualidade das informações são indispensáveis para a construção 
de cenários e identificação de riscos.
Nesta fase são indicadas as fontes dos eventos de riscos, suas causas e a 
possível dinâmica dos eventos, de forma detalhada. Por exemplo: interrupção 
no processo eletrônico de programação de pagamentos, pela indisponibilidade 
da aplicação específica para tal, em decorrência de manutenção emergencial 
para corrigir erros na identificação de fornecedores. 
Os levantamentos são realizados com auxílio de técnicas de identificação de 
riscos e trabalho em equipe, preferencialmente formadas por especialistas de 
várias áreas, mas, também, pelos proprietários de riscos, que são os responsáveis 
pelas instalações, processos e procedimentos operacionais. 
Avaliação de Riscos
Enap Fundação Escola Nacional de Administração Pública 47
Análise de riscos 
É a fase em que se determinam as probabilidades de ocorrência e as eventuais 
consequências dos eventos de risco. Um evento pode ter múltiplas causas, 
que geram probabilidades e consequências distintas.
Há uma variedade de técnicas de análise de riscos, que podem ter abordagens 
qualitativas, quantitativas ou uma combinação destas. As qualitativas são 
usadas em análises preliminares ou quando não se tem condições de estimar 
com razoável precisão as probabilidades de ocorrência e as consequências.
Nas análises quantitativas são utilizados parâmetros numéricos, como 
frequências de falhas registradas na operação ao longo do tempo, ou advindas 
de fontes bibliográficas externas (bancos de dados etc.), para projetar as 
probabilidades, sendo necessário, sempre, fazer as devidas adaptações 
impostas pelas condições locais de operação, como: ambiente, nível de 
segurança e proteções e controles existentes, capacitação de operadores 
etc. Em geral, as consequências são estimadas em prejuízos financeiros e/ou 
em tempo de paralisação.
Nas análises, é recomendável fixar o tempo em que os eventos de riscos 
estarão sujeitos às probabilidades estimadas, deixando claro que as 
estimativas podem mudar se ocorrerem alterações dos cenários.
As equipes de analistas são responsáveis por discutir os cenários, a dinâmica 
dos eventos, a probabilidade de ocorrência e a magnitudedas consequências 
diretas e indiretas. Cada evento de risco pode ter várias consequências e cada 
uma delas deve ser estimada, para que possam ser avaliadas posteriormente 
e sugeridos tratamentos.
Avaliação de riscos 
Esta fase tem por finalidade estabelecer o grau de risco, ou o risco inerente, 
por meio de combinações de probabilidades e consequências dos eventos de 
risco. Envolve a comparação dos resultados da análise de riscos, (probabilidades 
e consequências estimadas), com os critérios de risco estabelecidos pela 
organização, definidos em uma matriz de consolidação de riscos.
Os graus de risco podem ser estabelecidos para definir quais deles são aceitáveis, 
bem como para determinar onde são necessárias respostas, a importância e a 
urgência delas. 
Outro aspecto importante é decidir quais estratégias devem ser empreendidas 
para atuar sobre as fontes e causas dos riscos, a fim de tratar a probabilidade 
de ocorrência e/ou as consequências, além da ordem de prioridade em que 
isso será realizado.
48Enap Fundação Escola Nacional de Administração Pública
O resultado do processo global de risk assessement (avaliação de riscos) deve 
ser registrado, comunicado e, então, validado nos níveis apropriados da 
organização. Eles serão utilizados como referência para acompanhar os riscos, 
e nas revisões futuras.
Tratamento de Riscos (ou Resposta aos Riscos)
O propósito desta etapa é selecionar e implementar estratégias e ações para tratar 
os riscos.
Isso envolve ações para: formular e selecionar estratégias procedimentais e/
ou financeiras de tratamento dos riscos; planejar e implementar as opções 
escolhidas; avaliar a eficácia dos tratamentos; decidir se o risco residual 
remanescente é aceitável; e a necessidade de novos controles e tratamento 
adicional.
Dentre as estratégias estão:
É importante perceber que os tratamentos não são excludentes entre si e 
que podem (e devem) ser combinados. 
Monitoramento e Análise Crítica
O monitoramento e análise crítica visam assegurar a qualidade e eficácia da 
concepção, implementação e resultados do processo de gestão de riscos. 
Espera-se que esta etapa seja cumprida periodicamente, em relação ao processo 
de gestão de riscos e seus resultados, como parte planejada do processo de 
gestão. Devem ser estabelecidas responsabilidades para garantir que todas as 
fases sejam cumpridas.
Especial cuidado deve ser tomado com o planejamento, coleta de informações, 
registro de resultados e retorno às partes interessadas. 
• eliminar o risco (as fontes, as causas dos eventos de risco, a 
probabilidade de ocorrência e/ou consequências);
• prevenir a ocorrência do evento de risco e/ou consequências;
• atenuar (ou mitigar) as probabilidade e/ou consequências;
• reter o risco, quando houver condições para tal;
• transferir o risco por meio de instrumentos financeiros ou seguros.
Enap Fundação Escola Nacional de Administração Pública 49
Os resultados do monitoramento e da análise crítica devem ser incorporados 
em todas as atividades de gestão de desempenho, medição e relatos nas várias 
áreas da organização. 
Registro e Relato
Todas as etapas e atividades da gestão de riscos devem ser documentadas e 
relatadas por meio de mecanismos apropriados. 
Tem por objetivo comunicar as atividades e resultados da gestão de riscos, 
fornecer informações para a tomada de decisão e auxiliar a interação com as 
partes interessadas. 
As decisões relativas à criação, retenção e manuseio de informações e 
registros documentados devem levar em consideração a sensibilidade da 
informação e os contextos externo e interno. 
O relato deve ser uma rotina frequente e ser realizado sempre, para 
acompanhamento das partes interessadas.
Comunicação e Consulta
A etapa ocorre ao longo do processo de gestão de riscos, com intenção de 
auxiliar as partes interessadas na compreensão do risco, nas bases sobre a 
qual decisões são tomadas e nas razões pelas quais ações específicas são 
requeridas. 
A comunicação busca promover a conscientização e o entendimento do risco, 
enquanto a consulta envolve obter retorno e informação para auxiliar a tomada 
de decisão. 
A consulta visa reunir opiniões de diferentes áreas de especialização para 
cada etapa do processo de gestão de riscos, assegurando que pontos de 
vista diferentes sejam considerados.
50Enap Fundação Escola Nacional de Administração Pública
Acompanhe na linha do tempo abaixo os eventos ocorridos ao longo das últimas 
décadas acerca da criação do Coso.
1970 - 
A National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre 
Fraudes em Relatórios Financeiros) foi criada na década de 1970 como uma iniciativa 
independente, que buscava analisar as ocorrências de fraudes nos relatórios 
financeiros de organizações americanas. 
Na sua fundação, faziam parte dessa comissão representantes das principais 
associações de classe de profissionais de contabilidade, controladoria e finanças, 
preocupados e interessados em discutir as razões pelas quais ocorreram várias 
fraudes contábeis em organizações americanas e criar mecanismos de controles 
internos para garantir que os investidores tivessem segurança em relação à 
veracidade dos relatórios financeiros. 
Como as reuniões ocorriam nas instalações do Tesouro Americano, a comissão 
acabou sendo conhecida como a Treadway Comission (Comissão do Tesouro). 
1985 -
Posteriormente, em 1985, essa comissão foi transformada em um comitê, passando 
a ser chamada de Coso – Committee of Sponsoring Organizations of the Treadway 
Commission, ampliando seu escopo de atuação de lá para cá, com a percepção de 
que era necessário incorporar a visão da necessidade de gerenciar riscos e atuar 
sobre os controles internos.
Atualmente, além dos fundadores, fazem parte do Coso várias organizações, como: 
o Instituto Americano de Contadores Públicos Certificados, o Instituto dos Auditores 
Internos, a Associação Americana de Contadores, o Instituto dos Contadores 
Gerenciais, Executivos Financeiros Internacionais etc., além de representantes das 
maiores empresas de consultoria do mundo e outros interessados.
Para o Coso, o controle interno é um processo conduzido pela diretoria da 
organização, seus conselheiros ou outros empregados que buscam promover uma 
garantia razoável de que a organização irá cumprir suas metas.
1992 -
Ao longo dos últimos anos, as contribuições do Coso têm sido relevantes, com 
destaque para publicações que fizeram com que organizações em todo o mundo as 
utilizassem como referência. Dentre elas, o Internal Control – Integrated Framework, 
Coso
Enap Fundação Escola Nacional de Administração Pública 51
de 1992, chamado também de Coso I, o Enterprise Risk Management – Integrated 
Framework (Gerenciamento de Riscos Corporativos – Estrutura Integrada), chamado 
de Coso II ou Coso ERM, de 2004, e, mais recentemente, o Coso III.
O objetivo comum entre essas proposições era garantir, com razoável confiança, a 
eficácia e eficiência das operações, a confiabilidade dos relatórios financeiros e a 
conformidade com as leis e regulamentos aplicáveis, provendo um grau satisfatório 
de conforto aos acionistas e investidores.
2004 -
O Coso-ERM foi elaborado com a finalidade de orientar as organizações em relação 
ao gerenciamento de riscos corporativos, além da aplicação de boas práticas a 
respeito desse tema, como evolução do modelo anterior (Coso I). No Coso-ERM a 
atividade de análise de riscos, que estava prevista no modelo anterior, foi ampliada 
para incluir a identificação de eventos, avaliação de riscos e resposta a riscos.
Além disso, o Coso-ERM introduziu os conceitos de apetite a risco e tolerância a 
riscos, ou seja, respectivamente, referem-se à quantidade de risco que a organização 
está disposta a aceitar para criar valor e ao nível de variação aceitável para alcançar 
um objetivo.
Em linhas gerais, o escopo foi bastante ampliado, porque o Coso-ERM agregou técnicas 
de gerenciamento integrado de riscos, ampliando o modelo do Coso I,