Manual de Gestão Integrada de Riscos Corporativos Fazenda PMIMF 2016

Prévia do material em texto

[Digite aqui] 
 
 
 
 
 
 
 
 
 
 
 
 
2ª EDIÇÃO - DEZEMBRO/2016 
MANUAL DE GESTÃO INTEGRADA DE 
RISCOS CORPORATIVOS 
FRENTE GESTÃO DE RISCOS 
SGE/SE-MF – AECI/GMF-MF 
 
 
2 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
Ministério da Fazenda 
Gabinete do Ministério da Fazenda/Secretaria Executiva do Ministério da Fazenda 
Programa de Modernização Integrada do Ministério da Fazenda – PMIMF 
Frente Gestão de Riscos Corporativos - MF 
Assessor Especial de Controle Interno - MF 
 
Ministro de Estado da Fazenda 
Henrique de Campos Meirelles 
 
Secretário-Executivo 
Eduardo Refinetti Guardia 
 
Chefe de Gabinete 
Rogério Antônio Lucca 
 
Líder da Frente Gestão de Riscos Corporativos/Assessor Especial de Controle 
Interno 
Francisco Eduardo de Holanda Bessa 
 
Elaboração 
José Luiz de Albuquerque Melo Filho 
 
Colaboradores 
Representantes dos seguintes órgãos: 
Procuradoria-Geral da Fazenda Nacional - PGFN 
Secretaria da Receita Federal do Brasil – RFB 
Secretaria de Acompanhamento Econômico – SEAE 
Secretaria de Assuntos Internacionais – SAIN 
Secretaria de Política Econômica - SPE 
Secretaria do Tesouro Nacional – STN 
Subsecretaria de Planejamento, Orçamento e Administração - SPOA
 
 
3 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
APRESENTAÇÃO 
O Programa de Modernização Integrada do Ministério da Fazenda (PMIMF), 
concebido em 2011, consiste em um conjunto de ações estruturadas, ano a ano, 
voltadas à construção de soluções coletivas e desafios gerenciais comuns a 
diversos órgãos da estrutura do Ministério, à modernização da gestão e à busca por 
maior eficiência e eficácia das ações do Ministério da Fazenda no exercício de suas 
funções regimentais, sempre em prol da sociedade. 
O PMIMF está estruturado em frentes de trabalho paralelas e simultâneas que 
alcança sete Órgãos Específicos Singulares (ESAF, PGFN, RFB, SAIN, SEAE, SPE 
e STN), cinco Órgãos Colegiados (CARF, COAF, CONFAZ, CRSFN E CRSNSP) e 
duas entidades vinculadas (CVM e Susep) componentes da estrutura organizacional 
do Ministério da Fazenda. 
A Frente Gestão de Riscos constitui-se na sexta frente do PMIMF. Foi criada em 
agosto de 2013 motivada especialmente pela busca de eficiência organizacional, 
pela necessidade de adoção e disseminação das melhores práticas de gestão, pelo 
zelo com a coisa pública e, também, pela mudança de foco de atuação dos órgãos 
de controle interno e externo. 
A atuação da Frente de Riscos tem por finalidade, juntamente com outras Frentes do 
PMIMF (Custos, Infraestrutura, Pessoas, Planejamento Estratégico, Projetos e 
Processos e Tecnologia), contribuir com a melhoria contínua de processos de 
trabalho, por meio de ações de desenvolvimento, disseminação e implementação de 
metodologia de gerenciamento de riscos e assegurar o cumprimento da missão do 
Ministério da Fazenda: “Formular e implementar políticas econômicas para o 
desenvolvimento sustentável, com justiça fiscal e equilíbrio das contas públicas”. A 
Frente Gestão de Riscos conta com o apoio de Grupo Técnico, formado por 
representantes das unidades vinculadas ao PMIMF e do Banco Central do 
Brasil. 
O modelo de Gestão Integrada de Riscos Corporativos do Ministério da Fazenda, 
desenvolvido pela Frente Gestão de Riscos, sugere o alinhamento com indutores 
internos e externos. Como indutor interno visa atender à necessidade de 
informações e indicadores de risco que sirvam de subsídio à tomada de decisão, 
necessária à preservação da condução de políticas públicas e que assegure a 
entrega de valor à sociedade e, como indutor externo, visa o atendimento das atuais 
demandas dos órgãos de controle, que têm recomendado melhoria nos processos 
acerca do mapeamento de riscos e riscos e controles, das unidades auditadas, em 
função da mudança de foco de suas atuações que passaram a privilegiar a visão 
preventiva. 
O modelo de Gestão de Riscos, tem por objetivos: (i) incluir a abordagem de Gestão 
Integrada de Riscos Corporativos (Governança, Políticas e Metodologia) no modelo 
de Governança do Ministério da Fazenda; (ii) definir os requisitos mínimos de uma 
metodologia de identificação e medição de riscos associados aos processos de 
negócio, a ser observada pelos órgãos alcançados pelo PMIMF; (iii) definir políticas 
 
 
4 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
de gestão de riscos no contexto do MF; e (iv) institucionalizar um Modelo de Gestão 
Integrada de Riscos Corporativos para o MF. 
O objetivo deste Manual é orientar e padronizar os procedimentos que viabilizarão a 
institucionalização deste Modelo de Gestão Integrada de Riscos Corporativos. Para 
tanto, estrutura-se o manual da seguinte maneira: uma pequena introdução e uma 
visão geral da gestão de riscos corporativos no Ministério da Fazenda e os principais 
conceitos, em seguida o modelo conceitual e, por fim, o modelo de 
operacionalização do gerenciamento do riscos no âmbito do PMIMF. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
5 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
Sumário 
APRESENTAÇÃO................................................................................................................. 3 
1. INTRODUÇÃO ............................................................................................................... 7 
2. GESTÃO DE RISCOS .................................................................................................... 8 
2.1 Modelo de Gestão Integrada de Riscos Corporativos do MF ............................................... 9 
2.2 Contextualização ..................................................................................................................... 10 
2.3. Gestão Integrada de Riscos Corporativos do Ministério da Fazenda ............................... 12 
2.4. Política de Gestão de Risco do Ministério da Fazenda ....................................................... 13 
2.5 Visão Geral dos Conceitos ..................................................................................................... 13 
3. MODELO CONCEITUAL DO GERENCIAMENTO DE RISCOS DO MF ...................... 15 
3.1 Dimensão Funcional ............................................................................................................... 15 
3.1.1 Risco Operacional ........................................................................................................... 15 
3.2 Dimensão Estratégica ............................................................................................................. 17 
3.2.1 Risco Estratégico ............................................................................................................. 17 
3.2.2 Risco Projeto ................................................................................................................... 17 
3.2.3 Risco de Conjuntura ........................................................................................................ 18 
3.3 Dimensão Econômica ............................................................................................................. 18 
3.3.1 Risco de Mercado ............................................................................................................ 18 
3.3.2 Risco de Crédito .............................................................................................................. 19 
3.3.3 Risco de Liquidez ............................................................................................................ 19 
3.3.4 Risco de Conjuntura ........................................................................................................ 20 
4. MODELO OPERACIONAL DO GERENCIAMENTO DE RISCOS DO MF ................... 21 
4.1 Análisede Contexto ................................................................................................................ 22 
4.2 Identificação de Risco ............................................................................................................ 22 
4.3 Mensuração de Risco ............................................................................................................. 23 
4.3.1 Avaliação de Riscos e Controles ..................................................................................... 24 
4.3.1.1 Verificação do controle quanto ao desenho ............................................................ 24 
4.3.1.2 Verificação do controle quanto à operação ............................................................. 24 
 
 
6 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
4.3.2 Matriz de Riscos .............................................................................................................. 25 
4.3.2.1 Cálculo da nota de rating ......................................................................................... 25 
4.3.2.2 Descrição das notas de rating ................................................................................. 27 
4.4. Tratamento de Risco ............................................................................................................... 28 
4.4.1 Plano de Implementação de Controles ........................................................................... 28 
4.4.2 Mapa de Risco ................................................................................................................. 30 
4.5. Monitoramento ......................................................................................................................... 31 
4.6. Reporte Gerencial.................................................................................................................... 32 
REFERÊNCIAS ................................................................................................................... 33 
ANEXO 1A – ANÁLISE DE CONTEXTO/1ª PARTE ........................................................... 34 
ANEXO 1B – ANÁLISE DE CONTEXTO/2ª PARTE ........................................................... 35 
ANEXO 2A – IDENTIFICAÇÃO DE RISCO/DIMENSÃO E TIPO DE RISCO ...................... 36 
ANEXO 2B – IDENTIFICAÇÃO DE RISCO/PERGUNTAS ORIENTADORAS .................... 36 
ANEXO 2C – IDENTIFICAÇÃO DE RISCO/TAXONOMIA DE RISCOS .............................. 39 
ANEXO 3A – MENSURAÇÃO DE RISCO/AVALIAÇÃO DE RISCOS E CONTROLES ...... 41 
ANEXO 3B – MENSURAÇÃO DE RISCO/MATRIZ DE RISCOS ........................................ 42 
ANEXO 4A – TRATAMENTO DE RISCO/PL. DE IMPLEMENTAÇÃO DE CONTROLES .. 43 
ANEXO 4B – CONTROLES BÁSICOS ............................................................................... 44 
ANEXO 4C – MONITORAMENTO/MAPA DE RISCO ......................................................... 45 
 
 
 
 
 
 
 
7 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
1. INTRODUÇÃO 
Gerenciar riscos é atividade crítica para qualquer organização. O desenvolvimento 
acelerado da economia mundial, o avanço tecnológico, o fluxo internacional de 
capitais e o aumento da competição e da complexidade das transações entre as 
organizações fazem com que a gestão de riscos corporativos seja uma atividade 
cada vez mais complexa, contudo extremamente necessária. 
As crises costumam chamar mais a atenção para a importância da gestão de riscos, 
porém, ela deve ser tratada como componente essencial do sistema de gestão de 
qualquer entidade e sugere uma ampliação do entendimento e da importância dessa 
gestão nas organizações. 
A premissa inerente à gestão de riscos corporativos é que toda organização existe 
para gerar valor às partes interessadas e, no caso do poder executivo federal, à 
sociedade. Nesse sentido, a gestão de riscos corporativos auxilia os órgãos na 
tomada de decisão, no alcance de seus objetivos, e a evitar que perigos e surpresas 
ocorram em seu percurso, maximizando assim o valor entregue à sociedade. 
No Brasil a gestão de riscos tem sido considerada mais uma prática da governança 
corporativa, por força do legislador ou em função da maturidade da organização. A 
gestão de riscos tem se expandido para setores não financeiros, inclusive para 
organizações públicas, sendo uma abordagem complementar de gestão. 
Para o setor público, o Tribunal de Contas da União incluiu, na versão mais recente 
do seu planejamento estratégico, um objetivo voltado para “intensificar ações que 
promovam a melhoria da gestão de riscos e de controles internos da Administração 
Pública”. 
No âmbito do Poder Executivo Federal o processo de gestão de riscos iniciou-se em 
2002 por iniciativa do Ministério da Previdência Social. 
Já no Ministério da Fazenda, também em 2002, a Secretaria do Tesouro Nacional – 
STN iniciou as atividades de Risco Operacional e em 2006 foi criada área 
independente para tratar do tema, em cumprimento a uma recomendação do 
Tribunal de Contas da União - TCU. Em 2007, com a criação da Secretaria da 
Receita Federal – RFB, a competência da gestão de riscos foi atribuída em seu 
regimento interno. E finalmente, em 2013, a criação da Frente Gestão de Riscos, 
vinculada ao PMIMF. 
Este Manual é uma ferramenta que auxilia na visão dos conceitos, técnicas e 
métodos buscando torná-los mais simples para o mapeamento de riscos dos 
processos de trabalho no dia a dia da unidade. Por fim, este Manual não tem a 
pretensão de esgotar o assunto e não deve ser considerado um documento 
acabado. 
 
 
8 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
2. GESTÃO DE RISCOS 
A gestão de riscos deve ser capaz de identificar os eventos de riscos em potencial, 
capazes de afetar a organização, permitir o gerenciamento dos riscos de modo 
compatível com o tamanho e complexidade da organização e, ainda, possibilitar um 
nível razoável de garantia em relação ao cumprimento dos seus objetivos, e, no 
caso do setor público, aumentar benefícios e reduzir o custo do valor a ser entregue 
à sociedade, protegendo os direitos públicos, criando condições para a prosperidade 
econômica, melhorando a prestação dos serviços governamentais, entre outros. 
Assumir riscos é uma precondição essencial para o desenvolvimento 
humano; se parássemos de assumir riscos, inovações técnicas e sociais 
necessárias para solucionar muitos dos problemas mundiais desapareceriam. 
De fato, muitos dos riscos existentes na sociedade moderna resultam de 
benefícios gerados por inovações sociais e tecnológicas. Por outro lado, a 
imprudência insensata também não é uma boa ideia. Em vez disso, 
precisamos definir um caminho intermediário no qual o acaso – com suas 
incertezas e ambiguidades inerentes – seja levado em consideração de 
maneira objetiva, racional e eficiente (Wildavsky, 1979). 
A gestão de riscos pode ser aplicada a toda organização, em suas várias áreas e 
níveis, a qualquer momento, bem como a função, atividades e projetos específicos. 
A adoção de uma abordagem ativa, sistemática, holística e integrada permite 
gerenciar os riscos, modificando tanto a natureza de suas consequências como a 
probabilidade de que determinado efeito ocorra, por meio da identificação, 
compreensão, atuação objetiva e comunicação de questões que envolvam riscos. 
De acordo com ABNT ISO 31000/2009, são utilizadas as expressões “gestão de 
riscos” e “gerenciamento de riscos”. Em termos gerais, “gestão de riscos” refere-se à 
arquitetura (princípios, estrutura e processo) para gerenciar riscos eficazmente, 
enquanto que “gerenciar riscos” refere-se à aplicação dessa arquitetura para riscos 
específicos. 
 
 
 
 
 
 
 
 
 
9 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos- MF 
 
Assessoria 
Especial de 
Controle Interno 
2.1 Modelo de Gestão Integrada de Riscos Corporativos do MF 
A visão geral do modelo organiza-se da seguinte maneira: 
Concluído
Em andamento
 
Relativamente à visão estratégica: 
a. O CEG e CGRCI: órgãos colegiados que têm competências específicas, 
dentre outras, para elaborar, propor e aprovar política e metodologias 
relativas à Gestão de Integrada de Riscos Corporativos para o MF; 
b. A Política de Gestão de Riscos: normas que estabelecem princípios, diretrizes 
e responsabilidades a serem observados no processo de gestão de riscos do 
MF; 
c. Os Órgãos alcançados pelo PMIMF: referem-se as unidades que deverão 
observar os requisitos mínimos sugeridos para a gestão de riscos no MF; e 
d. O Modelo de Relacionamento: descreve os atores e suas atribuições no 
processo de gestão de risco (responsabilidades, fluxo de informações, etc). 
Quanto ao gerenciamento riscos: 
a. A Metodologia: estabelece o regramento para a identificação, mensuração, 
tratamento, monitoramento e reporte gerencial do gerenciamento de riscos do 
MF; 
b. O Sistema do MF: refere-se a ferramenta eletrônica utilizada no 
gerenciamento de risco; 
 
 
10 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
c. A Cadeia de Valor Integrada do MF: é o conjunto de atividades criadoras de 
valor, base para aplicação da metodologia; 
d. O Plano de Implementação: registra as prioridades e o cronograma para 
aplicação da metodologia. 
2.2 Contextualização 
As organizações, sejam públicas ou privadas, devem entender quais são os riscos 
associados às suas operações, processos e atividades, no intuito de identificar e 
priorizar as falhas que devem ser corrigidas, e, por conseguinte, implantar as 
melhorias necessárias ao aprimoramento do sistema de gestão de riscos. 
Segundo definição do COSO (Committee of Sponsoring Organizations of The 
Treadway Commission ou Comitê das Organizações Patrocinadoras), o 
gerenciamento de riscos corporativos é o processo conduzido pelo conselho de 
administração, pela diretoria executiva e pelos demais funcionários. Trata-se do 
processo onde são estabelecidas as estratégias formuladas para identificar riscos 
potenciais capazes de afetar a organização. Essas estratégias visam minimizar 
possíveis ocorrências de riscos, a fim de mantê-los compatíveis com o apetite da 
organização, possibilitando garantir o cumprimento de seus objetivos (COSO 
Executive Report - 2012). 
De acordo INTOSAI (2004), faz-se necessária a adoção de ferramentas apropriadas 
para a identificação de risco. O normativo indica duas categorias de ferramentas 
como as mais utilizadas: avaliação de risco e autoavaliação de risco. 
Ainda de acordo com INTOSAI (2004), a avaliação de riscos é um procedimento do 
tipo top-down, que utiliza equipe constituída para identificar os riscos associados a 
todas as atividades da organização que possam impactar o alcance de seus 
objetivos. Nesse procedimento, são realizadas entrevistas com membros-chave da 
organização, em seus diversos níveis, no intuito de construir um perfil de risco para 
todas as atividades, funções, processos ou atividades que estão particularmente 
vulneráveis a riscos. 
Já a autoavaliação, é uma abordagem bottom-up, na qual cada nível da organização 
é convidado a rever suas atividades e alimentar o diagnóstico de riscos, podendo ser 
realizada por meio da utilização de uma série de instrumentos, tais como 
documentos, questionários, formulários ou mesmo por meio de workshop. 
A norma ISO 31000, publicada em 2009, como padrão internacional “prevê um 
conjunto de princípios que devem ser atendidos na gestão eficaz dos riscos”. O 
normativo recomenda que as “organizações devem desenvolver, implementar e 
melhorar continuamente um quadro que visa integrar o processo de gestão de riscos 
na gestão global da organização, planejamento e estratégia, gestão, processos de 
informação, políticas, valores e cultura” (ISO 31000, 2009). 
A ISO 31000/2009 apresenta princípios e diretrizes para o gerenciamento de risco 
 
 
11 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
genérico, destacando que na concepção e implementação de planos de gestão de 
riscos é preciso considerar as “diferentes necessidades de uma organização 
específica, nomeadamente os seus objetivos, contexto, estrutura, operações, 
processos, funções, projetos, produtos, serviços ou bens específicos e práticas 
empregadas”. 
Assim, a referida norma menciona que para a gestão de riscos ser eficaz, convém 
que uma organização, em todos os níveis, atenda a três perspectivas: princípios, 
estrutura e processo. 
Na perspectiva princípios, o item 3, da ABNT ISO 31000/2009, prevê que a gestão 
de riscos: (a) cria e protege valor; (b) é parte integrante dos processos 
organizacionais; (c) é parte da tomada de decisão; (d) aborda explicitamente a 
incerteza; (e) é sistemática, estruturada e oportuna; (f) baseia-se nas melhores 
informações disponíveis; (g) é feita sob medida; (h) considera fatores humanos e 
culturais; (i) é transparente e inclusiva; (j) é dinâmica, interativa e capaz de reagir a 
mudanças; e (k) facilita a melhoria contínua da organização. 
Na perspectiva estrutura, o item 4, da ABNT ISO 31000/2009, prevê que o sucesso 
da gestão de riscos irá depender da eficácia da estrutura da gestão que fornece os 
fundamentos e os arranjos que irão incorporá-la através de toda a organização e em 
todos os níveis e, ainda, assegura que a informação sobre risco proveniente desse 
processo seja adequadamente reportada e utilizada como base para a tomada de 
decisões e a responsabilização em todos os níveis organizacionais aplicáveis. 
Na perspectiva processo, o item 5, da ABNT ISO 31000/2009, prevê que convém 
que o processo de gestão de riscos seja: parte integrante da gestão; incorporado na 
cultura e nas práticas; e adaptado aos processos de negócios da organização. 
A figura abaixo demonstra o relacionamento entre os princípios da gestão de riscos, 
estrutura e processo: 
 
 
 
12 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
O Modelo proposto pela Frente Gestão de Riscos do PMIMF observa, em parte, os 
princípios, a estrutura e o processo divulgados na norma ISO 31000, por ser menos 
complexo e mais customizável. 
2.3. Gestão Integrada de Riscos Corporativos do Ministério da Fazenda 
Tanto o processo de Gestão Integrada de Riscos Corporativos como o modelo de 
Gerenciamento de Riscos Corporativos do MF estão em desenvolvimento. Em 28 de 
julho de 2014, o Comitê Estratégico de Gestão do Ministério da Fazenda – CEG 
aprovou a criação do Comitê de Gestão de Riscos, Controle e Integridade - CGRCI, 
por meio da Resolução nº 05/CEG. Na resolução o CEG aprova os representantes 
de cada um dos órgãos do Ministério da Fazenda que compõe o CGRCI. 
O CGRCI, em reunião de 22/08/2014, por meio da Resolução nº 01/CGRCI, aprovou 
o seu regimento interno, que define, entre outros, sua competência e finalidade. 
Cabe, neste momento, ressaltar as seguintes competências: (i) art. 3º, item “i”: 
“elaborar e propor ao CEG, para fins de análise e aprovação, políticas e diretrizes 
relativas à Gestão Integrada de Riscos Corporativos, no âmbito do Ministério da 
Fazenda; e “ix” avaliar e aprovar tecnicamente metodologias e métodos aplicados à 
Gestão Integrada de Riscos Corporativos no contexto do Ministério da Fazenda, 
bem como suas alterações e aprimoramentos, encaminhando posteriormente ao 
CEG para ser referendado. 
Com relação às competências destacadas, registra-se que a proposta de política de 
gestão de riscos encontra-se em fase de elaboração. Já o presente manual faz parte 
da entrega prevista no item “ix”, art. 3º da Resolução nº 01/CGRCI, de 22/08/2015. 
Definiu-se também no art. 2º da referida resolução que, no contextode Ministério da 
Fazenda, Gestão Integrada de Riscos Corporativos é o processo de gestão aplicado 
a toda organização, em todos seus níveis e unidades, incluindo a formulação de 
uma visão de portfólio de todos os riscos a que a organização está exposta, visando 
identificar, mensurar, tratar, monitorar e reportar aos gestores a exposição a riscos 
que podem afetar a geração dos valores organizacionais. 
Nesse contexto, a gestão integrada no âmbito do Ministério Fazenda, deve ser 
abrangente e consolidada, considerando todos os riscos relevantes aos quais esteja 
exposto. 
Alinhado com o Planejamento Estratégico do Ministério da Fazenda, o 
gerenciamento de riscos tem como ponto de partida os processos organizacionais 
registrados na Cadeia de Valor Integrada do MF. O valor é o ativo a ser protegido e, 
por isso, serão tratados, prioritariamente, os riscos que afetam a entrega do valor 
declarado nesta Cadeia. 
 
 
13 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
2.4. Política de Gestão de Risco do Ministério da Fazenda 
A norma NBR ISO 31000/2009 conceitua política de gestão de riscos como a 
“declaração das intenções e diretrizes gerais de uma organização relacionadas à 
gestão de riscos”. 
A política tem por objetivo estabelecer princípios, diretrizes e responsabilidades a 
serem observadas no processo de gestão de riscos, de forma a possibilitar a 
identificação, avaliação, tratamento, monitoramento e comunicação de riscos os 
quais a organização possa incorrer. 
Conforme estabelecido pelo item 4.2 da ISO 31000/2009, é necessário forte 
comprometimento da administração da organização para que ocorra a introdução da 
gestão de riscos e sua contínua eficácia. Além disso, faz-se necessário um 
planejamento rigoroso e estratégico para que se alcance um comprometimento em 
todos os níveis da organização. 
A mencionada norma traz o seguinte destaque no item 4.3.4 - “convém que a gestão 
de riscos seja incorporada em todas as práticas e processos da organização, de 
forma que seja pertinente, eficaz e eficiente”. Da mesma forma, dispõe que o 
processo de gestão de riscos deve ser parte integrante dos processos 
organizacionais, sendo esse processo de gestão incorporado ao desenvolvimento de 
políticas, na análise crítica, no planejamento estratégico e de negócios, bem como 
nos processos de gestão de mudanças. 
O Ministério da Fazenda não possui, atualmente, uma política de gestão de riscos 
estruturada e formalizada. No entanto, verifica-se a presença de práticas 
relacionadas à gestão de riscos. A elaboração de uma proposta de Política de 
Gestão de Riscos para o Ministério da Fazenda caberá à Frente de Gestão de 
Riscos (art. 3º, item “i”, da Resolução nº 01/CGRCI, de 22/08/2014). 
2.5 Visão Geral dos Conceitos 
A seguir são descritos alguns conceitos de termos adotados pela Frente Gestão de 
Riscos do PMIMF. Dos termos adotados, alguns são consagrados na literatura 
relativa à gestão de riscos e outros foram adaptados/customizados para atender as 
características dos negócios fazendários. 
Risco: evento com possibilidade de afetar a entrega dos valores organizacionais, 
declarados na Cadeia de Valor Integrada do Ministério da Fazenda. 
Evento de Risco: é a materialização do risco que gera algum impacto para a 
organização. 
Risco Inerente: risco sem levar em conta os controles existentes. 
Risco Residual: risco remanescente após a adoção de controles. 
 
 
14 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
Tipos de Controles: controle preventivo e controle corretivo. 
Controle Preventivo: são os controles implantados, previstos ou propostos; têm a 
função de diminuir o nível de risco atuando na redução da probabilidade de 
ocorrência do risco. 
Controle Corretivo: são os procedimentos de acompanhamento implantados, 
previstos ou propostos; têm a função de possibilitar a diminuição do nível de risco 
atuando na redução do impacto provocado pela ocorrência do risco. 
Natureza dos Controles: controle manual ou automatizado. 
Controle Manual: são controles realizados por pessoas cujas regras não estão em 
um dispositivo ou sistema. 
Controle Automatizado: são controles cujas regras estão em dispositivo ou sistema. 
Valor: valor declarado na Cadeia de Valor Integrada do Ministério da Fazenda a ser 
entregue à sociedade. 
Cadeia de Valor Integrada Ministério da Fazenda: é o conjunto de atividades 
criadoras de valor desde as fontes de matérias-primas básicas, passando por 
fornecedores de componentes, até o produto final entregue nas mãos do 
consumidor. 
Foco da Análise: direcionador da análise dos processos dentro de um conjunto de 
valores definidos para a Cadeia de Valor do MF. 
Dimensão: agrupamento de alto nível de abstração, que abriga um conjunto de tipos 
de riscos semelhantes, mas de forma geral. 
Dimensão Funcional: o foco da análise são os processos organizacionais 
associados à geração de valor. 
Dimensão Econômica: o foco da análise são as transações financeiras (captação, 
tributos, orçamento, fluxo de pagamento). 
Dimensão Estratégica: o foco da análise são os Projetos Estratégicos Corporativos – 
PEC e os Objetivos Estratégicos. 
Tipo de Risco: um grupamento de fatores de riscos semelhantes, segundo um ou 
mais critérios, que facilita o entendimento da natureza dos riscos. 
Fator de Risco: categorização de riscos mais específica que permite classificar os 
riscos por temas bem peculiares. 
 
 
15 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
3. Modelo Conceitual do Gerenciamento de Riscos do MF 
O Modelo Conceitual de Gerenciamento de Riscos aprovado pelo Comitê de Gestão 
Integrada de Riscos – CGRCI, em 17/11/2015, foi desenvolvido considerando o foco 
da análise nas três Dimensões: Funcional, Estratégica e Econômica, detalhadas a 
seguir: 
 
Estratégica
Organização
 
3.1 Dimensão Funcional 
Representada pelo Risco Operacional, seus fatores e subfatores. 
3.1.1 Risco Operacional 
Conceito: é o risco associado à possibilidade de perda resultante da ocorrência de 
falha, deficiência ou inadequação de processos internos, pessoas e ambiente 
tecnológico, ou de eventos externos (Resolução CMN 3380/2006). 
O conceito adotado para o No que se refere ao risco operacional foram 
considerados os seguintes fatores e subfatores: 
a) Processos: 
 Comunicação Interna: comunicação apropriada, clara, objetiva e de fácil 
 
 
16 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
acesso para consulta. 
 Modelagem: desenho, redesenho e documentação de processos com seus 
controles e instrumentos de mitigação. 
 Segurança Física: segurança de pessoas e equipamentos. 
 Adequação à legislação: leis e jurisprudências vigentes no país – compliance. 
b) Pessoas: 
 Carga de Trabalho: compatibilização das demandas de trabalho à capacidade 
operacional e à jornada de trabalho. 
 Competência: autoridade, habilidade e conhecimento para execução do 
processo. 
 Ambiente Organizacional: clima organizacional e infraestrutura adequada para 
execução do processo. 
 Conduta: postura ética nos relacionamentos interpessoais, atenção e zelo, 
imparcialidade, confidencialidade e comprometimento para a execução do 
processo. 
c) Ambiente Tecnológico: 
 Segurança Lógica: acesso aos sistemas de TI pelos servidores, usuários 
externos, contratados, fornecedores e parceiros para a execução do 
processo. 
 Infraestrutura Tecnológica: disponibilidade de hardware e software para a 
execução do processo. 
 Solução de TI: especificação, desenvolvimento, manutenção, homologação e 
implantação de soluções de TI em consonância à necessidade de execução 
do processo. 
 Comunicação: disponibilidade de rede física e lógica com acesso aos 
usuários internos e externos para a execuçãodo processo. 
d) Eventos Externos: 
 Desastres Naturais e Catástrofes: eventos naturais ou catástrofes que 
provoque dano à continuidade das operações. 
 Ambiente Regulatório: mudanças políticas, legislação e regulamentação que 
interfira na execução do processo, inclui o risco de imagem. 
 Ambiente Social: situação econômico-social que interfira na execução do 
 
 
17 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
processo, inclui o risco de imagem. 
 Fornecedores: desempenho e qualidade dos fornecedores de produtos e 
serviços que interfira na execução do processo. 
3.2 Dimensão Estratégica 
Representada pelo Risco Estratégico, Risco de Projeto e Risco de Conjuntura. 
Para a dimensão estratégica foram adotados termos e definições e considerados os 
fatores e subfatores a seguir: 
3.2.1 Risco Estratégico 
Conceito: é o risco associado à possibilidade de perda resultante do insucesso das 
estratégias adotadas, levando-se em conta a dinâmica dos negócios (concorrência, 
clientes, fornecedores e investimentos) e as alterações políticas e econômicas no 
País e fora dele, ou seja, qualquer incerteza que afeta a realização das diretrizes 
estratégicas. 
Fatores e subfatores do risco estratégico: 
a) Descontinuidade: 
 Desempenho inadequado do processo em função de tomada de decisão do 
gestor que afete a realização das diretrizes estratégicas. 
b) Indisponibilidade de Recursos: 
 Alteração de recursos previstos que afetem a realização dos objetivos dos 
processos estratégicos. 
3.2.2 Risco Projeto 
Conceito: é o risco associado à possibilidade de perda resultante da ocorrência de 
um conjunto de eventos sob a forma de ameaças que, caso se concretizem, afetem 
a realização dos objetivos do projeto. 
Fatores e subfatores do risco de projeto: 
a) Atraso: 
 Não cumprimento das entregas de produtos previstas nos projetos 
estratégicos, que, ocasionando atrasos, afetem a realização dos objetivos do 
projeto. 
b) Indisponibilidade de Recursos: 
 
 
18 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
 Alteração de recursos previstos que afetem a realização dos objetivos dos 
processos estratégicos. 
c) Perda de Patrocínio: 
 Falta de apoio político à realização do projeto estratégico que afete o alcance 
dos seus objetivos. 
3.2.3 Risco de Conjuntura 
Conceito: é o risco associado à possibilidade de perda resultante de mudanças 
verificadas nas condições políticas, culturais, sociais, econômicas ou financeiras do 
Brasil ou de outros países. 
Fatores e subfatores do risco de conjuntura: 
a) Mudanças Internas: 
 Condições políticas, culturais, sociais, econômicas ou financeiras do Brasil. 
b) Mudanças Externas: 
 Condições políticas, culturais, sociais, econômicas ou financeiras de outros 
países. 
3.3 Dimensão Econômica 
Representada pelo Risco de Mercado, Risco de Crédito, Risco de Liquidez e Risco 
de Conjuntura. 
Para a dimensão econômica foram adotados termos e definições e considerados os 
fatores e subfatores detalhados a seguir: 
3.3.1 Risco de Mercado 
Conceito: é o risco associado à possibilidade de perda resultante de movimentação 
de preços de mercado, notadamente de flutuações de taxas de juros, câmbio, 
preços de ações e commodities ou indicadores econômicos que impactem a 
captação/desembolso de recursos. 
Fatores e subfatores do risco de mercado: 
a) Taxa de Juros: 
 Mudanças adversas nas taxas de juros e/ou em seus derivativos. 
b) Taxa de Câmbio: 
 
 
19 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
 Mudanças adversas nas taxas de câmbio e/ou em seus derivativos. 
c) Títulos Públicos: 
 Mudanças adversas na precificação dos títulos públicos. 
d) Participações Societárias: 
 Efeitos dos preços das ações da união sobre a posição financeira, 
desempenho financeiro e fluxos de caixa. 
e) Indicadores Econômicos: 
 Flutuações nos preços dos ativos indexados por índices de preços, índices de 
bolsas. 
3.3.2 Risco de Crédito 
Conceito: é o risco associado à possibilidade de perda resultante da incerteza 
quanto ao recebimento de valores pactuados com tomadores de financiamentos e 
tributos inscritos na dívida ativa. 
Fatores e subfatores do risco de crédito: 
a) Inadimplência: 
 Incerteza no recebimento por incapacidade de pagamento do tomador de 
empréstimo, contraparte de um contrato ou de um emissor de título. 
b) Garantias Associadas: 
 Suficiência e liquidez das garantias associadas aos débitos e ações de 
execução. 
c) Litígio: 
 Atrasos ou não recebimento de créditos concedidos em função de 
contestação judicial. 
3.3.3 Risco de Liquidez 
Conceito: é o risco associado à possibilidade de perda resultante do descasamento 
entre a entrada de recursos (captação no mercado, arrecadação de tributos/outras 
receitas e obtenção de crédito junto a organismos) para atender às exigências de 
caixa que impactem o cumprimento de obrigações/compromissos programados. 
Fatores e subfatores do risco de liquidez: 
 
 
20 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
a) Entrada de Recursos: 
 Captação no mercado, arrecadação de tributos e outras receitas, obtenção de 
crédito junto a organismos. 
b) Exigência de Caixa: 
 Atendimento/cumprimento de obrigações/compromissos programados. 
c) Desvalorização de Ativos: 
 Condições em que o valor contábil do ativo excede seu valor recuperável. 
3.3.4 Risco de Conjuntura 
Conceito: é o risco associado à possibilidade de perda resultante de mudanças 
verificadas nas condições políticas, culturais, sociais, econômicas ou financeiras do 
Brasil ou de outros países. 
Fatores e subfatores de risco de conjuntura: 
a) Mudanças Internas: 
 Condições políticas, culturais, sociais, econômicas ou financeiras do Brasil. 
b) Mudanças Externas: 
 Condições políticas, culturais, sociais, econômicas ou financeiras de outros 
países. 
 
 
21 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
4. Modelo Operacional do Gerenciamento de Riscos do MF 
O propósito deste item é fornecer a visão do ciclo do gerenciamento de riscos 
desenvolvido para o Ministério da Fazenda, assegurar que este modelo atenda aos 
requisitos mínimos para um gerenciamento de riscos eficaz, bem como contribuir 
para a uniformidade de procedimentos na execução dos trabalhos de mapeamento 
de riscos nos diversos órgãos alcançados pelo PMIMF. 
A aplicação do modelo de gerenciamento de riscos tem por base os processos da 
Cadeia de Valor Integrada do MF. Assim, os processos priorizados serão 
submetidos ao ciclo de gerenciamento de riscos. 
O ciclo foi programado para ser realizado em seis etapas, conforme figura abaixo. 
Registra-se que este manual contempla apenas as quatro primeiras, as duas 
últimas, Monitoramento e Reporte Gerencial, estão em desenvolvimento. 
 
A seguir, estão detalhadas as finalidades de cada etapa do ciclo de gerenciamento 
de riscos, sugestões de técnicas a serem utilizadas e o sistema operativo. 
 
 
22 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
4.1 Análise de Contexto 
Para iniciar o mapeamento de riscos é desejável que o processo esteja mapeado, 
nesse caso, as informações do mapeamento serão utilizadas. Para os casos em que 
o processo não esteja mapeado deverá ser realizada a etapa Análise de Contexto, 
desenvolvida com a finalidade de colher as informações macro que contribuirão para 
o entendimento e permitir o mapeamento de riscos do processo. 
A Análise de Contexto é suportada por um formulário que foi desenvolvido para 
registrar as informações coletadas sobre o processo e sobre o resultado da análise 
de SWOT, uma vez que as informações obtidas sobreo ambiente interno e externo, 
além de contribuir para o entendimento do processo, ajudarão na identificação dos 
riscos e na escolha das ações para mitigá-los. 
Ressalta-se que esta etapa não é obrigatória nos casos em que os processos 
estiverem mapeados, mas é fundamental para os processos sem mapeamento. O 
Protótipo de Sistema do MF, possui o referido formulário, inserido na aba Análise de 
Contexto (Anexos 1A e 1B) e o seu preenchimento não é condição para passar para 
a etapa seguinte. 
4.2 Identificação de Risco 
Esta etapa tem por finalidade identificar e registrar os riscos relevantes que 
comprometem o alcance do objetivo do processo e que afetem a entrega do valor à 
sociedade, registrado na Cadeia de Valor Integrada do MF. 
Para auxiliar na condução desta etapa foram elaboradas algumas perguntas, aqui 
chamadas de “perguntas orientadoras”. Na elaboração dessas perguntas foram 
considerados os termos e as definições do modelo conceitual adotado pelo Frente 
Gestão de Riscos do MF (Anexo 2B). 
As perguntas orientadoras estão dispostas na mesma sequência dos termos e 
definições contidos no modelo conceitual, ou seja, por dimensão, tipo, fatores e 
subfatores de riscos e ajudarão o gestor ou os especialistas a refletirem sobre os 
possíveis riscos que podem comprometer o alcance do objetivo do processo em 
análise e, consequentemente, a entrega do valor. 
Dessa forma, aplicando-se a técnica Entrevista com Especialistas ou outra mais 
apropriada para o processo em análise, faz-se as perguntas de forma a identificar os 
possíveis riscos que afetem a entrega do valor. 
Visando ajudar no momento da identificação dos riscos, elaborou-se uma lista de 
prováveis riscos, considerando os termos e as definições contidos no modelo 
conceitual (Anexo 2C). Esta lista não esgota os possíveis riscos, tendo a finalidade 
de contribuir com a padronização na descrição dos riscos identificados. 
Os riscos identificados deverão ser registrados no formulário eletrônico, constante 
 
 
23 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
da aba Identificação de Risco do Sistema do MF (Anexo 2A). 
Observação 1: no mapeamento de risco de projeto, identificar se há algum projeto 
vinculado ao processo em análise. Caso haja, obter da área responsável pelo 
monitoramento do projeto se há alguma possibilidade de ocorrer um dos seguintes 
fatores/origem: atraso; indisponibilidade de recursos ou perda de patrocínio, capazes 
de comprometer o cumprimento dos objetivos do processo e a entrega do valor, 
previsto na Cadeia de Valor do MF. 
Observação 2: no mapeamento de riscos da Dimensão Econômica, identificar a 
existência ou não de riscos atrelados aos fatores/subfatores definidos no modelo 
conceitual (Risco de Mercado, Risco de Crédito, Risco de Liquidez e Risco de 
Conjuntura). Quanto as etapas de mensuração, tratamento, monitoramento e o 
reporte gerencial, serão desenvolvidas e a presentadas oportunamente. 
4.3 Mensuração de Risco 
Uma vez identificados e registrados, faz-se necessário analisar os riscos sem levar 
em conta os controles porventura existentes (Anexo 3A). O processo de 
compreender a natureza dos riscos fornece base para a sua avaliação e para as 
decisões sobre o tratamento. 
Em seguida, é importante que se identifique os controles existentes e que se faça a 
verificação da qualidade desses controles quanto ao desenho e quanto à sua 
aplicação. 
A realização desta etapa tem por finalidade mensurar os riscos identificados, 
incluindo o levantamento das causas, a existência de controles e, ainda, obter a 
magnitude do risco (probabilidade x impacto). 
Assim, para cada risco deverá ser identificada e registrada as possíveis causas e os 
controles existentes, em seguida, para cada controle identificado deverá ser 
informando se trata de controle preventivo ou corretivo. Esses registros auxiliarão na 
avaliação dos riscos e dos controles e permitirá, mais à frente, a mensuração do 
risco, obtendo-se o risco residual e a nota de rating. 
Temos que a causa do risco é o fato gerador que motiva a possibilidade da 
ocorrência do risco e que o controle são procedimentos ou atividades que visam 
mitigar a possibilidade da ocorrência do risco. O controle reduz o risco inerente. 
Assim, são exemplos de atividades de controles: aprovações, conferências, 
autorizações, verificações, validações, conciliações, monitoramento, travas em 
sistemas, segregação de funções, dentre outras. 
Ressalta-se que poderão existir mais de uma causa e mais de um controle 
relacionado a um mesmo risco. Nesse caso descrever o que for relevante para a 
análise do risco identificado e, consequentemente, para o processo. 
 
 
24 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
Posteriormente, com as causas e os controles listados, aplica-se o questionário para 
a verificação da qualidade dos controles. O resultado dessa verificação é de extrema 
importância para atribuir as notas relacionadas à probabilidade e impacto, na 
aplicação da Matriz de Risco. 
4.3.1 Avaliação de Riscos e Controles 
4.3.1.1 Verificação do controle quanto ao desenho 
Os controles serão verificados quanto ao desenho nas seguintes perspectivas: 
 
 
 
 
 
 
 
 
 
4.3.1.2 Verificação do controle quanto à operação 
Os controles serão verificados quanto à operação nas seguintes perspectivas: 
 
 
 
 
 
 
 
 
 
(1) O Controle não é sistematizado 
(2) Há procedimento de controle para algumas atividades, porém informais 
(3) Controles não foram planejados formalmente, mas são executados de acordo com a 
experiência dos servidores 
(4) É desenhado um sistema de controle integrado adequadamente planejado, 
discutido e documentado. O sistema de controle vigente é eficaz, mas não prevê 
revisões periódicas; 
(5) O sistema de controle é eficaz na gestão de riscos. Foi adequadamente planejado, 
discutido, testado e documentado com correções ou aperfeiçoamentos planejados 
de forma tempestiva. 
 
Desenho do Controle 
 
 
(1) Controle não executado 
(2) Controle parcialmente executado e com deficiências 
(3) Controle parcialmente executado 
(4) Controle implantado e executado de maneira periódica e quase sempre uniforme. 
Avaliação dos controles é feita com alguma periodicidade 
(5) Controle implantado e executado de maneira uniforme pela equipe e na frequência 
desejada. Periodicamente os controles são testados e aperfeiçoados. 
 
 
Operação do Controle 
 
 
25 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
A aba Mitigação de Risco, no Sistema do MF, traz o formulário eletrônico para a 
registro da realização desta etapa (Anexos 3A e 3B). 
Ressalta-se que a avaliação da eficácia do controle cabe à Auditoria Interna. No 
mapeamento de riscos a verificação da qualidade do desenho e da aplicação do 
controle tem a finalidade de subsidiar a mensuração do risco, no momento em que 
está sendo analisado (risco residual). 
4.3.2 Matriz de Riscos 
4.3.2.1 Cálculo da nota de rating 
Para auxiliar o gestor na tomada de decisão com base nos resultados da análise dos 
riscos e definir quais riscos são objeto de tratamento e prioridade para a 
implementação de ações foi criada a nota de rating. 
No modelo desenvolvido pela Frente Gestão de Riscos do MF, o cálculo da nota de 
rating leva em consideração a agregação da severidade (nível de risco – aplicação 
da Matriz de Risco), o volume de ocorrência e a frequência de execução do 
processo. 
 
Cada risco avaliado, considerando a apreciação das causas e a qualidade do 
desenho e da operação do controle, é submetido à Matriz de Risco (probabilidade x 
impacto). 
Outro aspecto importante a ser observado no momento da aplicação da Matriz de 
Risco é quanto à atuação do controle, preventiva ou corretiva, fator preponderante 
na atribuição da probabilidade e do impacto.26 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
Assim, o 1º componente da nota de rating obtém-se com a aplicação da Matriz de 
Riscos. Já a agregação do 2º e do 3º componente é realizada a partir das 
informações registradas no sistema quanto ao volume de ocorrências e a frequência 
de execução do processo. 
A Matriz de Riscos considera as seguintes possibilidades: 
Escala Probabilidade 
RARA Pode ocorrer em circunstâncias excepcionais 
POUCO PROVÁVEL Pequena possibilidade de ocorrer 
PROVÁVEL Provável que ocorra em várias circunstâncias 
ALTA Deve ocorrer em algum momento 
 
Escala Impacto 
GRANDE Poderá comprometer o alcance total do objetivo do processo 
MODERADO Poderá comprometer o alcance de parte relevante do objetivo do 
processo 
PEQUENO Poderá comprometer o alcance de parte não relevante do objetivo do 
processo 
INSIGNIFICANTE Poderá comprometer de forma insignificante o objetivo do processo 
 
 
Resultado da Aplicação da Matriz de Risco 
 (Nível de Risco) 
A De 4 a 9 Baixo 
B De 10 a16 Médio 
C De 18 a 30 Alto 
O volume de ocorrências poderá ser obtido por meio de dados históricos, se houver, 
e/ou com conhecimento do gestor, e a frequência de execução do processo poderá 
ser obtida com os dados do mapeamento e/ou com o conhecimento dos 
Probabilidade RARA POUCO 
PROVÁVEL 
PROVÁVEL ALTA 
Impacto 2 3 4 5 
GRANDE 6 12 18 24 30 
MODERADO 4 8 12 16 20 
PEQUENO 3 6 9 12 15 
INSIGNIFICANTE 2 4 6 8 10 
 
 
27 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
responsáveis pela execução do processo. 
Desta forma, primeiro aplica-se a Matriz de Risco para se obter o nível de risco: A, B 
ou C (1º componente do rating), em seguida identifica-se o Volume de Ocorrências: 
a, b ou c (2º componente do rating) e, por fim, as informações sobre a frequência de 
execução do processo: “++”, “+” ou “-” (3º componente do rating), chegando-se a 
Nota de Rating, instrumento que auxilia o gestor na tomada de decisão quanto ao 
tratamento a ser dado ao risco identificado. 
4.3.2.2 Descrição das notas de rating 
 
 
Nota 
 
Descrição 
 Aa++ Baixo nível de risco, baixo volume de ocorrências risco e baixa frequência de execução do processo 
Aa+ Baixo nível de risco, baixo volume de ocorrências risco e média frequência de execução do processo 
Aa- Baixo nível de risco, baixo volume de ocorrências risco e alta frequência de execução do processo 
 
Ab++ Baixo nível de risco, médio volume de ocorrências risco e baixa frequência de execução do processo 
Ab+ Baixo nível de risco, médio volume de ocorrências risco e média frequência de execução do processo 
Ab- Baixo nível de risco, médio volume de ocorrências risco e alta frequência de execução do processo 
 
Ac++ Baixo nível de risco, alto volume de ocorrências risco e baixa frequência de execução do processo 
Ac+ Baixo nível de risco, alto volume de ocorrências risco e média frequência de execução do processo 
Ac- Baixo nível de risco, alto volume de ocorrências risco e alta frequência de execução do processo 
 
Ba++ Médio nível de risco, baixo volume de ocorrências risco e baixa frequência de execução do processo 
Ba+ Médio nível de risco, baixo volume de ocorrências risco e média frequência de execução do processo 
Ba- Médio nível de risco, baixo volume de ocorrências risco e alta frequência de execução do processo 
 
Bb++ Médio nível de risco, médio volume de ocorrências risco e baixa frequência de execução do processo 
Bb+ Médio nível de risco, médio volume de ocorrências risco e média frequência de execução do processo 
Bb- Médio nível de risco, médio volume de ocorrências risco e alta frequência de execução do processo 
 
Bc++ Médio nível de risco, alto volume de ocorrências risco e baixa frequência de execução do processo 
Bc+ Médio nível de risco, alto volume de ocorrências risco e média frequência de execução do processo 
Bc- Médio nível de risco, alto volume de ocorrências risco e alta frequência de execução do processo 
 
Ca++ Alto nível de risco, baixo volume de ocorrências risco e baixa frequência de execução do processo 
Ca+ Alto nível de risco, baixo volume de ocorrências risco e média frequência de execução do processo 
Ca- Alto nível de risco, baixo volume de ocorrências risco e alta frequência de execução do processo 
 
Cb++ Alto nível de risco, médio volume de ocorrências risco e baixa frequência de execução do processo 
Cb+ Alto nível de risco, médio volume de ocorrências risco e média frequência de execução do processo 
Cb- Alto nível de risco, médio volume de ocorrências risco e alta frequência de execução do processo 
 
Cc++ Alto nível de risco, alto volume de ocorrências risco e baixa frequência de execução do processo 
Cc+ Alto nível de risco, alto volume de ocorrências risco e média frequência de execução do processo 
Cc- Alto nível de risco, alto volume de ocorrências risco e alta frequência de execução do processo 
 
 
 
28 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
4.4. Tratamento de Risco 
Segundo o item 2.251 da ABNT NBR ISO 31000/2009, o tratamento de riscos é o 
processo para modificar o risco, e pode envolver: a ação de evitar o risco pela 
decisão de não se iniciar ou descontinuar a atividade que dá origem ao risco; 
assumir o risco; a remoção da fonte de risco; a alteração da probabilidade; a 
alteração da consequência; o compartilhamento do risco com outra parte ou partes 
(incluindo contrato e financiamento do risco); e a retenção do risco por uma escolha 
consciente. 
O modelo desenvolvido pela Frente de Gestão de Riscos sugere três ações 
(Aceitar, Mitigar e Evitar) para responder aos riscos, em função da nota de rating 
obtida, conforme figura abaixo: 
 
4.4.1 Plano de Implementação de Controles 
Depois de identificados e mensurados, deve-se definir qual o tratamento a ser dado 
aos riscos. De acordo com o item 5.5.1 da ABNT NBR ISO 31000/2009, o 
 
1 ABNT - Tratamento de riscos – Processo para modificar o risco – Análise de Riscos 
(2.1) 
 
 
29 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
tratamento de riscos envolve a seleção de uma ou mais opções para modificar os 
riscos. 
As opções previstas no Modelo de Gerenciamento de Riscos do MF (Aceitar, 
Mitigar ou Evitar), oriundas das notas de rating, servem de base para a tomada de 
decisão do gestor nas ações a serem adotadas. Entretanto, nos casos em que o 
gestor decidir por não promover ação ou adotar alguma providência para as notas 
de rating que apontam para a ação de Mitigar ou Evitar, essa decisão deverá ser 
formalmente justificada. 
A finalidade da elaboração do Plano de Implementação de Controles é documentar 
as opções de tratamento que serão adotadas, para tanto, o gestor deverá levar em 
consideração: 
 
O gestor deverá adotar ações (controle novo ou melhorar controle existente) e 
registrá-las em formulário eletrônico disponibilizado no Sistema de Gestão Integrada 
de Riscos Corporativos do MF, aba Tratamento de Risco (Anexo 4A). 
O formulário permitirá ao gestor informar o tipo de plano (adotar um controle novo ou 
melhorar um controle existente); descrever a ação; informar o responsável pela 
implementação da ação; como se dará a implementação da ação, início e fim, bem 
como estabelecer sua Meta de Rating. 
Visando auxiliar o gestor na proposiçãodas ações de tratamento, que irão compor o 
Plano de Implementação de Controles, foi disponibilizada uma lista de controles 
básicos (Anexo 4B), vinculados aos fatores e subfatores do risco operacional. 
É importante que os gestores, tomadores de decisão, estejam cientes da natureza e 
 
 
30 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
da extensão do risco após seu tratamento. Desta forma, o modelo prevê o registro 
da Meta de Rating. Esta Meta representa a nota que o gestor espera atingir com as 
ações propostas em seu Plano. 
4.4.2 Mapa de Risco 
Para permitir ao gestor e as partes interessadas conhecerem o resultado do 
mapeamento de riscos foi desenvolvido o Mapa de Risco, que é uma planilha 
eletrônica disponibilizada no Sistema do MF. Atualmente o Mapa de Risco apresenta 
o resultado das quatro primeiras etapas do ciclo de gerenciamento de riscos, ou 
seja, até a etapa Tratamento de Risco. 
A sequência dos dados no Mapa de Risco é a seguinte: (i) os riscos são vinculados 
ao processo/macroprocesso/valor da Cadeia de Valor integrada do MF; (ii) o foco da 
análise (dimensão, tipo e fator de risco); (iii) o resultado da avaliação dos riscos e 
controles (causas e controles); (iv) o resultado da mensuração dos riscos (Nota de 
Rating); (v) as ações para tratamento; (vi) a meta de rating estabelecida pelo gestor. 
O Mapa de Risco consta da aba Monitoramento do Sistema do MF e é gerado em 
planilha Excel (Anexo 4B). 
Conforme mencionado anteriormente, as duas últimas etapas do Ciclo de Gestão de 
Riscos do MF, Monitoramento e Reporte Gerencial, estão em desenvolvimento e tão 
logo concluídas farão parte deste manual. 
 
 
31 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
4.5. Monitoramento 
Em desenvolvimento. 
O que Monitorar O que Acompanhar
Tipo de 
Monitoramento
Como Quando
Plano de Ação de 
Implementação de 
Controles
Melhoria do Controle Contínuo
Atribuindo sinalizadores: Bandeira Verde = implantado, Bandeira Amarela = no prazo e 
Bandeira Vermelha = em atraso, para o estágio de desenvolvimento das ações
Bimestral
Adoção de Controle Novo Contínuo
Atribuindo sinalizadores: Bandeira Verde = implantado, Bandeira Amarela = no prazo e 
Bandeira Vermelha = em atraso, para o estágio de desenvolvimento das ações
Bimestral
Projeto (quando necessário 
elaborar um projeto para 
mitigar um risco)
Contínuo
Obtendo da área de projetos informações sobre o projeto elaborado para tratar um 
determinado risco
Semestral
Eficácia do controle Nota de rating Contínuo
1 - cruzamento da nota de rating do 2º ciclo X com a mota do 1º ciclo, e 
2 - comparação entre a nota de rating do 2º ciclo X a meta de rating atribuida pelo gestor
Semestral
Eventos de Riscos 
(riscos materializados)
1 - Riscos (materializados) 
registrados no sistema de 
riscos
2 - Riscos (constatações) 
registrados nos relatórios de 
auditoria e registros na 
ouvidoria
Contínuo
1 - Emissão de alerta do sistema de risco para o gestor do processo e para o representante 
de risco da área;
2 - Verificação dos registros nos relatórios da ouvidoria (nesse caso, verificar a possibilidade 
de o gestor fazer uma marcação no registro de forma que gera um relatório específico para 
cada gestor com os riscos de sua área).
1 - sempre que 
houver registro no 
sistema
2 - a cada emissão 
de relatório de 
auditoria
Processo de Gestão de 
Riscos
Resultado das Autoavaliações
Avaliações 
Independente
Aplicação de questionário de autoavaliação acompanhado de roteiro auxilar Anual 
 
 
 
32 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
4.6. Reporte Gerencial 
Em desenvolvimento. 
DIMENSÃO DE RISCO
TIPO DE RISCO
FATOR DE RISCO
TAXIONOMIA DE RISCO
EVENTO DE RISCO
RISCO
RATING
> SEVERIDADE
> VOLUME DE OCORRÊNCIAS
> FREQUENCIA DE EXECUÇÃO DO PROCESSO
PLANO DE MITIGAÇÃO DE RISCOS
META DE RATING
MAPA DE RISCO
Reporte
Informação em diferentes níveis
CADEIA DE VALOR
MACROPROCESSOS
UNIDADE ORGANIZACIONAL
PROCESSOS
N
Í
V
E
L
 
D
E
 
R
E
P
O
R
T
E
E
S
T
R
A
T
É
G
I
C
O
E
X
E
C
U
T
I
V
O
G
E
R
E
N
C
I
A
L
O
P
E
R
A
C
I
O
N
A
L
Gestor de riscos do processo (visão processo interno)
Gestores intermediários e escritório de apoio à gestão de risco ou representante de riscos nos órgãos
Principais gestores dos órgãos
Conselho e alta administração (visão MF - sala de situação) 
 
 
 
33 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
REFERÊNCIAS 
IBGC, Guia de Orientação para Gerenciamento de Riscos Corporativos. 
COSO. Gerenciamento de Riscos Corporativos – Estrutura Integrada. 2007. 
Tradução: Instituto dos Auditores Internos do Brasil (Audibra) e Pricewaterhouse 
Coopers Governance, Risk and Compliance, Estados Unidos da América, 2007. 
INTOSAI GOV 9100. Guidelines for Internal Controls Standards for the Public Sector. 
2004. Disponível em: < http://www.intosai.org/en/issai-executive-summaries/intosai-
guidance-for-good-governance-intosai-gov.html >. Acesso em 28 out. 2015. 
ISO (ISO - International Organization for Standardization). ISO 31000 – Risk 
Management System – Principles and Guidelines. Tradução: Associação Brasileira 
de Normas Técnicas (ABNT) Projeto 63:000.01- 001. Agosto, 2009. 
ISO (ISO - International Organization for Standardization). ISO Guide 73, Vocabulary 
for Risk Management, 2009. 
TCU. Avaliação de controles internos na administração pública federal. 2012. 
Disponível em http://portal2.tcu.gov.br/portal/pls/portal/docs/2436815.PDF. Acesso 
em 14.set.2013. 
Manual de GERENCIAMENTO DE RISCOS, Secretaria da Receita Federal do 
Brasil, novembro de 2012. 
Relatório de Gestão de Riscos e Principais Modelos Conceituais, Programa de 
Modernização integrada do Ministério da Fazenda/PMIMF, janeiro de 2014. 
 
 
34 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
ANEXO 1A – Análise de Contexto/1ª Parte 
 
 
 
 
35 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
ANEXO 1B – Análise de Contexto/2ª Parte 
 
 
 
36 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
ANEXO 2A – Identificação de Risco/Dimensão e Tipo de Risco 
 
ANEXO 2B – Identificação de Risco/Perguntas Orientadoras 
Dimensão Tipo de Risco Fator de Risco Perguntas Orientadoras 
Funcional 
Risco 
Operacional 
Processos 
Existem ameaças associadas à possibilidade de perda 
resultante da ocorrência de falha, deficiência ou 
inadequação de processos? 
Pessoas 
Existem ameaças associadas à possibilidade de perda 
resultante da ocorrência de falha, deficiência ou 
inadequação de pessoas? 
Ambiente Existem ameaças associadas à possibilidade de perda 
 
 
37 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
Dimensão Tipo de Risco Fator de Risco Perguntas Orientadoras 
Tecnológico resultante da ocorrência de falha, deficiência ou 
inadequação de ambiente tecnológico? 
Eventos 
Externos 
Existem ameaças associadas à possibilidade de perda 
resultante da ocorrência de falha, deficiência ou 
inadequação de eventos externos? 
 
Estratégica 
Risco 
Estratégico 
Descontinuidade 
Existe o risco de descontinuidade neste processo ao 
ponto de comprometer o alcance deste valor? 
Indisponibilidade 
de Recursos 
Existe o risco de indisponibilidade de recursos neste 
processo ao ponto de comprometer o alcance deste 
valor? 
Risco de 
Projeto (Existe 
PROJETO 
vinculado a este 
processo para 
atingimento do 
valor?) 
Atraso 
Existe o risco de atraso no PROJETO vinculado a esteprocesso ao ponto de comprometer o alcance deste 
valor? 
Indisponibilidade 
de Recursos 
Existe o risco de indisponibilidade de recursos no 
PROJETO vinculado a este processo ao ponto de 
comprometer o alcance deste valor? 
Perda de 
Patrocínio 
 
Existe o risco de perda de patrocínio no PROJETO 
vinculado a este processo ao ponto de comprometer o 
alcance deste valor? 
Risco de 
Conjuntura 
Mudanças 
Internas 
Existe risco de mudanças internas neste processo ao 
ponto de comprometer o alcance deste valor? 
Mudanças 
Externas 
Existe risco de mudanças externas neste processo ao 
ponto de comprometer o alcance deste valor? 
Econômica 
Risco de 
Mercado 
Taxa de Juros 
Existe o risco de flutuações de mercado na taxa de juros 
neste processo ao ponto de comprometer o alcance 
deste valor? 
Taxa de Câmbio 
Existe o risco de flutuações de mercado na taxa de 
câmbio neste processo ao ponto de comprometer o 
alcance deste valor? 
Títulos Públicos 
Existe o risco de flutuações de mercado nos preços dos 
títulos públicos neste processo ao ponto de 
comprometer o alcance deste valor? 
Participações 
Societárias 
Existe o risco de flutuações de mercado no preço das 
ações da união neste processo ao ponto de 
comprometer o alcance deste valor? 
Indicadores 
Econômicos 
Existe o risco de variações nos indicadores 
econômicos neste processo ao ponto de comprometer o 
alcance deste valor? 
Risco de 
Crédito 
Inadimplência 
Existe risco de default neste processo ao ponto de 
comprometer o alcance deste valor? 
Garantias 
Associadas 
Existe risco de default na execução das garantias 
associadas neste processo ao ponto de comprometer o 
alcance deste valor? 
Litígio 
Existe risco de litígio de créditos neste processo ao 
ponto de comprometer o alcance deste valor? 
 
 
 
Risco de 
Liquidez 
Entrada de 
Recursos 
Existe risco de descasamento entre a entrada de 
recursos e obrigações a pagar originado pela incerteza 
acerca da entrada de recursos ao ponto de comprometer 
o alcance deste valor? 
Exigência de 
Caixa 
Existe risco de descasamento entre a entrada de 
recursos e obrigações a pagar originado pela incerteza 
de caixa ao ponto de comprometer o alcance deste 
valor? 
 
 
38 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
Dimensão Tipo de Risco Fator de Risco Perguntas Orientadoras 
Desvalorização 
de Ativos 
Existe risco de descasamento entre a entrada de 
recursos e obrigações a pagar originado pela 
desvalorização de ativos ao ponto de comprometer o 
alcance deste valor? 
Risco de 
Conjuntura 
Mudanças 
Internas 
Existe risco de mudanças internas neste processo ao 
ponto de comprometer o alcance deste valor? 
Mudanças 
Externas 
Existe risco de mudanças externas neste processo ao 
ponto de comprometer o alcance deste valor? 
 
 
 
39 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
ANEXO 2C – Identificação de Risco/Taxonomia de Riscos 
Risco Operacional 
Fator Subfator e Exemplos de Riscos (Taxonomia) 
 
 
 
 
 
 
 
 
 
PROCESSOS 
COMUNICAÇÃO INTERNA: 
 Os insumos e as informações não são recebidos em tempo adequado para a 
execução do processo 
 Ausência de padrões mínimos definidos para a execução do processo 
 Erros e falhas de informações que afetam a execução do processo 
MODELAGEM: 
 Fluxo desatualizado e não reflete a prática atual utilizada na execução do processo 
 Ausência de avaliações periódica sobre a adequabilidade do desenho do processo 
 Ausência ferramenta para análise e melhoria contínua do processo 
 Falha ou falta de metodologia que auxilie no mapeamento do processo 
SEGURANÇA FÍSICA: 
 Falha ou falta de segurança no ambiente de trabalho que afeta a execução do 
processo 
 Acesso a áreas consideradas como críticas sem que as pessoas estejam devidamente 
credenciadas e identificadas 
ADEQUAÇÃO À LEGISLAÇÃO: 
 Descumprimento de prazos legais na execução do processo 
 Ausência de compilação e distribuição de legislação pertinente ao processo em 
execução 
 Execução do processo em desacordo com o regimento interno/normas 
 Descumprimento de prazo judicial na execução do processo 
 Descumprimento de obrigação regulatória na execução do processo 
 
 
 
 
 
 
 
 
 
 
 
PESSOAS 
CARGA DE TRABALHO: 
 Rotatividade (turnover) de pessoal acima do esperado que afeta a execução do 
processo 
 Capacidade operacional insuficiente para a execução do processo 
 Falha ou falta de dimensionamento da capacidade operacional com impacto na 
execução do processo 
COMPETÊNCIAS: 
 Capacitação da equipe é insatisfatória para a execução do processo 
 Concentração de conhecimentos em determinados servidores afetando a execução do 
processo 
 Falha ou falta de disseminação de conhecimento afetando a execução do processo 
 Falha ou falta de capacitação que afeta a execução do processo 
AMBIENTE ORGANIZACIONAL: 
 Ausência de satisfação e/ou de bem-estar do servidor na execução de sua tarefa 
 Desconhecimento dos objetivos do processo por parte dos Servidores 
 Servidores desconhecem as suas responsabilidades individuais na execução do 
processo 
 Ausência de recursos necessários para execução das tarefas 
 Resistência de Servidores em promover alterações nas condições de trabalho 
CONDUTA: 
 Ausência de postura ética nas atividades e nos relacionamentos interpessoais 
 Falta de atenção e zelo na execução do processo 
 Ausência de imparcialidade, cumprimento das leis e normas/regulamentares, 
confidencialidade e comprometimento na execução do processo 
 Quebra de sigilo e confidencialidade 
 
 
 
 
 
 
 
SEGURANÇA LÓGICA: 
 Ausência de estrutura de perfis de acesso aos sistemas para execução do processo 
 Ausência de controle de acesso lógico 
 Ausência de logon próprio na rede institucional 
 Falha ou falta de meios seguros de acesso aos sistemas 
 Inexistência de registro nos sistemas (log) das transações críticas 
 Ausência de formalização que defina as responsabilidades do usuário externo do 
 
 
40 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
Risco Operacional 
Fator Subfator e Exemplos de Riscos (Taxonomia) 
 
 
 
 
 
 
AMBIENTE 
TECNOLÓGICO 
sistema 
 Incapacidade do sistema de prover informações confiáveis e suficientes sobre o 
processo em execução 
INFRAESTRUTURA TECNOLÓGICA: 
 Grau de informatização do processo inadequado para execução do processo 
 Informações e dados armazenados em diretórios não protegidos e sem controle de 
acesso 
 Ausência de backup de arquivos, planilhas e bancos de dados essenciais à execução 
do processo 
 A estação de trabalho não possui acionado dispositivo de time-out 
 Descarte de mídias sem antes terem apagados os com conteúdo reservado 
 Sobrecarga de sistemas de processamento de dados no momento da execução do 
processo 
 Inadequação de sistemas operacionais/aplicativos para execução do processo 
 Falhas de hardware, faltas de backup e de legalização do software afetando a 
execução do processo 
 Obsolescência dos sistemas e equipamentos afetando a execução do processo 
 Ataques lógicos à rede de computadores afetando a execução do processo 
SOLUÇÃO DE TI: 
 Inexistência de controle nas requisições e nas melhorias requeridas nos sistemas cuja 
falta de implementação afeta a execução do processo 
 Falha ou falta de homologação de sistema impedindo a execução do processo de 
forma automatizada 
COMUNICAÇÃO: 
 Instabilidade nos sistemas operacionais que afeta a execução do processo 
 Incompatibilidade e/ou indisponibilidade de informações afetando a execução do 
processo 
 
 
 
 
 
EVENTOS 
EXTERNOS 
DESASTRES NATURAIS E CATASTROFE: 
 Ação Humana: ações intencionais executadas por terceiros para lesar o órgão, como 
por exemplo: 
(i) roubos, falsificações, furtos, atos de vandalismos, fraudesexternas; (ii) degradação 
do meio ambiente; e (iii) alterações no ambiente econômico, político e social 
 Força Maior: 
(i) enchentes, terremotos, catástrofes (queda de prédio) e outros desastres naturais 
AMBIENTE REGULATÓRIO: 
 Alterações inesperadas na legislação ou em marcos regulatórios pelos órgãos 
fiscalizadores e reguladores 
AMBIENTE SOCIAL: 
 Cenário socioeconômico interfere na execução do processo 
 Retrações ou não-aproveitamento de oportunidades de mercado provocadas por 
eventos relacionados a segurança patrimonial que impede a execução do processo 
FORNECEDORES: 
 Indisponibilidade de recursos em virtude de concentração em um único fornecedor 
que impede a execução do processo 
 Falhas ou indisponibilidade de serviços públicos que afeta a execução do processo 
 
 
 
41 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
ANEXO 3A – Mensuração de Risco/Avaliação de Riscos e Controles 
 
 
 
42 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
ANEXO 3B – Mensuração de Risco/Matriz de Riscos 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
43 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
ANEXO 4A – Tratamento de Risco/Plano de Implementação de Controles 
 
 
 
 
 
 
 
 
 
 
 
44 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
 ANEXO 4B – Controles Básicos 
Fator Subfator Controles Básicos 
Pessoas 
Carga de Trabalho 
Planejamentos de longo, médio e curto prazos 
Acordo de Trabalho 
Pesquisa de Clima Organizacional 
Reuniões Participativas 
Competência 
Identificação da Necessidade de Conhecimento / Habilidades 
Atividades de Treinamento 
Normas e Procedimentos Internos 
Ferramentas de autoavaliação de Conhecimento / Habilidades 
Ambiente 
Organizacional 
Pesquisa de Clima Organizacional 
Condições Ambientais 
Comunicação com a Administração 
Processo de Gerenciamento de Equipes 
Conduta 
Valores Éticos e Normas de Conduta da Empresa 
Alçadas e Limites 
Mecanismos de Motivação/Recompensa /Punição – Práticas de Disciplina e 
Demissão 
Reconhecimento de Responsabilidade por Escrito 
Conferências e Autorizações 
Rodízio de Funcionários 
Segregação de Funções 
Testes de Conformidade 
Canais de Comunicação – Com clientes 
Processos 
 
Comunicação 
Interna 
Canais de Comunicação – Com funcionários 
Normas e Procedimentos Internos 
Modelagem 
Ferramentas para Análise e Melhoria Contínua de Processos 
Metodologia de Autoavaliação de Riscos e Controles 
Metodologia de Desenvolvimento de Produtos e Serviços – CARPIS 
Validações – Backtesting 
Normas e Procedimentos Internos 
Metodologia de Autoavaliação de Riscos e Controles 
Mecanismos de Monitoramento e Reporte 
Segurança Física 
Mecanismos de Segurança Física 
Controles de Acesso Físico 
Manutenção de Equipamentos 
Adequação à 
Legislação 
Testes de Conformidade 
Normas e Procedimentos Internos 
Ambiente 
Tecnológico 
 
Segurança Lógica 
Políticas e Diretrizes 
Controles de Acesso Lógico 
Arquivo e Preservação de Registros 
Infraestrutura e 
Tecnologia 
Manutenção de Equipamentos 
Layout de formulários e Sistemas 
Planos de Contingência 
Layout de Formulários e Sistemas 
Validações - Backtesting 
Atividades de Treinamento 
Comunicação 
Planos de Contingência 
Manutenção de Equipamentos 
Eventos 
Externos 
Desastres Naturais 
e Catástrofe 
Planos de Contingência 
Atividades de Treinamento 
Ambiente 
Regulatório 
Análise da Conjuntura Política e Econômica Nacional e Internacional 
Ambiente Social Análise da Conjuntura Política e Econômica Nacional e Internacional 
Fornecedores Controles de Serviços Terceirizados 
 
 
 
 
45 
 
 
 
Manual de Gestão Integrada de Riscos Corporativos - MF 
 
Assessoria 
Especial de 
Controle Interno 
ANEXO 4C – Monitoramento/Mapa de Risco 
 
 
 
Meta de Rating: corresponde à expectativa 
de rating que se espera alcançar após a 
implementação dos controles necessários.