GERENCIAMENTO DE RISCOS (1)

Prévia do material em texto

E-BOOK
GERENCIAMENTO 
DE RISCOS
Definição de Gerenciamento de Riscos
APRESENTAÇÃO
O gerenciamento de riscos, por sua importância estratégica, vem se tornando cada vez mais 
importante no dia a dia das empresas. Ele é parte fundamental do planejamento estratégico e 
exige processos contínuos e estruturados, desenhados de acordo com a realidade de cada 
organização. Um gerenciamento eficaz de riscos é dado pela qualidade da estrutura de sua 
governança, que inclui estratégia, cultura, processos e tecnologia utilizados pelas organizações.
Nesta Unidade de Aprendizagem, você vai conhecer os conceitos básicos associados ao risco, 
além da história e da definição do gerenciamento de riscos. 
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Definir conceitos básicos de riscos.•
Identificar a história do gerenciamento de riscos.•
Compreender a definição de gerenciamento de riscos.•
DESAFIO
O gerenciamento de riscos trata, basicamente, de como as organizações enfrentam as incertezas 
que podem afetar negativamente os seus projetos e planos. Na definição de Verzuh (2000, p. 
109), “o gerenciamento dos riscos é um meio pelo qual a incerteza é sistematicamente 
gerenciada para aumentar a probabilidade de cumprir projetos”.
Você trabalha como responsável no departamento de projetos de uma organização. O trabalho, 
naturalmente, exige que você e sua equipe compreendam a linguagem própria da área, 
principalmente o significado das expressões mais relevantes ao contexto da gestão de riscos. 
Porém, você pecebeu que alguns integrantes da equipe, por serem novatos no time, estão com 
dificuldades para compreender e fazer uso dos termos na elaboração de relatórios, por exemplo.
Para ajudar, você resolve fazer uma dinâmica como treinamento de reforço. Com o time reunido 
ao redor de uma mesa, você começa distribuindo alguns cartões contendo algumas das 
expressões mais importantes:
- Risco inerente 
- Probabilidade 
- Critério de risco 
- Risco residual 
- Apetite ao risco 
- Impacto 
- Tolerância ao risco
Logo após, você apresenta outros cartões, agora contendo os significados das expressões, porém 
de forma aleatória:
- Risco restante após uma resposta a riscos ser aplicada. 
- Nível de variação aceitável quanto à realização dos objetivos. 
- Possibilidade de ocorrência de um evento. 
- Ausência de qualquer ação que a direção possa realizar para alterar a probabilidade de 
ocorrência ou de impacto. 
- O resultado da ocorrência do evento. 
- Valores de referência em que o impacto e a probabilidade do risco são avaliados. 
- A dimensão e o tipo de risco que uma organização está disposta a aceitar para consecução dos 
seus objetivos.
Feito isso, você pediu para os participantes exercitarem seus conhecimentos, juntando 
expressões e conceitos, associando-os corretamente.
Ao final, para concluir a atividade e garantir que todos tenham compreendido corretamente, 
você deve apresentar as expressões e seus significados adequadamente conectados:
INFOGRÁFICO
O gerenciamento de riscos é uma forma organizada de identificar e medir os riscos e de 
desenvolver, selecionar e gerenciar as opções para seu controle.
Conheça, no Infográfico a seguir, as seis etapas a serem desenvolvidas no gerenciamento de 
riscos, de acordo com a abordagem PMBOK.
CONTEÚDO DO LIVRO
A definição mais simples de "risco" é aquela que diz que este é uma chance de perda, quando se 
tem a probabilidade de alguma ação não ter sucesso em função de um acontecimento qualquer, 
em que a vontade dos envolvidos não interfere na sua ocorrência. Os riscos envolvem incertezas 
e perdas, podem ou não ocorrer, e trazem consequências muitas vezes indesejadas. Gerenciar 
riscos dentro de uma organização é parte fundamental do planejamento estratégico e exige 
processos contínuos e estruturados, desenhados de acordo com a realidade de cada organização.
Acompanhe um trecho da obra Gerenciamento de riscos. Leia o capítulo Definição de 
gerenciamento de riscos, base teórica para esta Unidade de Aprendizagem, no qual você vai 
conhecer os conceitos básicos de riscos e a história e a definição do gerenciamento de riscos.
Boa leitura.
GERENCIAMENTO DE RISCO
Simone Fraporti
Definição de gerenciamento 
de riscos
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Identificar riscos.
 � Reconhecer historicamente o gerenciamento de riscos.
 � Definir gerenciamento de riscos.
Introdução
O gerenciamento de riscos tem se tornado cada vez mais importante 
no dia a dia das empresas, não somente em decorrência do medo dos 
fracassos corporativos que aconteceram e que poderiam ter sido evita-
dos, mas também pela importância estratégica que este gerenciamento 
representa. 
Gerenciar riscos dentro de uma organização é parte fundamental 
do planejamento estratégico, e exige processos contínuos e estrutura-
dos, desenhados de acordo com a realidade de cada organização. Um 
gerenciamento eficaz de riscos é dado pela qualidade da estrutura de 
sua governança, que inclui estratégia, cultura, processos e tecnologia 
utilizados pelas organizações.
Neste capítulo, você irá estudar os conceitos básicos de riscos, a his-
tória e a definição do gerenciamento de riscos.
Conceitos básicos de riscos
Risco é a possibilidade de ocorrência de um evento que venha a ter impacto 
no cumprimento dos objetivos. Pode ser uma oportunidade ou uma ameaça 
U N I D A D E 1
aos objetivos da organização, sendo que um afeta negativamente e o outro, 
positivamente os objetivos do projeto (MONTEIRO, 2017). 
A probabilidade de ocorrência e de impacto que o risco exerce sobre os 
objetivos organizacionais é o que o define, portanto quanto maior for a pro-
babilidade e o impacto, maior será o nível deste risco para a organização. 
Enquanto a probabilidade está associada às chances de o evento acontecer, 
o impacto está associado ao efeito que o evento ocorrido exerce sobre os 
objetivos, ou seja, a materialização do risco. 
NÍVEL DO RISCO = PROBABILIDADE VS. IMPACTO
Atualmente, as organizações estão expostas a uma grande quantidade e 
variedade de riscos e, segundo Monteiro (2017), não existem recursos (tempo, 
dinheiro, pessoas) para lidar com todos os riscos. Nesse sentido, é aconselhável 
que as organizações concentrem seus recursos para lidar com os riscos que 
mais podem impactar os objetivos da organização. Trabalhar com essa visão 
faz parte da estratégia de sobrevivência de uma organização. 
Os riscos são os mais variados, possuem as naturezas mais diversas possí-
veis e estão diretamente ligados ao alcance dos objetivos. Estes riscos podem 
ser de natureza:
 � econômica;
 � ambiental;
 � social;
 � operacional;
 � legal/regulamentar;
 � imagem/reputação;
 � financeiro/orçamentário.
Você deve saber que outros termos também são utilizados e são importantes 
para o gerenciamento dos riscos da organização. Os termos a seguir elencados 
foram utilizados na elaboração da Resolução nº 249/2014 do Tribunal Regional 
Eleitoral do Rio Grande do Sul (TRE/RS).
 � Evento: ocorrência ou mudança em um conjunto específico de circuns-
tâncias capaz de causar impacto.
 � Risco: possibilidade de algo acontecer e afetar os objetivos, sendo 
medido em termos de impactos e probabilidades.
Definição de gerenciamento de riscos12
 � Critério de risco: são os valores de referência em que o impacto e a 
probabilidade do risco são avaliados.
 � Nível de risco: intensidade do risco combinando com impacto e pro-
babilidade do evento.
 � Risco inerente: é o risco natural; ausência de qualquer ação que a 
direção possa realizar para alterar a probabilidade de ocorrência ou 
de impacto.
 � Risco residual: risco restante após uma resposta aos riscos ser aplicada.
 � Apetite ao risco: é a dimensão e o tipo de risco que uma organização 
está disposta a aceitar para consecução dos seus objetivos.
 � Tolerância ao risco: é onível de variação aceitável quanto à realização 
dos objetivos.
 � Probabilidade: possibilidade de ocorrência do evento.
 � Impacto: resultado da ocorrência do evento.
História do gerenciamento de riscos
O gerenciamento de riscos, segundo o Instituto Brasileiro de Governança 
Corporativa (IBGC) (2017) não é uma prática nova, fazendo parte da rotina 
de qualquer empresário desde tempos muito remotos. Porém, o tema só co-
meçou a ganhar relevância no final do século XX, em virtude da globalização 
e do aumento da complexidade das companhias, instituições financeiras 
e organizações do terceiro setor. As práticas de gerenciamento de riscos, 
inicialmente, eram direcionadas à área de seguros, mas aos poucos foram se 
desenvolvendo como uma metodologia estruturada para as áreas de finanças, 
auditoria, estratégia e tecnologia da informação.
A indústria financeira teve incentivo para implementar o gerenciamento 
de riscos na década de 1980, devido à preocupação com a exposição dos 
bancos a operações não registradas em balanço, combinadas com problemas 
de empréstimos para os países categorizados como do terceiro mundo na 
época (INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 
2017).
Os primeiros resultados desse processo vieram em 1988, com o primeiro 
Acordo da Basileia (Basileia I), que tinha como foco a alocação de capital para 
fazer frente aos riscos de crédito e depois com suas emendas subsequentes 
a partir de 1996.
A partir de 1993, foram criadas regras para o risco de mercado, em resposta 
aos grandes desastres financeiros do início dos anos 1990, quando ocorreram 
13Definição de gerenciamento de riscos
casos de espionagem corporativa, negociações fraudulentas em bolsas de 
valores para aumentar lucros e subir ações, bônus milionários, falsificação 
de contas para disfarçar prejuízos, entre outros (casos conhecidos como os da 
Procter & Gamble, Orange County, Barings, etc.). Então, introduziu-se um 
conceito para medir a perda potencial máxima do valor de uma carteira de 
investimentos, com determinado nível de confiança em um dado intervalo 
de tempo e em condições normais de funcionamento do mercado, o Value-
-at-Risk (VaR). 
Value at Risk (VaR) é um método que avalia o risco em operações financeiras, 
resumindo, em um número, o risco de um produto financeiro ou o risco de uma 
carteira de investimentos de um montante financeiro. Esse número representa a 
pior perda esperada em um dado horizonte de tempo e é associado a um intervalo 
de confiança.
Entretanto, o processo de identificação e tratamento de riscos não finan-
ceiros é bem mais complexo, enquanto os riscos financeiros são quantificáveis 
por meio de ferramentas como o VaR, a mensuração de outros riscos, como o 
operacional, o ambiental ou o de reputação, são bem mais subjetivos. Dessa 
forma, é necessário combinar uma série de técnicas quantitativas e qualitativas 
para a mensuração dos riscos não financeiros, e é aí que a atenção se volta à 
importância dos controles internos.
Nas companhias não financeiras, empresas que trabalham na produção de 
bens e serviços não financeiros (excluem-se aqui bancos e outras instituições 
financeiras), as diretrizes mais utilizadas a respeito de gestão de riscos têm 
origem nas recomendações do Committe of Sponsoring Organizations of the 
Treadway Commission (COSO), com indicações de metodologia integrada 
para ajudar as organizações a analisar e a melhorar seus sistemas de controles 
internos e seus processos de gestão de risco empresarial, do inglês Enterprise 
Risk Management (ERM). Essa e outras metodologias têm sido amplamente 
difundidas e incorporadas às políticas, regras e regulamentos por várias 
empresas, visando melhor controlar suas atividades, de forma a atingir os 
objetivos estabelecidos.
Definição de gerenciamento de riscos14
Para conhecer mais sobre o modelo COSO, acesse o 
link ou código a seguir: 
https://goo.gl/KjQL58
Seguindo essa linha, o Financial Accounting Standards Board (FASB), 
organização norte-americana criada para padronizar normas na contabilidade 
financeira de empresas cotadas em bolsa e não governamentais, entre outras 
iniciativas, encorajou a divulgação de demonstrações financeiras mais com-
pletas, demonstrando o que tem sido feito para suavizar e gerenciar os riscos a 
partir do modelo de governança instaurado. Além do relatório COSO de 1992, 
importantes guias relativas aos controles internos e ao gerenciamento de riscos 
foram publicadas, entre elas o Relatório Cadbury, em 1992, e o Turnbull em 1999.
Para conhecer mais sobre os modelos Cadbury e Turnbull, acesse os seguintes links: 
https://goo.gl/YG82HN
https://goo.gl/f6QhPL
Em 2001, o colapso da empresa Enron revela um esquema gigantesco 
de manipulação de balanços, ocultação de dívidas, lucros artificialmente 
inflados e falhas de auditorias. Esse fato influenciou a aprovação, em 2002, 
da chamada Lei Sarbanes-Oxley (SOX), que enfatizou o papel fundamental 
dos controles internos e transformou em exigência legal, nos Estados Unidos, 
que as empresas participantes do mercado acionário possuam estruturas e 
mecanismos de governança adequados, com vistas a mitigar riscos, evitar a 
ocorrência de fraudes e proteger os investidores (BRASIL, 2017).
15Definição de gerenciamento de riscos
Em 2004, o COSO publicou o ERM – integrated framework COSO-ERM 
ou COSO II, modelo de referência que estendeu o COSO I, tendo como foco 
a gestão de riscos corporativos. No mesmo ano é firmado o Acordo de Basi-
leia II, aplicável a instituições bancárias em nível mundial, tendo como grande 
diferencial a inclusão de requisitos específicos relacionados à gestão de riscos 
operacionais. Ainda em 2004, foi lançada a versão atualizada e expandida 
da norma de gestão de risco AS/NZS nº 4360 (norma regional australiana e 
neozelandesa, geralmente adotada como referência nas implementações de 
processos de gerenciamento de riscos).
Em resposta à crise do mercado financeiro de 2007 e 2008, na mesma linha 
da SOX, foi aprovada nos Estados Unidos a Lei Dodd-Frank, que aumentou 
a regulamentação e definiu restrições relevantes sobre a atividade financeira 
no país.
Em 2009, foi publicada a Norma Técnica ISO 31.000 Risk management 
– Principles and guidelines, que provê princípios e boas práticas para um 
processo de gestão de riscos corporativos, aplicável a organizações de qualquer 
setor, atividade e tamanho. O modelo preconizado na ISO 31.000 aprimorou 
os conceitos, as diretrizes e as práticas recomendadas em normas técnicas de 
aplicação local que a precederam, como a AS/NZS nº 4360.
Em 2010, surge no Reino Unido o UK Bribery Act, com a intenção de ofe-
recer reforço a legislação internacional antissuborno. Bastante semelhante a lei 
anticorrupção americana Foreign Corrupt Practices Act (FCPA), estabelecida 
em 1977, o Bribery Act é um estatuto jurídico que definiu delitos criminais 
relativos à prática de suborno em transações comerciais, bem como nos casos 
de participação de funcionários públicos oficiais. 
Em 2014, entrou em vigor no Brasil a Lei Anticorrupção (Lei nº 12.846/2013) 
e, posteriormente a essa publicação, uma série de decretos e portarias vieram 
contribuir para a regulamentação anticorrupção no Brasil. Essa lei busca 
responsabilizar empresas, seus controladores, controladas, consorciadas ou co-
ligadas por práticas lesivas à administração pública, e as companhias passaram 
a responder nas esferas administrativa e civil por atos de corrupção e fraude 
em licitações e contratos com o poder público (INSTITUTO BRASILEIRO 
DE GOVERNANÇA CORPORATIVA, 2017).
A regulamentação da Lei nº 12.846 (BRASIL, 2013), dada por meio do 
Decreto Federal nº 8.420/2015, estabeleceu os critérios para cálculo de multas, 
os parâmetros para a avaliação de programas de conformidade (compliance), as 
regras para celebração dos acordos de leniência e disposições sobre o cadastro 
nacional de empresas punidas. Estabeleceu, ainda, os mecanismos e procedi-
mentos de integridade, auditoria, aplicação de códigosde ética ou conduta e 
Definição de gerenciamento de riscos16
incentivos de denúncia de irregularidades que devem ser adotados pela empresa 
e monitorados pelo Ministério da Transparência, Fiscalização e Controle, antiga 
Controladoria Geral da União (CGU). O programa de integridade deve ser 
estruturado, aplicado e atualizado de acordo com as características de riscos 
atuais das atividades de cada pessoa jurídica, que, por sua vez, é responsável 
pelo constante aprimoramento e adaptação do programa.
Muito já foi feito, mas a busca por padrões de gerenciamento de riscos 
corporativos ainda continua bastante ativa no Brasil e no mundo, e mode-
los alinhados às boas práticas vêm sendo desenvolvidos (alguns ainda em 
resposta às crises) com o objetivo de incorporar novos conceitos de avalia-
ção de riscos e de controles, além de atender às exigências do mercado e 
de órgãos reguladores (INSTITUTO BRASILEIRO DE GOVERNANÇA 
CORPORATIVA, 2017). 
Definição do gerenciamento de riscos
O gerenciamento de riscos pode ser definido como o processo de identificar, 
avaliar, administrar e controlar possíveis eventos ou situações, para fornecer 
razoável certeza quanto ao alcance dos objetivos da organização. 
Para Monteiro (2017), a necessidade de se reduzir incertezas, a adoção 
de práticas de gestão de qualidade, a busca da melhoria contínua, as crises 
de governança, a visão estratégica e, principalmente, a sobrevivência das 
organizações é que motivam a adoção de um processo de gerenciamento 
de riscos. 
Pode-se dizer que o gerenciamento de riscos anda junto ao planejamento 
estratégico das organizações, e sua função é identificar e responder aos eventos 
que possam afetar os objetivos e deve ser um processo contínuo e bem estru-
turado. Por meio desses processos, as oportunidades de ganhos são mapeadas 
e se reduzem a probabilidade e o impacto de perdas. 
O gerenciamento de riscos trata, basicamente, de como as organizações 
trabalham no enfrentamento das incertezas que podem afetar negativamente 
seus projetos ou planos de empreendimentos a serem realizados. Na definição 
de Verzuh (2000, p. 109), “o gerenciamento dos riscos é um meio pelo qual 
a incerteza é sistematicamente gerenciada para aumentar a probabilidade de 
cumprir projetos”. 
Se não houvesse probabilidades de algo dar errado, não haveria a necessi-
dade de um projeto ser gerenciado, portanto, como os riscos são inerentes a 
qualquer atividade, pode-se dizer que todas as técnicas de gestão são técnicas 
17Definição de gerenciamento de riscos
de prevenção de riscos (VERZUH, 2000). Kerzner (2006, p. 238), por sua vez, 
diz que “[...] o gerenciamento de riscos é uma forma organizada de identificar 
e medir os riscos e de desenvolver, selecionar e gerenciar as opções para seu 
controle”. 
A importância do gerenciamento de riscos é considerada por Verzuh (2000) 
o principal trabalho da gestão de projetos, como os riscos de atrasos, de estouro 
de orçamento, de qualidade insuficiente, entre tantos outros riscos que podem 
afetar os objetivos traçados. 
Segundo Vargas (2007) o Project Management Body of Knowledge (PM-
BOK) reconhece seis etapas a serem desenvolvidas no gerenciamento de riscos, 
conforme você verá a seguir. 
1. Planejamento do gerenciamento de riscos: como abordar, planejar e 
executar as atividades de gerenciamento de riscos.
2. Identificação de riscos: quais, onde, quando, por que e como os eventos 
podem impedir, atrapalhar, atrasar ou melhorar o alcance dos objetivos. 
3. Análise qualitativa e quantitativa de riscos: identificar e avaliar os 
controles existentes, determinar consequências, a probabilidade e o 
nível de risco.
4. Planejamento de respostas aos riscos: desenvolver estratégias e planos 
de ação específicos e econômicos, visando aumentar oportunidades e 
reduzir as ameaças aos objetivos.
5. Monitoramento de respostas aos riscos: acompanhamento dos riscos 
identificados, monitoramento dos residuais, identificação de novos, 
execução de planos de respostas e avaliação de sua eficácia.
6. Comunicação implícita: comunicar e consultar as partes em cada etapa 
do processo de gerenciamento de riscos e em relação ao processo como 
um todo. 
Para se planejar um bom gerenciamento de riscos em cada uma dessas 
etapas, deve-se identificar e avaliar estes, reconhecendo as entradas, as técnicas 
e as ferramentas que se tem e, por final, as saídas.
Nas entradas deve se avaliar dois itens em especial:
 � o registro de todos os riscos identificados, juntamente as suas causas-
-raiz, lista de respostas, os proprietários dos riscos, a classificação 
relativa, as listas de prioridades, lista de riscos que necessitam de res-
postas em curto prazo, tendências nas análises qualitativas e lista de 
observações para riscos de baixa prioridade;
Definição de gerenciamento de riscos18
 � o plano de gerenciamento de riscos propriamente dito, que contempla 
os papéis e as responsabilidades, as definições de análise de riscos, 
os intervalos de tempo para revisões e os limites para riscos baixos, 
moderados e altos.
Nas técnicas e ferramentas para planejar respostas aos riscos, o PMBOK 
cita as principais abordagens (VARGAS, 2007).
 � Estratégias para riscos negativos ou ameaças:
 ■ eliminar a causa do problema;
 ■ mitigar ou reduzir a probabilidade ou o impacto desta ameaça;
 ■ transferir, desviar ou alocar a responsabilidade;
 ■ aceitar, não fazer nada.
 � Estratégias para riscos positivos ou oportunidades:
 ■ explorar, adicionar trabalho ou mudar projeto para assegurar a 
oportunidade;
 ■ melhorar, aumentar a probabilidade ou o impacto desta oportunidade;
 ■ compartilhar, criar parcerias para concretizar a oportunidade;
 ■ aceitar, não fazer nada;
Nas saídas temos (VARGAS, 2007):
 � Atualizações no plano de gerenciamento do projeto: podem haver mu-
danças no plano de gerenciamento do projeto, pois pacotes de trabalho 
e recursos podem ser removidos, adicionados ou alocados a outros 
projetos.
 � Atualizações nos documentos do projeto: documentos que envolvam 
riscos identificados podem sofrer alterações nessa fase do projeto.
 � Atualizações nos registros dos riscos: podem ser adicionados o plane-
jamento das respostas aos riscos e, nesta fase, incluem-se:
 ■ Riscos residuais: são aqueles que permanecem após o planejamento 
das respostas aos riscos, devem possuir planos de contingência e 
planos alternativos, além de serem registrados e revisados ao longo 
do projeto.
 ■ Planos de contingência: descrevem as ações que deverão ser tomadas 
se ocorrer uma oportunidade ou ameaça.
 ■ Responsáveis pelas respostas aos riscos: quando o risco ocorrer, o 
responsável do risco deverá implementar o plano de ação planejado 
e aprovado.
19Definição de gerenciamento de riscos
 ■ Riscos secundários: a resposta a um risco pode gerar outros riscos, 
que devem ser registrados e monitorados.
 ■ Gatilhos de riscos: são os eventos que disparam a resposta de 
contingência.
 ■ Contratos: antes de finalizar e assinar um contrato, deve ser feita 
uma análise de riscos e incluir nos termos do contrato as condições 
necessárias para aumentar as oportunidades e eliminar ou mitigar 
os riscos.
 ■ Planos alternativos: são ações específicas a serem executadas se o 
plano de contingência não for eficaz.
 ■ Reservas (para contingência): reservas de cronograma e de custos 
para qualquer alteração no projeto.
É oportuno considerar ainda que os riscos se relacionam entre si, por mais 
que dois riscos possam parecer independentes, a probabilidade da ocorrência 
de um pode mudar caso o outro se materialize; a resposta a um risco pode 
alterar as consequências ou a probabilidade de materialização de outro; ou, 
a resposta a um risco pode limitar a capacidade do projeto responder a outro 
(WEEKS, c2010). 
Sendo assim, o gerenciamento de riscos visa, basicamente, aumentar a 
probabilidade e o impacto de eventos positivos (oportunidades) e diminuir a 
probabilidade e o impacto de eventos negativos (ameaças), tratando de todos 
os aspectosrelevantes em relação aos riscos que podem vir a acontecer em 
um projeto.
Definição de gerenciamento de riscos20
1. O gerenciamento de riscos pode ser 
definido como sendo o processo de 
__________, ________, administrar 
e __________ possíveis eventos ou 
situações, para fornecer razoável 
certeza quanto ao alcance dos 
__________ da organização. 
Qual das alternativas abaixo 
completa corretamente a frase?
a) identificar, monitorar, 
controlar, objetivos.
b) identificar, controlar, 
avaliar, eventos.
c) identificar, avaliar, 
controlar, objetivos.
d) verificar, identificar, 
controlar, riscos.
e) avaliar, identificar, 
verificar, objetivos.
2. É o risco natural, aquele para o qual 
não há ação que a direção possa 
realizar para alterar a probabilidade 
de sua ocorrência ou impacto. A que 
termo do gerenciamento de riscos 
esta definição se refere? 
a) Nível de risco.
b) Risco Inerente.
c) Critério de Risco.
d) Risco Residual.
e) Tolerância ao risco.
3. A definição de risco é formada 
por dois fatores essenciais. 
Quais seriam eles? 
a) Evento e probabilidade.
b) Nível de risco e impacto.
c) Nível de risco e probabilidade.
d) Probabilidade e impacto.
e) Evento e impacto.
4. É uma forma organizada de identificar 
e medir os riscos, de desenvolver, 
selecionar e gerenciar as opções para 
seu controle. Esta é a definição de:
a) identificação de riscos.
b) medição de riscos.
c) desenvolvimento de opções 
de controle de riscos.
d) seleção de opções de 
controle de riscos.
e) gerenciamento de riscos.
5. No planejamento de respostas aos 
riscos, são planejadas diferentes 
estratégias, algumas voltadas para 
os riscos negativos (ameaças) 
e outras aos riscos positivos 
(oportunidades). Fazem parte das 
estratégias para riscos negativos:
a) Eliminar, mitigar, 
transferir e aceitar.
b) Mitigar, transferir, 
compartilhar e aceitar.
c) Eliminar, transferir, 
melhorar e aceitar.
d) Aceitar, transferir, 
eliminar e explorar.
e) Explorar, mitigar, transferir 
e compartilhar.
21Definição de gerenciamento de riscos
BRASIL. Lei nº 12.846, de 1º de agosto de 2013. Brasília, DF, 2013. Disponível em: <http://
www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm>. Acesso em: 17 
jan. 2018.
BRASIL. Tribunal de Contas da União. Gestão de riscos: breve histórico da gestão 
de riscos. Brasília, DF: TCU, 2017. Disponível em: <http://portal.tcu.gov.br/gestao-e-
-governanca/gestao-de-riscos/o-que-e-gestao-de-riscos/breve-historico-da-gestao-
-de-riscos.htm>. Acesso em: 16 jan. 2018.
CURY, A. O código da inteligência: a formação de mentes brilhantes e a busca pela 
excelência emocional e profissional. Rio de Janeiro: Ediouro, 2008.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Gerenciamento de riscos 
corporativos: evolução em governança e estratégia. São Paulo: IBGC, 2017. (Série 
Cadernos de Governança Corporativa, 19).
KERZNER, H. Gestão de projetos: as melhores práticas. 2. ed. Porto Alegre: Bookman, 
2006.
MONTEIRO, M. S. A importância da gestão de riscos. Belém: CONACI, 2017.
RIO GRANDE DO SUL. Tribunal Regional Eleitoral. Resolução TRE-RS 249/2014. Porto Ale-
gre: TRERS, 2014. Disponível em: <http://www.tre-rs.jus.br/index.php?nodo=15858>. 
Acesso em: 09 jan. 2017.
VARGAS, R. Manual prático do plano de projeto: aprenda a construir um plano de projeto 
passo a passo através de exemplos. 3. ed. Rio de Janeiro: Brasport, 2007.
VERZUH, E. MBA compacto: gestão de projetos. Rio de Janeiro: Elsevier, 2000.
WEEKS, B. Determinação de risco em ambientes altamente interativos: como evitar o fator 
Titanic no seu projeto. Newtown Square: PMI, c2010. Disponível em: <https://brasil.
pmi.org/brazil/KnowledgeCenter/Articles/~/media/ADDB399E80F0485E9F2645CB-
0C41AE8F.ashx>. Acesso em: 07 jan. 2017. 
Leituras recomendadas
ROSAMILHA, N. J. Métodos de gerenciamento de riscos em projetos de marketing 
estratégico. In: SIMPÓSIO INTERNACIONAL DE GESTÃO DE PROJETOS, INOVAÇÃO E 
SUSTENTAILIDADE, 4., 2015, São Paulo. Anais... São Paulo: SINGEP, 2015.
SANTOS, P. S. M. Gestão de riscos empresariais: um guia prático e estratégico para 
gerenciar os riscos de sua empresa. Osasco: Novo Século, 2002.
Definição de gerenciamento de riscos22
DICA DO PROFESSOR
O gerenciamento de riscos não é uma prática nova, pois o risco faz parte da rotina de qualquer 
organização desde os tempos remotos. Porém, o tema começou a ganhar relevância no final do 
século XX, em virtude da globalização e do aumento da complexidade de companhias, 
instituições financeiras e organizações do terceiro setor.
No vídeo a seguir, você vai conhecer um pouco da história do gerenciamento de riscos. Assista.
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) "O gerenciamento de riscos pode ser definido como sendo o processo de __________, 
________, administrar e __________ possíveis eventos ou situações, para fornecer 
razoável certeza quanto ao alcance dos objetivos da organização." 
 
Qual das alternativas abaixo completa corretamente a frase?
A) Identificar, monitorar, controlar.
B) Identificar, avaliar, verificar.
C) Identificar, avaliar, controlar.
D) Verificar, identificar, controlar.
E) Avaliar, identificar, monitorar.
2) "É o risco natural, aquele para o qual não há ação que a direção possa realizar para 
alterar a probabilidade de sua ocorrência ou impacto." 
A que expressão do gerenciamento de riscos essa definição se refere?
A) Nível de risco.
B) Risco inerente.
C) Critério de risco.
D) Risco residual.
E) Tolerância ao risco.
3) A definição de risco é formada por dois fatores essenciais. Quais seriam eles?
A) Evento e probabilidade.
B) Nível de risco e impacto.
C) Nível de risco e probabilidade.
D) Probabilidade e impacto.
E) Evento e impacto.
4) "É uma forma organizada de identificar e medir os riscos e de desenvolver, 
selecionar e gerenciar as opções para seu controle." 
Essa é a definição de:
A) identificação de riscos.
B) medição de riscos.
C) desenvolvimento de opções de controle de riscos.
D) seleção de opções de controle de riscos.
E) gerenciamento de riscos.
5) No planejamento de respostas aos riscos, são planejadas diferentes estratégias, 
algumas voltadas para os riscos negativos (ameaças) e outras aos riscos positivos 
(oportunidades). Fazem parte das estratégias para riscos negativos:
A) eliminar, mitigar, transferir e aceitar.
B) mitigar, transferir, compartilhar e aceitar.
C) eliminar, transferir, melhorar e aceitar.
D) aceitar, transferir, eliminar e explorar.
E) explorar, mitigar, transferir e compartilhar.
NA PRÁTICA
A análise de risco ajuda na tomada de decisão dentro de projetos. No caso da incorporação de 
novas funcionalidades a projetos já orçados, o gerenciamento de riscos ajuda a descobrir se os 
benefícios compensam potenciais atrasos ou aumento de custos. A história seguir ilustra essa 
situação.
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
Assista ao vídeo a seguir para saber sobre a origem da palavra risco.
Conteúdo interativo disponível na plataforma de ensino!
Assista ao vídeo a seguir para saber mais sobre conceitos como fatores de risco, ameaças e 
oportunidades e apetite ao risco.
Conteúdo interativo disponível na plataforma de ensino!
Leia a matéria a seguir e verifique alguns conceitos básicos da gestão de riscos.
Conteúdo interativo disponível na plataforma de ensino!
Leia a seguir e veja a função e como surgiu a gestão de riscos.
Conteúdo interativo disponível na plataforma de ensino!
Objetivos estratégicos das organizações
APRESENTAÇÃO
Diante da rapidez com que o mercado está evoluindo, é extremamente necessário que as 
organizações vislumbrem o seu lugar no futuro, e definam objetivos e estratégias que lhes 
garantam chegar lá. As organizações precisam conhecer o ambiente onde estão inseridas para ter 
respostas rápidas diante das alterações de mercado e possuir competênciasessenciais para 
conseguir se manter à frente de seus rivais, identificando as necessidades, ameaças e 
oportunidades. 
 
Para que tudo isso seja possível, é necessário haver planejamento, e é o chamado planejamento 
estratégico – processo contínuo que contempla uma visão do futuro – que ajuda profissionais e 
empresas a organizarem ideias e redirecionarem suas atividades facilitando a tomada de decisão, 
tendo em vista que as empresas estão sempre buscando formas de minimizar os riscos 
envolvidos em suas operações, com a intenção de viabilizar e proteger resultados. Todos esses 
fatores integram o contexto do gerenciamento de riscos, muito importante para as organizações 
de forma geral, especialmente em projetos considerados estratégicos. 
 
Neste Unidade de Aprendizagem, você vai estudar sobre a estratégia organizacional, sobre o 
planejamento estratégico e seu desdobramento no nível tático, operacional e estratégico e, 
também, sobre a aplicação do gerenciamento de riscos em projetos estratégicos.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Definir estratégia organizacional.•
Conceituar o planejamento estratégico nos níveis tático, operacional e estratégico.•
Aplicar o gerenciamento de riscos em projetos estratégicos.•
DESAFIO
O planejamento atua nos diferentes níveis da organização, no estratégico (empresa como um 
todo), tático (departamentos) e operacional (atividades diárias de cada pessoa), onde se deve 
garantir que sejam estipulados objetivos, metas e indicadores de longo, médio e curto prazos, 
interligados entre si. 
 
Essa atuação é extremamente importante, pois irá oportunizar ações mais efetivas, trazendo 
condições de identificar quais os projetos são mais relevantes e conectados aos objetivos da 
empresa. 
 
Acompanhe o caso da seguinte empresa, que não realiza o planejamento de forma plena.
Miguel é empresário no ramo da construção civil. Sua empresa, uma construtora de pequeno 
porte, vem se mantendo nesse mercado a mais de 20 anos. Vejamos alguns detalhes sobre como 
as coisas acontecem na empresa de Miguel: 
INFOGRÁFICO
Diante das transformações que acontecem no ramo empresarial, é muito importante que as 
organizações tenham objetivos claros e estratégias elaboradas para que consigam alcançar sua 
posição esperada no futuro. 
 
Empresas que praticam gestão estratégica conseguem evitar muitos problemas e ter maiores 
chances de sucesso. Para tanto, o conhecimento sobre o funcionamento dos níveis 
organizacionais e suas diferenças é muito importante para ser aplicado. 
 
Confira no Infográfico os três níveis organizacionais de uma empresa, e como ocorre o 
desdobramento do planejamento estratégico em cada uma delas.
CONTEÚDO DO LIVRO
Ao longo do tempo, as organizações empresariais vêm se deparando com desafios cada vez 
maiores, como o aumento da concorrência, inovação constante e mercados segmentados, além 
da exigência do consumidor, que cresce conforme os produtos e serviços se tornam mais 
acessíveis. Tudo isso faz com que o mercado se transforme constantemente, demandando dos 
empresários e suas equipes a tomada de decisões cada vez mais difíceis e complexas, que muitas 
vezes trazem riscos às organizações. 
 
Conhecer o ambiente onde está inserida, ser competitiva e inovadora são alguns dos desafios 
enfrentados pelas organizações, que precisam definir e praticar estratégias que permitam a 
condução adequada de seus projetos (principalmente os mais relevantes), com vistas ao 
atingimento de seus objetivos. E, para tanto, planejamento estratégico e gerenciamento de riscos 
são questões fundamentais. 
 
Neste capítulo, Objetivos estratégicos das organizações, do livro Gerenciamento de riscos, 
você irá aprofundar seus conhecimentos sobre estratégia organizacional, planejamento 
estratégico nos diferentes níveis organizacionais e gerenciamento de riscos em projetos 
estratégicos.  
 
Boa leitura.
GERENCIAMENTO
DE RISCOS
Simone Fraporti 
Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147
F838g Fraporti, Simone.
 Gerenciamento de riscos / Simone Fraporti, Jeanine
 Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre : 
 SAGAH, 2018.
 166 p. ; 22,5 cm
 ISBN 978-85-9502-334-5
 1. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.
 II. Título.
CDU 658.88
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas 
Especialista em Controladoria e Finanças
Objetivos estratégicos 
das organizações
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Definir estratégia organizacional.
 � Conceituar o planejamento estratégico nos níveis tático, operacional 
e estratégico.
 � Aplicar o gerenciamento de riscos em projetos estratégicos.
Introdução
Diante da rapidez com que o mercado está evoluindo, é extremamente 
necessário que as organizações vislumbrem o seu lugar no mercado e 
definam os objetivos e as estratégias para que obtenham sucesso. 
Nesse sentido, as organizações precisam conhecer o ambiente no qual 
estão inseridas para ter respostas rápidas diante das alterações de mer-
cado, e possuir competências essenciais para conseguir se manter à frente 
de seus rivais, identificando necessidades, ameaças e oportunidades.
Neste capítulo, você irá estudar sobre a estratégia organizacional, 
sobre o planejamento estratégico e seu desdobramento nos níveis tático, 
operacional e estratégico, e também sobre a aplicação do gerenciamento 
de riscos em projetos estratégicos. 
Estratégia organizacional
Estratégia é derivada da palavra grega strategia, que na sua origem estava 
estritamente relacionada com a arte de fazer guerra, mas, com o passar do 
tempo, passou a ser mais abrangente, abordando além das áreas militares, as 
áreas econômica, psicológica e política. 
Estratégia significa plano, método, manobras ou estratagemas usados para alcançar 
um objetivo ou resultado específico. 
É por meio de uma estratégia organizacional bem fundamentada e es-
tudada que se alcança os objetivos e metas estipulados. Ter uma estratégia 
organizacional significa estabelecer objetivos, metas e destinar recursos 
(humanos, financeiros, tecnológicos, etc.) para a realização dos fins esta-
belecidos, com o intuito de concretizar a missão da organização e gerar os 
lucros esperados.
No ponto de vista de Las Casas (2001, p. 14) “[...] a estratégia é um meio 
para atingir os fins e os objetivos da organização. No mundo dos negócios, os 
meios correspondem a uma integração de atividades que envolvem o somatório 
dos objetivos departamentalizados.”
Chiavenato (2010) define estratégia como a mobilização para definir linhas 
de ação para a aplicação de todos os recursos da organização, a fim de atingir 
os objetivos e metas em longo prazo.
A estratégia é um meio para atingir os fins e os objetivos da organização.
As estratégias organizacionais estão diretamente relacionadas aos objetivos 
e às metas organizacionais. Seu objetivo básico é mostrar os melhores cami-
nhos e técnicas a serem seguidos para o posicionamento mais adequado da 
organização no mercado e o atingimento dos objetivos e metas estabelecidos. 
Elas devem abranger todos os setores da organização, buscando sempre a 
melhor interação entre as áreas.
As estratégias organizacionais podem influenciar no sucesso ou no fra-
casso de uma organização. Conhecer o mercado e estabelecer estratégias 
adequadas aos objetivos pode proporcionar à organização ótimos resultados, 
uma vez que assim é possível conhecer o máximo possível sobre o mercado e 
Objetivos estratégicos das organizações24
reduzir as incertezas, bem como estar preparado para responder rapidamente 
às mudanças que o mercado exigir.
Quando uma organização define sua estratégia organizacional, ela está 
destinando a sua atividade comercial um valor único que, independentemente 
da concorrência,fará o empreendimento se destacar no mercado pela forma 
com que aloca recursos e designa responsabilidades para a criação de sua 
vantagem competitiva.
As organizações costumam se distinguir umas das outras por meio de 
suas estratégias – um exemplo disso é a estratégia de marketing, relacionada 
à área que tem como responsabilidade principal melhorar o posicionamento 
da organização no mercado no qual está atuando. Uma boa estratégia de 
marketing, com metas bem definidas e elaboradas, pode criar oportunidades 
interessantes, promover o crescimento e a rentabilidade da organização e 
conferir vantagens frente aos seus concorrentes. 
A estratégia organizacional refere-se ao conjunto de decisões, relacio-
nadas às metas e aos objetivos em longo prazo e seu impacto sobre o futuro 
da organização. À medida que implementa sua estratégia, a organização 
precisa rastrear os resultados e monitorar as mudanças que estão ocorrendo, 
tanto no seu ambiente interno como no seu ambiente externo, respondendo 
adequadamente a elas. 
Planejamento estratégico – desdobramento nos 
níveis tático, operacional e estratégico
De acordo com Chiavenato (2010), o planejamento é uma função adminis-
trativa que se distribui entre todos os níveis hierárquicos, nos períodos de 
curto, médio e longo prazo, que podem envolver a organização inteira, um 
departamento ou ainda uma tarefa. Considerando os níveis hierárquicos, 
são definidos três tipos de planejamento, o planejamento estratégico, o 
planejamento tático e o planejamento operacional. Oliveira (2007) define 
estes três tipos de planejamento:
 � Planejamento estratégico: neste plano são definidas as estratégias 
com foco em longo prazo, geralmente feito para um período de 5 a 10 
anos. É o planejamento que proporciona sustentação mercadológica 
para se estabelecer a melhor direção a ser seguida pela organização; é 
de responsabilidade dos níveis mais altos e diz respeito tanto à formu-
25Objetivos estratégicos das organizações
lação de objetivos como à seleção dos cursos de ação a serem seguidos 
para sua consecução, considerando as condições externas e internas à 
organização e sua evolução esperada. 
 � Planejamento tático: as estratégias aqui estão focadas em médio prazo, 
abrange geralmente um período de 3 anos. Tem por objetivo otimizar 
determinada área de resultado e não a organização como um todo. É 
desenvolvido pelos níveis organizacionais intermediários, tendo como 
principal finalidade a utilização eficiente dos recursos disponíveis 
para consecução de objetivos previamente fixados no planejamento 
estratégico.
 � Planejamento operacional: são planos bem mais focados em curto 
prazo, geralmente elaborados para períodos de 3 a 6 meses, correspon-
dendo a planos bem mais detalhados que as etapas anteriores, trazendo 
definições de métodos, processos e sistemas a serem utilizados para que 
a organização possa alcançar os objetivos globais. Pode ser considerado 
como a formalização, principalmente por meio de documentos escritos, 
das metodologias de desenvolvimento e implantação estabelecida. É 
elaborado pelos níveis organizacionais inferiores, com foco básico nas 
atividades rotineiras da organização. 
Os três tipos de planejamento devem ser trabalhados continuamente e 
em conjunto. Uma vez estabelecidos, trabalham em busca da direção da 
adequação das exigências do mercado, visando criar vantagem competitiva 
por meio do aproveitamento das oportunidades e minimização dos riscos. 
Na Figura 1, você pode observar uma ilustração do conceito dos três níveis 
de planejamento.
Objetivos estratégicos das organizações26
Figura 1. Planejamentos estratégico, tático e operacional.
Fonte: Bezerra (2014).
Planejamento estratégico 
O planejamento estratégico demonstra a visão futura da organização, é aquele 
plano que define as estratégias da organização em longo prazo. Faz parte 
desse planejamento a definição de visão, missão e valores da organização. 
Também colabora com a concepção dos objetivos e metas e da análise dos 
fatores internos e externos da companhia. 
O planejamento estratégico é o mais amplo dos três tipos de planejamento, 
pois abrange toda a organização. É um processo gerencial que possibilita 
estabelecer o rumo a ser seguido pela organização, com vistas a obter um 
nível de otimização na relação da organização com o seu ambiente.
Este processo deve ser permanente e contínuo, pois é por meio dele que 
a organização se mobiliza para atingir o sucesso e construir seu futuro, 
antecipando-se e prevendo eventuais acontecimentos do mercado, sempre 
considerando seu ambiente atual e futuro (SAMPAIO, 2004). O planejamento 
estratégico visa à racionalidade das tomadas de decisão e à alocação dos 
recursos organizacionais da forma mais eficiente possível, e as decisões desse 
nível são tomadas pela alta direção da organização.
27Objetivos estratégicos das organizações
Segundo Oliveira (2007), o planejamento estratégico é uma das formas 
mais eficientes de se ter gestão do próprio negócio, pois, por meio dele, as 
 organizações podem delinear um futuro esperado e traçar maneiras para 
alcançá-lo. Há, também, a possibilidade de mudar os planos, caso seja ne-
cessário, a fim de suprir as necessidades do consumidor, do colaborador e 
do mercado. 
O planejamento estratégico, de acordo com Chiavenato (2010), é um pro-
cesso organizacional compreensivo de adaptação por aprovação, tomada de 
decisão e avaliação. Responde questões básicas, como por que a organização 
existe, o que ela faz e como faz, tendo como resultado desse trabalho um plano 
que guiará a organização por um prazo de 3 a 5 anos. 
Ainda, segundo o autor (CHIAVENATO, 2010), o planejamento estratégico 
apresenta cinco características fundamentais: 
1. adaptação da organização a um ambiente em constante mudança; 
2. orientação para o futuro, pois sua visão é de longo prazo; 
3. envolvimento da organização como um todo; 
4. processo de construção de consenso; 
5. forma de aprendizagem organizacional. 
Na visão de Oliveira (2007), o planejamento estratégico só é eficiente se 
não for utópico, e os objetivos traçados forem alcançáveis, não esquecendo 
que é um processo dinâmico, que deve ser necessariamente flexível para 
conseguir incorporar as mudanças imprevistas do ambiente.
As organizações, de uma forma geral, estabelecem suas ações e decisões 
estratégicas, ainda que de maneira informal. Entretanto, quando esse pro-
cesso é bem estruturado e com metodologias bem definidas, os resultados 
são bem mais compensadores. O processo de formulação e implementação 
de estratégias organizacionais representa um dos aspectos mais importantes 
que os administradores têm de enfrentar, pois se espera que o processo seja 
desenvolvido da melhor maneira possível, resultando na criação de vantagem 
competitiva e na otimização dos resultados da organização.
Algumas vezes, contudo, a implementação do planejamento estratégico 
gera mudanças na cultura organizacional, entre elas mudar conceitos, técni-
cas, controle e avaliação de planejamento. Conhecer a própria organização, 
identificando suas potencialidades e limitações, é condição essencial para 
elaborar um bom planejamento estratégico. 
Objetivos estratégicos das organizações28
Planejamento tático 
O planejamento tático é a elaboração do ato, segundo Chiavenato (2010), 
é aquele que faz a intermediação entre o nível estratégico e o operacional. 
Geralmente, o planejamento tático é projetado em médio prazo, e abrange 
cada unidade da organização, ele traduz e interpreta as decisões do planeja-
mento estratégico e os transforma em planos concretos dentro das unidades 
da organização.
Cada unidade, em específico, procura atingir seus próprios objetivos, que 
variam desde otimizar determinada área de resultado até utilizar de modo 
eficiente os recursos disponíveis. Também integra a estrutura da organiza-
ção para fazer frente aos desafios estratégicos, desdobrando os objetivos da 
organização em objetivosdepartamentais. 
No geral, os integrantes desse nível devem se apropriar da estratégia 
para desdobrá-la em ações concretas nas suas áreas e processos ou sub-
processos de atuação. É o nível da gerência média ou intermediária. Você 
pode considerar que o plano tático tem por finalidade especificar de que 
modo o seu setor, processo ou projeto ajudará a alcançar os objetivos gerais 
da organização.
Por outro lado, o planejamento tático é o conjunto de tomada deliberada 
e sistemática de decisões sobre empreendimentos mais limitados, de prazos 
médios, níveis de hierarquia mais baixos e menor amplitude na organização. É 
voltado para um futuro próximo, de forma complementar ao plano estratégico. 
É racional em suas decisões e está relacionado à mudança e inovação. 
Basicamente, o plano tático atua como uma técnica de coordenação de 
atividades, que pode ser contínua, cíclica ou iterativa.
Planejamento operacional 
O planejamento operacional, na definição de Chiavenato (2010), é a ação 
na prática, é a formalização dos objetivos e dos procedimentos, ou seja, a 
implementação das ações previamente desenvolvidas e estabelecidas pelos 
níveis de gerência – nível tático. 
Sua principal finalidade é desdobrar os planos táticos de cada departamento 
em planos operacionais para cada tarefa. É de conhecimento mútuo que o 
planejamento operacional possui um curto alcance (o menor dos três níveis 
de planejamento), estando diretamente ligado à área técnica de execução de 
um determinado plano de ação.
29Objetivos estratégicos das organizações
O planejamento operacional ajuda a colocar em prática os planos táticos 
de cada setor da organização, criando condições para a realização mais ade-
quada dos trabalhos diários que são executados dentro da organização. Uma 
de suas principais características é a formalização, principalmente por meio 
das metodologias estabelecidas e formalmente designadas em documentos 
corporativos. 
É importante lembrar que, para o planejamento operacional ser bem-
-sucedido, ele deve conter: 
 � todos recursos necessários para sua implantação;
 � os procedimentos básicos a serem adotados;
 � os resultados que são esperados;
 � os prazos para o cumprimento das tarefas; 
 � os responsáveis pela sua execução.
O nível operacional é o nível em que estão todos os colaboradores que não 
participam dos processos de tomada de decisão nos níveis estratégicos ou 
táticos. As metas, os indicadores de desempenho organizacional e as recom-
pensas elaboradas no nível tático são aplicadas na prática no nível operacional 
(OLIVEIRA, 2007).
Gerenciamento de riscos em projetos 
estratégicos
Quando a organização está com suas estratégias estruturadas e a aplicação 
dos seus recursos (humanos, financeiros, tecnológicos, materiais) definida e 
alinhada, é o momento de definir seus projetos estratégicos – aqueles mais 
importantes, capazes de causar maior impacto no resultado ou no alcance 
dos objetivos da organização. Os projetos estratégicos são planejados para 
adicionar novas competências que foram identificadas como essenciais para 
atender integralmente os objetivos da organização.
No momento em que a organização define os projetos estratégicos que 
serão explorados, inicia o processo de gerenciamento de riscos, por meio do 
qual serão consolidadas as principais informações do projeto, que servirão 
de base para o seu acompanhamento e monitoramento.
Afinal, o sucesso de uma organização está cada vez mais dependente de 
um gerenciamento de riscos eficaz, pois se na atual conjuntura de mercado 
Objetivos estratégicos das organizações30
a organização não gerenciar seus riscos, existem grandes chances de ir ao 
fracasso. O gerenciamento de riscos identifica a probabilidade e o impacto 
que os riscos causam ao projeto, possibilitando que ações sejam tomadas para 
garantir o sucesso do projeto. 
Sempre haverá algum tipo de risco em projetos, um evento indesejável ou 
não programado que está associado ao trabalho que será desenvolvido, e a 
organização deve estar preparada para lidar com a probabilidade de o evento 
ocorrer e os impactos deste evento.
O dirigente máximo da organização é o principal responsável pelo esta-
belecimento da estratégia da organização e por estruturar o gerenciamento 
de riscos. São os executivos da organização que devem avaliar os riscos no 
âmbito da organização como um todo e desenvolver uma visão de riscos de 
forma consolidada. Os gerentes, por sua vez, são os responsáveis pela ava-
liação dos riscos no âmbito dos processos e das atividades de suas unidades. 
Cada um dos riscos mapeados deve estar associado a um agente responsável 
(MONTEIRO, 2017).
Segundo o PMBOK (VARGAS, 2007), o gerenciamento de riscos do 
projeto inclui os processos de identificação, análise, monitoramento, controle 
e planejamento. Os objetivos do gerenciamento de riscos em um projeto são 
aumentar a probabilidade e o impacto dos eventos positivos e reduzir a pro-
babilidade e o impacto dos eventos negativos do projeto. 
O PMBOK lista alguns fatores que, segundo Rosamilha (2015), são críticos 
para o sucesso da gestão de riscos em projetos.
 � Reconhecer o valor do gerenciamento de riscos: maximiza o retorno 
do investimento para a organização e potencializa os benefícios aos 
interessados no projeto.
 � Responsabilidade pelos riscos: deve haver comprometimento e res-
ponsabilidade, a gestão dos riscos é de responsabilidade de todos.
 � Comunicação: todos os interessados no projeto devem ser proativos e 
ter participação efetiva nas tomadas de decisões.
 � Comprometimento organizacional: os riscos devem estar alinhados 
com os objetivos e valores da organização.
 � Esforço do risco dimensionado no projeto: as atividades de riscos 
do projeto devem ser condizentes com o valor do projeto e seu nível 
de importância.
 � Integração com gestão de projetos: gestão de riscos não existe sozinha, 
ela deve estar alinhada fortemente com o planejamento.
31Objetivos estratégicos das organizações
Para um melhor gerenciamento do processo de análise de risco as seguintes 
atividades são recomendadas: 
 � planejamento do gerenciamento de riscos;
 � identificação de riscos;
 � análise qualitativa de riscos; 
 � análise quantitativa de riscos;
 � planejamento de respostas a riscos;
 � monitoramento e controle de riscos.
O planejamento do gerenciamento de riscos tem a função de definir como 
abordar e executar as atividades de gerenciamento de riscos em um determi-
nado projeto. Um planejamento cuidadoso e explícito aumenta a possibilidade 
de sucesso dos projetos, pois define a metodologia a ser usada, as funções/
responsabilidades, o orçamento, as categorias de risco, a definição da escala 
de probabilidade e impacto dos riscos, a matriz de probabilidade e impacto, 
os formatos de relatórios, etc.
Como principal funcionalidade do planejamento podemos considerar a 
sua capacidade de garantir que todas as possíveis falhas sejam previstas e 
documentadas, para que seus impactos no projeto sejam estudados, o que 
permite a identificação dos riscos.
Na visão de Santos (2002), antes de iniciar a execução de um projeto é 
necessário planejar, identificar e qualificar os riscos, ou seja, primeiro se faz 
o planejamento do gerenciamento de riscos, depois se identificam todos os 
riscos do projeto e, a partir daí se faz a análise qualitativa e quantitativa dos 
riscos, como você pode ver a seguir.
 � Análise qualitativa: é a priorização dos riscos, dar atenção aos que 
tem grande probabilidade de ocorrer ou que podem causar grandes 
impactos ao projeto.
 � Análise quantitativa: demonstra o impacto de tempo e dinheiro que 
os riscos causam ao projeto, fornecendo números, dias, horas e valores 
que a empresa terá caso ocorram os riscos.
O planejamento de respostas aos riscos, conforme orientações contidas no 
guia PMBOK (VARGAS, 2007), é o processo de encontrar as formas possíveis 
de reduzir ou eliminar a ameaça e aumentar as oportunidades.Deve ser feito 
para cada risco que for identificado e classificado nos processos anteriores. 
Objetivos estratégicos das organizações32
É necessário que o plano de respostas ao risco tenha um responsável definido 
e uma data limite para apresentar a solução. 
A etapa seguinte, monitoramento e controle dos riscos, visa implementar 
o plano de respostas aos riscos, e tem como objetivo melhorar a eficiência da 
abordagem dos riscos no decorrer de todo o ciclo de vida do projeto, procurando 
otimizar continuamente todas as suas fases.
Passadas as fases de planejar, identificar e qualificar os riscos é que se inicia 
a execução do projeto. O sucesso do projeto virá por meio do gerenciamento 
constante, tanto do projeto como dos riscos envolvidos, feito durante toda a 
vida do projeto.
1. A _____________ organizacional 
refere-se ao conjunto de 
__________, relacionadas a 
metas e objetivos de longo 
prazo e seu ___________ 
sobre o futuro da organização. 
Qual alternativa completa 
corretamente a frase? 
a) cultura, decisões, impacto.
b) estratégia, decisões, impacto.
c) estratégia, análises, 
planejamento.
d) cultura, decisões, impacto.
e) estratégia, decisões, 
planejamento.
2. No que se refere ao planejamento 
estratégico, marque a alternativa 
correta. 
a) Suas estratégias são focadas 
no curto prazo e são de 
responsabilidade dos níveis 
mais altos da organização.
b) Suas estratégias são focadas 
médio prazo e são de 
responsabilidade dos níveis 
mais baixos da organização.
c) Suas estratégias são focadas 
no longo prazo e são de 
responsabilidade dos níveis 
mais baixos da organização.
d) Suas estratégias são focadas 
no longo prazo e são de 
responsabilidade dos níveis 
mais altos da organização.
e) Suas estratégias são 
focadas no médio prazo e 
são de responsabilidade 
dos níveis intermediários 
da organização. 
3. Segundo o PMI, alguns fatores são 
críticos para o sucesso da gestão 
de riscos em projetos. Um deles é 
Comprometimento Organizacional. 
Qual opção a seguir traz a definição 
correta de comprometimento 
organizacional? 
a) Maximiza o retorno do 
investimento para a organização 
e potencializa os benefícios 
aos interessados no projeto.
b) Deve haver comprometimento 
e responsabilidade, a 
gestão dos riscos é de 
responsabilidade de todos.
33Objetivos estratégicos das organizações
c) Todos os interessados no 
projeto devem ser proativos 
e ter participação efetiva 
nas tomadas de decisões.
d) Os riscos devem estar 
alinhados com os objetivos 
e valores da organização.
e) As atividades de riscos do 
projeto devem ser condizentes 
com o valor do projeto e 
seu nível de importância.
4. Qual alternativa representa uma 
característica do gerenciamento 
de riscos? 
a) Mostrar os melhores caminhos 
e técnicas a serem seguidos 
para o melhor posicionamento 
da organização no mercado 
e atingimento dos objetivos 
e metas estabelecidos.
b) Identificar a probabilidade 
e o impacto que os riscos 
causam ao projeto.
c) Tem por finalidade especificar de 
que modo o seu setor, processo 
ou projeto ajudará a alcançar os 
objetivos gerais da organização.
d) Sua principal finalidade é 
desdobrar os planos táticos 
de cada departamento 
em planos operacionais 
para cada tarefa. 
e) Demonstrar a visão futura da 
organização, é aquele plano 
que define as estratégias de 
longo prazo da organização.
5. Considerando os níveis hierárquicos, 
são definidos três tipos de 
planejamento: o planejamento 
estratégico, o planejamento tático 
e o planejamento operacional. 
Entre as opções a seguir, selecione 
a que está correta. 
a) No nível operacional, o 
planejamento é estratégico 
e considera o ambiente 
interno e externo na 
definição dos objetivos.
b) No nível estratégico, o 
planejamento envolve a 
determinação de objetivos 
departamentais e define 
as atividades rotineiras 
da organização.
c) No nível intermediário, o 
planejamento é tático e trata 
da alocação dos recursos.
d) No nível operacional, o 
planejamento desdobra 
os planos estratégicos 
em operacionais.
e) No nível intermediário, é 
definida a melhor direção a ser 
seguida pela organização.
Objetivos estratégicos das organizações34
BEZERRA, F. Planejamento estratégico, tático e operacional. [S.l.]: Portal Administração, 
2014. Disponível em: <http://www.portal-administracao.com/2014/07/planejamento-
-estrategico-tatico-operacional.html>. Acesso em: 17 jan. 2018.
CHIAVENATO, I. Administração nos novos tempos. 2. ed. Rio de Janeiro: Campus, 2010. 
LAS CASAS, A. L. Plano de marketing para micro e pequena empresa. 2. ed. São Paulo: 
Atlas, 2001.
MONTEIRO, M. S. A importância da gestão de riscos. Belém: CONACI, 2017.
OLIVEIRA, D. P. R. Planejamento estratégico: conceitos, metodologia e práticas. 24. ed. 
São Paulo: Atlas, 2007.
ROSAMILHA, N. J. Métodos de gerenciamento de riscos em projetos de marketing 
estratégico. In: SIMPÓSIO INTERNACIONAL DE GESTÃO DE PROJETOS, INOVAÇÃO E 
SUSTENTAILIDADE, 4., 2015, São Paulo. Anais... São Paulo: SINGEP, 2015.
SAMPAIO, C. H. Planejamento estratégico. 4. ed. Porto Alegre: SEBRAE/RS, 2004.
SANTOS, P. S. M. Gestão de riscos empresariais: um guia prático e estratégico para 
gerenciar os riscos de sua empresa. Osasco: Novo Século, 2002.
VARGAS, R. Manual prático do plano de projeto: aprenda a construir um plano de projeto 
passo a passo através de exemplos. 3. ed. Rio de Janeiro: Brasport, 2007.
35Objetivos estratégicos das organizações
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
 
Conteúdo:
DICA DO PROFESSOR
Veja Nesta Dica do Professor  o que são objetivos estratégicos e de que maneira podem 
impactar na organização.
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) A _____________ organizacional refere-se ao conjunto de ___________ relacionadas 
às metas e objetivos de longo prazo e seu ___________ sobre o futuro da organização. 
Qual das alternativas abaixo completa corretamente a frase?
A) cultura, decisões, impacto
B) estratégia, decisões, impacto
C) estratégia, análises, planejamento
D) cultura, decisões, impacto
E) estratégia, decisões, planejamento
2) No que se refere ao planejamento estratégico, é correto afirmar:
A) Suas estratégias são focadas no curto prazo e são de responsabilidade dos níveis mais altos 
da organização.
B) Suas estratégias são focadas no médio prazo e são de responsabilidade dos níveis mais 
baixos da organização.
C) Suas estratégias são focadas no longo prazo e são de responsabilidade dos níveis mais 
baixos da organização.
D) Suas estratégias são focadas no longo prazo e são de responsabilidade dos níveis mais altos 
da organização.
E) Suas estratégias são focadas no médio prazo e são de responsabilidade dos níveis 
intermediários da organização.
3) Segundo o PMI, alguns fatores são críticos para o sucesso da gestão de riscos em 
projetos. Um deles é comprometimento organizacional. Qual das opções abaixo traz a 
definição correta de comprometimento organizacional?
A) Maximiza o retorno do investimento para a organização e potencializa os benefícios aos 
interessados no projeto.
B) Deve haver comprometimento e responsabilidade. A gestão dos riscos é de 
responsabilidade de todos.
C) Todos os interessados no projeto devem ser proativos e ter participação efetiva nas 
tomadas de decisões.
D) Os riscos devem estar alinhados com os objetivos e os valores da organização.
E) As atividades de riscos do projeto devem ser condizentes com o valor do projeto e seu 
nível de importância.
4) Qual das opções abaixo representa uma característica do gerenciamento de riscos?
A) Mostrar os melhores caminhos e técnicas a serem seguidos para o melhor posicionamento 
da organização no mercado e atingimento dos objetivos e metas estabelecidos.
B) Identificar a probabilidade e o impactoque os riscos causam ao projeto.
C) Tem por finalidade especificar de que modo o seu setor, processo ou projeto ajudará a 
alcançar os objetivos gerais da organização.
D) Sua principal finalidade é desdobrar os planos táticos de cada departamento em planos 
operacionais para cada tarefa.
E) Demonstrar a visão futura da organização é aquele plano que define as estratégias de longo 
prazo da organização.
5) Considerando os níveis hierárquicos, são definidos três tipos de planejamento: 
estratégico, tático e operacional. Entre as opções abaixo, selecione a que está correta:
A) No nível operacional, o planejamento é estratégico e considera os ambientes interno e 
externo na definição dos objetivos.
B) No nível estratégico, o planejamento envolve a determinação de objetivos departamentais 
e define as atividades rotineiras da organização.
C) No nível intermediário, o planejamento é tático e trata da alocação dos recursos.
D) No nível operacional, o planejamento desdobra os planos estratégicos em operacionais.
E) No nível intermediário, é definida a melhor direção a ser seguida pela organização.
NA PRÁTICA
As estratégias organizacionais têm como objetivo básico mostrar os melhores caminhos e 
técnicas a serem seguidos, resultando em um melhor posicionamento da organização no 
mercado e atingimento dos objetivos e metas estabelecidos. 
 
Acompanhe a situação de Rafael, que assumiu o gerenciamento da fábrica de louças, fundada 
por seu pai, e que alguns meses após a sucessão, percebeu alguns problemas:
- A empresa não tinha um foco definido, realizava operações muito variadas, incluindo desde a 
fabricação de louças até a sua personalização, aceitando pedidos de qualquer tipo de peça, em 
qualquer quantidade e para qualquer prazo. 
- Os setores estavam desconectados, cada área realizava suas atividades de maneira isolada, sem 
saber dos impactos e das necessidades das demais áreas. Tudo acontecia com uma considerável 
dose de improviso, pois a empresa tomava decisões apenas no curto prazo, e somente reagia 
à demanda que recebia (não prospectava negócios), levando a uma oscilação muito grande na 
produção, que ficava sobrecarregada em alguns momentos, e ociosa em outros.
Frente a esse cenário, Rafael estava chegando a algumas preocupantes conclusões: sua empresa 
estava sem um rumo definido (a pergunta "onde queremos chegar" parecia não ter resposta) e o 
desempenho do negócio estava muito distante das expectativas de Rafael (mas isso baseado 
apenas na questão do lucro, pois sobre os demais fatores, como produtividade e satisfação de 
clientes, não havia informações disponíveis para avaliação). 
 
Desejando mudar essa situação, Rafael decidiu "colocar a casa em ordem", partindo pela 
construção do planejamento estratégico da empresa, para que fossem definidos objetivos, 
indicadores e metas que guiassem o negócio e as pessoas que dele faziam parte, colaborando 
para a definição de ações desde o curto até o longo prazo. 
 
Rafael, então, formou uma equipe com integrantes de diversos setores e cargos, e juntos eles 
trataram do planejamento e de seu desmembramento nos três níveis organizacionais: estratégico, 
tático e operacional.
Conteúdo interativo disponível na plataforma de ensino!
 
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
Planejamento Estratégico, Tático e Operacional – O Guia completo para sua empresa 
garantir os melhores resultados!
O presente artigo esclarece de forma didática e simples os seguintes temas: planejamento 
estratégico, planejamento tático, planejamento operacional, “The Numbers Game” – 
Transformando o Planejamento Estratégico e Tático e Operacional em números.
Conteúdo interativo disponível na plataforma de ensino!
Gerenciamento de riscos no processo de gestão estratégica de uma cooperativa médica
O artigo tem como objetivo analisar o gerenciamento dos riscos como parte do processo de 
gestão estratégica de uma cooperativa médica, de modo a apresentar melhorias no atual modelo 
à luz das melhores práticas em gestão de projetos.
Conteúdo interativo disponível na plataforma de ensino!
Gestão de Riscos em Projetos
Explicação de forma bastante didática, comparando o escopo de um projeto a uma viagem de 
automóvel, onde cada risco existe uma ação de mitigação.
Conteúdo interativo disponível na plataforma de ensino!
Níveis de planejamento
Explanação dos três níveis de planejamento - estratégico, tático e operacional.
Conteúdo interativo disponível na plataforma de ensino!
Projetos estratégicos: tire aqui todas as suas dúvidas
O artigo abrange os tipos de projetos estratégicos quanto à classificação de acordo com a 
natureza da intervenção a que eles se propõem e outras informações.
Conteúdo interativo disponível na plataforma de ensino!
Os riscos e oportunidades (Matriz de 
Risco – MR e Matriz de Oportunidades – 
MO)
APRESENTAÇÃO
O gerenciamento de riscos é o processo que envolve a identificação, a avaliação e a gestão de 
potenciais situações ou eventos que podem alavancar ou atrapalhar o alcance dos objetivos de 
uma organização.
Nesta Unidade de Aprendizagem, você vai estudar a contextualização do cenário de riscos e 
oportunidades, a análise de risco através da Matriz de Risco, e a análise de oportunidades 
através da Matriz de Oportunidade. 
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Identificar a contextualização do cenário de riscos e oportunidades.•
Reconhecer a análise de risco através da Matriz de Risco (MR).•
Descrever a análise de oportunidades através da Matriz de Oportunidades (MO).•
DESAFIO
A análise de oportunidades e ameaças de uma organização pode ser feita através da utilização de 
várias técnicas ou ferramentas, entretanto, entre as mais conhecidas está a Matriz SWOT ou 
FOFA, que reúne as forças, fraquezas, oportunidades e ameaças em um esquema gráfico único. 
Conteúdo interativo disponível na plataforma de ensino!
 
Sua tarefa é elaborar a Matriz SWOT dessa organização, a fim de auxiliar a administração da 
empresa no seu gerenciamento de riscos.
 
INFOGRÁFICO
Um risco é um evento ou uma situação que pode se concretizar, ou não e, caso aconteça, pode 
provocar efeitos positivos ou negativos em um projeto, área, processo ou organização. Quando 
um risco traz impactos negativos, ele é chamado de ameaça; quando traz efeitos positivos, é 
chamado de oportunidade.
Veja, no Infográfico a seguir, a contextualização do cenário de riscos e oportunidades.
CONTEÚDO DO LIVRO
A gestão de riscos é utilizada nas organizações como uma ferramenta de integração, onde cada 
área trabalha para identificar, priorizar e tratar os fatores de risco que podem se concretizar 
como ameaças ou oportunidades.
O propósito do gerenciamento de riscos é estabelecer uma gestão coordenada, partindo de uma 
visão departamental ou setorial, a fim de atingir uma visão holística da organização, contando 
com o envolvimento e a experiência de todos os interessados nos objetivos da empresa.
No capítulo Os riscos e oportunidades: Matriz de Risco (MR) e Matriz de Oportunidades (MO), 
da obra Gerenciamento de riscos, você entenderá a a contextualização do cenário de riscos e 
oportunidades, a análise de riscos através da Matriz de Risco e a análise de oportunidades 
através da Matriz de Oportunidade.
GERENCIAMENTO 
DE RISCOS 
Jeanine Barreto
Os riscos e oportunidades 
(matriz de risco – MR e matriz 
de oportunidades – MO)
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Identificar a contextualização do cenário de riscos e oportunidades.
 � Reconhecer a análise de risco por meio da matriz de risco (MR).
 � Descrever a análise de oportunidades por meio da matriz de opor-
tunidades (MO).
Introdução
O gerenciamento de riscos é o processo que envolve a identificação, 
a avaliação e a gestão de potenciaissituações ou eventos que podem 
alavancar ou atrapalhar o atingimento dos objetivos de uma organização.
Neste capítulo, você irá estudar a contextualização do cenário de riscos 
e oportunidades, a análise de risco por meio da matriz de risco (MR) e a 
análise de oportunidades pela matriz de oportunidade (MO).
Contextualização do cenário de riscos e 
oportunidades
Um risco é um evento ou uma situação incerta que, caso ocorra, pode provocar 
um impacto positivo ou negativo em algum projeto, área ou processo de uma 
organização. Os riscos podem ser consequência de várias causas e trazer 
vários tipos de impactos. As condições que favorecem o acontecimento dos 
riscos podem incluir aspectos do ambiente organizacional, que vão desde os 
empregados até as práticas adotadas pela empresa e a sua dependência de agen-
tes externos ao contexto (INSTITUTO BRASILEIRO DE GOVERNANÇA 
CORPORATIVA, 2007). 
O gerenciamento de riscos em uma organização envolve o processo de 
planejamento, organização, direção e controle de todos os recursos, sejam 
humanos ou materiais, com o propósito de tornar mínimos, eliminar, ou ainda 
aproveitar os riscos e as incertezas que cercam o ambiente organizacional.
É importante lembrar que incerteza é algo que gera dúvidas e que não se pode afirmar 
que vai realmente acontecer ou existir. Nesse sentido, um risco deve ser sempre 
encarado como algo cuja existência ou acontecimento são imprecisos, pois não se 
pode afirmar com clareza se irão se concretizar.
Os eventos possíveis de acontecer no contexto organizacional são sempre in-
certos, e podem trazer impactos negativo, positivo ou os dois simultaneamente.
Aqueles eventos que acarretam um impacto negativo representam as ame-
aças, algo que pode diminuir ou eliminar um valor já agregado ou, ainda, 
acabar com a possibilidade de agregar valor a alguma coisa.
Quando os eventos podem acarretar um impacto positivo, eles representam 
as oportunidades, ou seja, algo que pode influenciar de forma favorável no 
atingimento de algum objetivo, preservar valor agregado ou, ainda, agregar 
valor a algo.
No gerenciamento de riscos, o trabalho é voltado para aumentar a probabi-
lidade de os impactos positivos se efetivarem e para diminuir a probabilidade 
de os impactos negativos acontecerem. Nesse sentido, o gerenciamento de 
riscos organizacionais traz a possibilidade de a gestão tratar as incertezas 
de forma eficiente e eficaz, na tentativa de diminuir ou eliminar as ameaças 
e aumentar as chances de uma oportunidade acontecer. O gerenciamento de 
riscos, para ser considerado efetivo, deve atender aos seguintes princípios 
básicos (BRASIL, 2013):
 � ter a capacidade de proteger a organização;
 � conseguir agregar valor para a organização;
 � fazer parte de todos os processos organizacionais;
Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)38
 � ser considerado no momento da tomada de decisão;
 � abordar de forma explícita as incertezas e as suas possibilidades;
 � ser organizado, estruturado e sistemático;
 � ser baseado em todas as informações disponíveis da equipe;
 � estar alinhado ao contexto interno, ao ambiente externo da organização 
e ao perfil de risco organizacional;
 � considerar todos os fatores humanos e culturais envolvidos nos processos;
 � acontecer de forma transparente e incluindo todos os envolvidos;
 � ser dinâmico, interativo e capaz de reagir e se adaptar a quaisquer 
mudanças que possam acontecer;
 � permitir que os processos organizacionais possam melhorar de forma 
contínua.
O gerenciamento de riscos é uma atividade que pretende fazer a gestão 
das ameaças e das oportunidades que possam afetar, de alguma forma, a 
agregação ou a preservação de valor em algum aspecto organizacional. Ele é 
um processo administrativo que acontece de forma contínua, sendo conduzido 
pela gestão da organização, mas contando com a efetiva participação de todos 
os empregados.
Durante o gerenciamento de riscos, são identificadas todas as possibilidades 
de eventos, que possam afetar a organização de alguma forma, e idealizadas 
estratégias que deverão ser utilizadas caso esses eventos se concretizem.
Gerenciar os riscos de uma organização é uma atividade que possui alguns 
objetivos, além de tentar diminuir a chance de ameaças e aumentar a chance 
de as oportunidades acontecerem (INSTITUTO BRASILEIRO DE GOVER-
NANÇA CORPORATIVA, 2007):
 � Alinhar a tendência que a organização tem aos riscos com as estratégias 
que foram estabelecidas.
 � Fortalecer as decisões que são tomadas como meio de resposta a cada 
um dos riscos.
 � Reduzir os imprevistos e as perdas da organização, como custos e 
prejuízos.
 � Identificar e gerenciar riscos que possam afetar diversas áreas da or-
ganização ao mesmo tempo, pois quando o gerenciamento de riscos é 
feito de forma efetiva, é possível que as respostas obtidas por meio da 
aplicação das estratégias atuem de forma a diminuir impactos negativos 
que possam estar relacionados entre si, mesmo ocorrendo em áreas 
diferentes da empresa.
39Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)
 � Aproveitar as oportunidades fazendo sua correta identificação e agindo 
de forma antecipada para possibilitar que elas aconteçam de fato.
 � Identificar corretamente os riscos e as oportunidades a fim de otimizar 
a utilização de capital na tomada de decisão.
Quando os riscos tiverem a oportunidade de ser constatados e analisados 
pela equipe de gestão de riscos, e forem traçadas as estratégias que servirão 
de respostas a eles caso se concretizem, você poderá dizer que os riscos foram 
identificados. Assim, esses riscos podem ser gerenciados de forma proativa e 
preventiva. Por outro lado, caso os riscos não tiverem sido constatados, nem 
analisados pela equipe responsável pela gestão de riscos, eles serão conside-
rados como não identificados.
É importante ressaltar que, à medida em que os fatores de risco de uma or-
ganização são identificados, a oportunidade de distinguir quais podem se tornar 
oportunidades vão aparecendo, por meio da transformação de um evento que 
poderia ser ruim, em algo que traga um impacto positivo para a empresa. Nesse 
sentido, quando um fator de risco passa despercebido, perde-se a chance de evitar 
ameaças e de aproveitar oportunidades e, também, de tomar decisões acerca do 
fator de risco, como optar por tentar evitar o risco e seu impacto negativo, ou 
correr o risco, a fim de tentar aproveitar o impacto positivo de uma oportunidade.
Tanto para os riscos identificados como para os riscos não identificados, 
é necessário fazer reservas de capital, pessoal e material, para que possam 
ser utilizados caso os riscos se efetivem. Para os riscos identificados, esse 
dimensionamento poderá ser elaborado de uma forma mais parecida com a 
realidade, ao passo que os riscos não identificados, normalmente, só podem 
ser gerenciados no momento em que acontecem, sem permitir antecipação 
na tomada de decisão. Se os riscos não puderem ser conhecidos pela organi-
zação, ficará evidente que o gerenciamento de riscos não está acontecendo, 
pois identificar os riscos é uma das partes fundamentais da gestão de riscos.
As organizações e as pessoas que fazem parte dela adotam diferentes 
posturas em relação aos riscos, e isso pode influenciar no modo como eles 
vão responder às estratégias adotadas. Por isso, é importante que os riscos 
sejam comunicados a todos, e que a abordagem esperada seja divulgada de 
forma ampla, aberta e transparente. O gerenciamento de riscos vai garantir o 
estabelecimento de uma postura única da empresa para o seu enfrentamento, 
evitando, assim, a adoção de condutas diferenciadas individualmente, que 
pode trazer problemas, como o desalinhamento das ações e atuações em 
benefício próprio, expondo a empresa a ameaças que possam representar 
oportunidades pessoais. 
Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)40
Para ter sucesso e atingir seus objetivos,a organização deve se manter 
comprometida com o gerenciamento de riscos de forma contínua, proativa, 
sistemática e consistente. É preciso ser inteligente na escolha das pessoas que 
farão parte da equipe de gestão de riscos, pois elas serão responsáveis pela 
identificação ativa e por efetivar as estratégias definidas para cada ameaça e 
cada oportunidade que se concretizar. 
Os riscos podem acontecer a qualquer momento, inclusive quando um novo 
projeto ou processo se inicia. Avançar nas atividades sem se concentrar no 
gerenciamento desses riscos pode causar problemas graves, que não aconte-
ceriam se fossem adotadas medidas proativas. 
As respostas aos riscos vão ser a consequência direta do entendimento 
da organização sobre o que é correr riscos, o que é evitar ameaças, e o que 
é aproveitar as oportunidades. Esse entendimento vai resultar na definição 
da estratégia da empresa para responder aos riscos, o que é feito por meio de 
algumas ferramentas, como a MR e a MO.
O PMBOK (PROJECT MANAGEMENT INSTITUTE, 2014) cita as se-
guintes estratégias para responder aos riscos:
 � Riscos negativos ou ameaças:
 ■ eliminar a causa do problema;
 ■ mitigar ou reduzir a probabilidade ou o impacto da ameaça;
 ■ transferir, desviar ou alocar a responsabilidade sobre o risco para 
um terceiro;
 ■ aceitar, ou seja, não fazer nada.
 � Riscos positivos ou oportunidades:
 ■ explorar: adicionar trabalho ou mudar os planos para assegurar a 
oportunidade;
 ■ melhorar: aumentar a probabilidade ou o impacto dessa oportunidade;
 ■ compartilhar: criar parcerias para concretizar a oportunidade;
 ■ aceitar: não fazer nada.
Análise de risco por meio da matriz de risco (MR)
Uma das primeiras etapas de um gerenciamento de risco organizacional, 
desempenhada pela equipe de gestão de riscos, é a identificação de todos os 
fatores de risco. Depois dessa etapa, deve acontecer o reconhecimento e a 
avaliação dos fatores de riscos positivos e negativos, que compõem uma das 
etapas essenciais do gerenciamento de risco de uma organização. 
41Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)
O PMBOK (PROJECT MANAGEMENT INSTITUTE, 2014) reconhece seis etapas a serem 
desenvolvidas no gerenciamento de riscos.
1. Planejamento do gerenciamento de riscos: envolve como abordar, planejar e 
executar as atividades de gerenciamento de riscos.
2. Identificação de riscos: consiste em elencar quais, onde, quando, por que e como 
os eventos podem impedir, atrapalhar, atrasar ou melhorar o alcance dos objetivos.
3. Análise qualitativa e quantitativa de riscos: consiste em identificar e avaliar os 
controles existentes, determinar suas consequências ou impactos, a probabilidade 
e o nível de risco.
4. Planejamento de respostas aos riscos: consiste em desenvolver estratégias e 
planos de ação específicos e econômicos, visando aumentar oportunidades e 
reduzir as ameaças aos objetivos.
5. Monitoramento de respostas aos riscos: envolve o acompanhamento dos riscos 
identificados, monitoramento dos residuais, identificação de novos, execução de 
planos de respostas e avaliação de sua eficácia.
6. Comunicação implícita: consiste em comunicar e consultar as partes em cada 
etapa do processo de gerenciamento de riscos e em relação ao processo como 
um todo.
Essas atividades de avaliação ficam facilitadas se forem feitas com ajuda 
de matrizes, como a MR e a MO, que auxiliam na qualificação dos riscos, 
incluindo uma análise qualitativa e quantitativa posterior, para o planejamento 
das respostas que serão dadas a eles. Essa classificação pode ser desenvolvida 
de várias formas, mas uma das mais conhecidas é a MR, ou e matriz de 
probabilidade impacto (ENDEAVOR BRASIL, 2017).
A qualificação dos riscos inclui a análise qualitativa e quantitativa dos riscos.
 � Análise qualitativa: é a priorização dos riscos, significa dar atenção aos riscos que 
têm grande probabilidade de ocorrer ou que podem causar grandes impactos. 
Uma das melhores ferramentas para fazer a análise qualitativa é a MR.
 � Análise quantitativa: demonstra o impacto de tempo e dinheiro que os riscos 
podem causar, fornecendo informações como números, dias, horas e valores 
que a empresa teria caso os riscos se concretizassem. Para a análise quantitativa, 
recomenda-se a utilização da MO.
Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)42
A MR é uma ferramenta importante devido ao seu potencial para a comu-
nicação visual e pela simplicidade na elaboração e manutenção. Visualmente, 
ela dispõe das cores vermelha, amarela e verde, conhecidas mundialmente 
por se tratarem de algo ruim, médio ou bom, respectivamente. De uma forma 
geral, a matriz de risco é elaborada como um gráfico, contendo um eixo com 
escalas de probabilidade de ocorrência para o risco e outro eixo contendo 
escalas de impacto corporativo para um determinado fator de risco. Observe 
um modelo na Figura 1.
Figura 1. Exemplo de MR com a probabilidade no eixo X e o impacto no eixo Y.
Fonte: Bertolucci (2016). 
Depois que a estrutura da matriz tiver sido elaborada e ela estiver desenhada, 
chega o momento em que cada um dos fatores de risco identificado pela equipe 
de gestão de riscos deve ser analisado, sob os aspectos de probabilidade de 
ocorrência e de tamanho do impacto organizacional que pode ser gerado. Cada 
um dos fatores de risco é, então, posicionado na matriz, depois que a equipe 
chegar a uma conclusão sobre ele (ENDEAVOR BRASIL, 2017).
43Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)
Normalmente, os fatores de riscos são priorizados de acordo com a sua 
possibilidade em potencial de afetar a organização de alguma forma, seja 
nos seus objetivos, seus processos, suas finanças, ou em qualquer outro fator.
Não existe um padrão formal para a alocação das escalas entre os eixos 
X e Y. Além disso, é a própria organização que deve definir o que é uma 
importância alta, moderada ou baixa para os seus fatores de risco. Da mesma 
forma, como não existe um padrão para a disposição da probabilidade e do 
impacto nos eixos X e Y, não existe um padrão para a quantidade de níveis 
ou percentuais que a avaliação qualitativa deva apresentar. 
O eixo da probabilidade, por exemplo, pode ser visto na literatura comu-
mente dividido de três a nove níveis, mas é fundamental considerar que é mais 
fácil associar o aspecto da probabilidade de um risco se concretizar a formas 
empíricas, de modo que se aproxime da realidade.
Tanto a escala da probabilidade como a do impacto, devem ser adaptadas 
conforme as necessidades, as características e as particularidades de cada 
organização. Mesmo não havendo um padrão, a Norma AS/NZS nº 4.360 
(LEITE, 2012) sugere que o eixo da probabilidade de um risco se concretizar 
seja dividido em cinco níveis:
A = quase certo que se concretize, é um risco quase que inevitável.
B = é provável que se concretize.
C = é possível que se concretize, é um risco que se concretizará de forma 
ocasional.
D = é improvável que se concretize.
E = raramente irá se concretizar, é um risco quase que improvável.
A Norma AS/NZS nº 4.360, de 2004 (LEITE, 2012), foi a primeira norma do mundo a tratar 
sobre sistemas de gestão de riscos empresariais. Ela traz a proposta de um processo 
estruturado que possa ser utilizado no gerenciamento de todo e qualquer tipo de risco, 
como aqueles relacionados a segurança, meio ambiente, finanças, políticas públicas 
e qualidade da entrega de produtos e serviços.
Com relação ao eixo do impacto, a correta análise e a avaliação dos fatores 
de risco devem considerar as consequências financeiras que a concretização 
do risco pode trazer, bem como as consequências estratégicas e operacionais. 
Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)44
Nesse sentido, são analisados aspectos como a possibilidade de ocorrerem, 
entre outros, como:
 � perda de capital para os acionistas;
 � diminuição do lucro;
 � perda de clientes;� perda de espaço no mercado;
 � piora na imagem perante aos clientes e à sociedade;
 � problemas com a qualidade dos resultados;
 � atrasos de cronogramas e entregas.
A classificação dos fatores de risco auxilia na elaboração das respostas 
a eles e na urgência que deve ser atribuída ao tratamento de cada um. Via 
de regra, o tratamento dado em resposta à elaboração da MR é a seguinte 
(PROJECT MANAGEMENT INSTITUTE, 2014):
 � os fatores de risco que ficarem dispostos na região vermelha deverão 
ser tratados de forma prioritária;
 � os fatores de risco da área amarela deverão ser tratados imediatamente 
após os da área vermelha e, se possível, de forma simultânea;
 � os fatores de risco da área verde oferecem maior tempo para que a 
equipe de gestão de riscos possa agir, pois não apresentam urgência.
Análise de oportunidades por meio da matriz de 
oportunidades (MO)
Em um contexto corporativo, geralmente as oportunidades não aparecem so-
zinhas. Elas integram um contexto incerto, juntamente com as ameaças, ou 
seja, para que uma organização consiga tirar proveito de uma oportunidade, 
obrigatoriamente ela também deverá identificar e saber lidar com as suas ameaças.
A análise das oportunidades e das ameaças de uma organização pode ser 
feita com a utilização de diversos tipos de ferramentas da administração, 
mas uma das mais conhecidas e importantes, sem dúvida, é a matriz SWOT. 
A expressão SWOT é a união das iniciais das palavras em inglês strengths, 
weaknesses opportunities e threats, traduzidas respectivamente como forças, 
fraquezas, oportunidades e ameaças. Por causa disso, no Brasil essa matriz 
também é conhecida como matriz FOFA (ENDEAVOR BRASIL, 2015). 
Observe o esquema para matriz SWOT ou FOFA apresentado na Figura 2.
45Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)
Figura 2. Esquema da matriz SWOT/FOFA.
Fonte: Casarotto (2016).
As forças e as fraquezas são consideradas fatores internos na matriz, e as 
oportunidades e as ameaças são consideradas fatores externos. A matriz SWOT 
é utilizada para identificar os pontos fortes e fracos de uma organização e, 
posteriormente, elencar as oportunidades relacionadas aos pontos fortes e as 
ameaças relacionadas aos pontos fracos. 
Ela consiste em uma avaliação detalhada da situação da organização, o que 
auxilia a gestão organizacional a tomar decisões e, frequentemente, possibilita 
identificar o grau com que as forças apresentadas pela organização poderão 
compensar as ameaças e como as oportunidades poderão superar as fraquezas 
organizacionais (PROJECT MANAGEMENT INSTITUTE, 2014).
A elaboração de uma matriz SWOT inicia pela definição dos pontos fracos 
(fraquezas) e fortes (forças) do ambiente interno da organização, ou seja, aquilo 
que pode ser controlado, melhorado ou modificado pela própria empresa e 
que não depende de fatores externos. As fraquezas e as forças representam 
fatores que são chave para a obtenção do sucesso, ou seja, tudo aquilo que 
traz um desempenho satisfatório para a empresa.
As fraquezas envolvem tudo aquilo que poderia melhorar a organização 
se não existisse, como funcionários mal capacitados, falta de qualidade em 
Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)46
produtos e serviços, clientes que não retornam para novo negócio, etc. Já 
as forças consistem naquilo que a organização tem de melhor, como bons 
recursos financeiros disponíveis, funcionários capacitados, métodos efetivos 
para atrair clientes, entre outros.
Finalizada a análise do contexto organizacional interno, deve-se analisar o 
ambiente externo à organização, ou seja, aquilo que não pode ser controlado e 
nem modificado pela empresa, pois depende exclusivamente de fatores exter-
nos. Apesar de a organização não possuir controle em relação às oportunidades 
e ameaças, é por meio da análise SWOT que a organização poderá identificar 
a relevância de cada um deles, de que forma vão impactar no negócio e quais 
serão as maneiras de tratar esses impactos.
As oportunidades, nesse caso, vão envolver todos os aspectos que podem 
agregar receita e valor para a organização e que, normalmente, resultam das 
forças que a empresa apresenta, como capacidade de investir em novidades 
do mercado, possibilidade de expandir um produto e surgimento de novos 
clientes. As ameaças, por sua vez, representam todos os aspectos que 
podem trazer algum tipo de prejuízo para a organização, tanto financeiro 
como de imagem, geralmente decorrentes das fraquezas apresentadas pela 
empresa, como novas empresas concorrentes para o mesmo mercado ou 
produto, queda na clientela, e concorrentes investindo pesado em inovação 
e tecnologia.
A matriz SWOT geralmente é preenchida por uma equipe, que deve, na 
medida do possível, ser formada por pessoas de diferentes áreas e níveis 
hierárquicos da organização, pois é essa visão diferenciada que vai permitir 
uma visão holística e integrada dos riscos.
47Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)
Confira na Figura 3 um exemplo de matriz SWOT preenchida, com relação à grande 
rede de fast-food McDonald’s.
Figura 3. Matriz SWOT McDonald’s.
Fonte: Pacheco (c2018).
A matriz SWOT é largamente utilizada no planejamento estratégico das 
organizações, pois possibilita um diagnóstico completo sobre o negócio e 
o ambiente em que ele está inserido. Seu propósito é analisar e estabelecer
uma relação entre os pontos fortes e fracos da empresa, com o seu ambiente
externo.
Essa análise vai permitir situar a organização perante os seus concorrentes e 
os seus clientes por meio da transparência, da comunicação e do conhecimento, 
por todos, daquilo que a organização apresenta como pontos de melhoria, que 
demandam atenção e deverão ser trabalhados, como pontos a serem mantidos 
porque estão se apresentando de forma satisfatória.
O gerenciamento de riscos tende a se tornar mais efetivo à medida que a 
organização tem a capacidade de conhecer suas forças e fraquezas. É de posse 
desse conhecimento que se torna possível tirar vantagem das oportunidades 
Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)48
(aproveitamento dos riscos positivos) e lidar com as ameaças (eliminação 
ou redução dos riscos negativos), diminuindo seu impacto ou até mesmo o 
transformando em oportunidades.
49Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)
BERTOLUCCI, R. Matriz de risco: uma ferramenta para avaliação de riscos. Curitiba: 
Auditoria Operacional, 2016. Disponível em: <https://auditoriaoperacional.com.br/
matriz-de-risco-uma-ferramenta-para-avaliacao-de-riscos/>. Acesso em: 09 jan. 2018.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Gestão 
Pública. Departamento de Inovação e Melhoria da Gestão. Gerência do Programa 
GesPública. Projeto de desenvolvimento do guia de orientação para o gerenciamento 
de riscos. Brasília, DF, 2013.
CASAROTTO, C. Análise SWOT ou Matriz F.O.F.A.: entenda o conceito e como colocá-lo 
em prática. Belo Horizonte: Marketing de Conteúdo, 2016. Disponível em: <https://
marketingdeconteudo.com/como-fazer-uma-analise-swot/>. Acesso em: 09 jan. 2018.
ENDEAVOR BRASIL. Matriz de gestão de risco: analise os pontos críticos do seu produto 
ou serviço. São Paulo, 2017. Disponível em: <https://endeavor.org.br/matriz-de-gestao-
-de-risco-inovar-nao-precisa-ser-sinonimo-de-correr-risco/>. Acesso em: 09 jan. 2018.
ENDEAVOR BRASIL. Matriz SWOT: entenda como usar e as vantagens para sua empresa. 
São Paulo, 2015. Disponível em: <https://endeavor.org.br/entenda-matriz-swot/?gcl
id=Cj0KCQiA7dHSBRDEARIsAJhAHwj_eQng1Eq6RwYl0t875qOcOLt0C9fVAgjxB0fe-
-gjKQRKwlyUgK5MaAnp_EALw_wcB>. Acesso em: 09 jan. 2018.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de orientação para 
gerenciamento de riscos corporativos. São Paulo: IBGC, 2007.
LEITE, T. A. S. Gestão de riscos: diretrizes para implementação da AS/NZS 4360:2004. 
[S.l.]: Bibliotecade Segurança, 2012.
PACHECO, O. Análise e matriz SWOT: confira o que é e como montar! Florianópolis: 
ESAG, c2018. Disponível em: <http://esagjr.com.br/analise-swot/>. Acesso em: 
09 jan. 2018.
PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de 
projetos: guia Pmbok. 5. ed. São Paulo: Saraiva, 2014.
DICA DO PROFESSOR
Normalmente, as oportunidades não aparecem de forma isolada no contexto corporativo, elas 
integram um cenário de incerteza, juntamente com as ameaças, ou seja, para que uma 
organização seja capaz de aproveitar suas oportunidades, necessariamente, ela terá que lidar 
com suas ameaças também.
A análise de oportunidades e ameaças de uma organização pode ser feita através da utilização de 
várias técnicas ou ferramentas, entretanto, entre as mais conhecidas, está a Matriz SWOT ou 
FOFA, que reúne as forças, fraquezas, oportunidades e ameaças em um esquema gráfico único.
Veja nesta Dica do Professor a análise de oportunidades através da Matriz de Oportunidades 
(MO).
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) É correto afirmar que um risco: 
A) É incerto, mas, quando se concretiza, sempre causa impacto negativo.
B) É certo que se concretizará e trará algum impacto positivo para a empresa.
C) É incerto e pode provocar impactos positivos ou negativos.
D) É certo que se concretizará e trará prejuízos para a empresa.
E) É incerto, mas, quando acontece, sempre traz algo positivo para a empresa.
2) Assinale a alternativa que mostra a diferença entre riscos identificados e não 
identificados: 
A) Risco identificado é aquele que já foi tratado. Risco não identificado é aquele que ainda 
não foi tratado.
B) Risco identificado é aquele que foi constatado, analisado, permitindo que seja tratado 
posteriormente, caso se concretize. Risco não identificado é aquele que não foi constatado 
nem analisado e será tratado somente no momento em que se concretizar.
C) Risco identificado é aquele para o qual não é possível traçar estratégia caso se concretize. 
Risco não identificado é aquele que ainda não aconteceu, mas já possui estratégias 
traçadas.
D) Risco identificado é aquele que já possui estratégias para tratamento. Risco não 
identificado é aquele impossível de acontecer, pois não existe.
E) Risco identificado é aquele considerado uma ameaça, que traz sempre impacto negativo 
para a empresa. Risco não identificado é aquele que é sempre uma oportunidade e, por 
isso, não precisa de estratégia antecipada.
3) Assinale a alternativa que melhor explica o motivo pelo qual a matriz de risco é uma 
ferramenta muito utilizada no gerenciamento de riscos. 
A) Porque é uma lista que contém o nome dos riscos e a área a qual estes estão ligados.
B) Porque é uma planilha que contém o nome de cada fator de risco e quem conseguiu 
identificá-lo.
C) Porque é um gráfico de pizza, onde cada fatia é uma área da organização que pode ser 
atingida por alguma ameaça.
D) Porque é um quadro explicativo que contém dicas de como aproveitar as oportunidades.
E) Porque é fácil compreendê-la visualmente, pois utiliza padrão verde, amarelo e vermelho, 
e também porque é de fácil construção e manutenção.
4) Assinale a alternativa que contém um resumo da atividade de elaboração da matriz 
de risco: 
A) Desenhar a estruturada da matriz com os níveis de cada eixo, analisar cada risco quanto à 
probabilidade e ao impacto e posicioná-lo na matriz.
B) Desenhar a estruturada da matriz com os níveis de cada eixo e posicionar todos os riscos 
no nível mais alto de probabilidade e impacto, pois é melhor tratar todos eles como sendo 
importantes desde o início.
C) Desenhar a estruturada da matriz com os níveis de cada eixo, colocando todas as 
oportunidades no lado verde e as ameaças no lado vermelho.
D) Desenhar a estruturada da matriz com os níveis de cada eixo, colocando todos os riscos na 
porção amarela, pois nenhum aconteceu ainda e é preciso atenção.
E) Desenhar a estruturada da matriz com os níveis de cada eixo e posicionar todos os riscos 
no nível mais baixo de probabilidade e impacto, pois nenhum risco aconteceu ainda, então, 
pode-se guardar o esforço para o momento da efetivação do risco.
5) Assinale a alternativa correta com relação às oportunidades, ameaças, forças e 
fraquezas em uma Matriz SWOT. 
A) Forças e oportunidades se relacionam e são externas à organização, quanto as fraquezas e 
ameaças são internas e se relacionam.
B) Ameaças e fraquezas se relacionam e são externas à organização, quanto forças e 
oportunidades são internas e se relacionam.
C) As forças e fraquezas são internas da organização, enquanto as oportunidades e ameaças 
são externas. As oportunidades sestão vinculadas às forças e as ameaças às fraquezas.
D) Esses quatro elementos são internos da organização e se relacionam entre si.
E) Esses quatro elementos são externos à organização e não se relacionam entre si e dizem 
respeito à área de negócio da organização.
NA PRÁTICA
Edimir é dono de um restaurante que não vem funcionando de forma adequada. Ele vem 
perdendo clientes para a concorrência e as reclamações daqueles que ficam são de todos os 
tipos. Por isso, ele chamou uma consultoria, a fim de pedir auxílio e tentar resolver a situação.
A consultoria logo identificou que Edimir não tem a prática de gerenciar os riscos no seu 
restaurante, processo que pode ser adotado em qualquer organização e que visa fazer com que a 
empresa conheça seus riscos, na tentativa de diminuir ou até eliminar aqueles que possam trazer 
alguma espécie de prejuízo, e também aproveitar aqueles que possam agregar algum valor ao 
negócio.
Em vista disso, Edimir, os funcionários do restaurante e os representantes da consultoria 
sentaram-se juntos para uma reunião, a fim de elaborar uma Matriz de Risco e, assim, 
finalmente conhecer o cenário no qual o estabelecimento está inserido. 
Conteúdo interativo disponível na plataforma de ensino!
 
Atualmente, Edimir e seus funcionários trocam ideias frequentemente sobre os riscos aos quais 
estão expostos, e isso está fazendo com que o restaurante consiga trazer de volta os clientes que 
havia perdido, além de conquistar novos clientes e fidelizar funcionários que haviam decidido 
não trabalhar mais no estabelecimento devido às incertezas que rodeavam o ambiente.
 
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
Este vídeo aborda sobre a Matriz de Risco.
Conteúdo interativo disponível na plataforma de ensino!
Neste vídeo, você entenderá para o que serve e como a Matriz SWOT pode auxiliar na 
escolha dos caminhos aos quais seguir.
Conteúdo interativo disponível na plataforma de ensino!
Esta matéria aborda a importância da gestão de risco nas organizações.
Conteúdo interativo disponível na plataforma de ensino!
Controles Internos como parte integrante 
da gestão estratégica e do Gerenciamento 
de Riscos
APRESENTAÇÃO
Os controles internos constituem uma importante ferramenta de gestão, que estabelece normas e 
procedimentos necessários para o bom funcionamento da organização, e tem por finalidade 
possibilitar a organização, melhorar a sua produtividade, evitar fraudes e padronizar os 
processos. Toda organização que apresente um controle interno eficaz apresenta maiores 
condições de ter sucesso em sua gestão. 
 
Embora a existência de controles internos não seja capaz de eliminar totalmente os riscos, 
trabalha no sentido de buscar formas de minimizá-los e de evitá-los. Para isso, o gerenciamento 
de riscos corporativos deve abranger o controle interno, e estabelecer normas e procedimentos 
para fornecer à organização maior eficiência e eficácia nos processos de forma geral, permitindo 
a boa governança. Afinal, a gestão de uma empresa não é uma tarefa fácil e é nesse sentido que 
a adoção de boas práticas de governança otimiza a gestão e agrega valor à organização. 
 
Neste Unidade de Aprendizagem,você vai estudar os controles internos, sua definição e 
objetivos, seus aspectos fundamentais e estrutura básica para a formatação de controles internos 
eficientes e ainda o papel dos controles internos para a gestão estratégica e o gerenciamento de 
riscos.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Definir controles internos.•
Identificar os aspectos fundamentais e estrutura básica para a formatação de controles 
internos eficientes.
•
Reconhecer o papel dos controles internos para a gestão estratégica e o gerenciamento de 
riscos.
•
DESAFIO
Os controles internos têm a finalidade de auxiliar a gestão da empresa na melhoria dos 
processos internos e operacionais focando nos objetivos a serem atingidos e na melhoria dos 
resultados, e para que esse processo seja bem-sucedido é necessário que os princípios referentes 
ao controle interno sejam seguidos constantemente e continuamente pelos gestores.  
 
Com base nos conceitos do controle interno e dos princípios fundamentais que os regem, analise 
a situação a seguir: 
 
Uma construtora contratou uma consultora para realizar uma avaliação no controle interno do 
seu departamento financeiro, onde apresenta quatro situações com a descrição de suas atividades 
decorrentes no setor.
 SITUAÇÃO  DESCRIÇÃO
A
Os pagamentos só são realizados após duas alçadas de autorizações: a  
primeira, do gerente de obras (que atesta que o material ou serviço foi 
recebido na obra) e a segunda, do gerente do financeiro (autorizando o 
pagamento em função do valor).
B
Dois colaboradores do departamento realizam pagamentos através da conta da 
empresa na Internet, compartilhando uma mesma senha.
C
Essas pessoas, que realizam os pagamentos, também são responsáveis pela 
conciliação bancária (que consiste em verificar se as entradas e saídas da 
conta estão corretas com relação aos registros de contas pagas e recebidas no 
sistema da empresa).
D
Os computadores da empresa, que acessam a conta bancária, possuem 
antivírus apropriado.
 
Você, como consultora, deverá identificar qual o princípio básico do controle interno se refere 
às atividades descritas e dizer se elas estão adequadas com o conceito do princípio escolhido.
INFOGRÁFICO
Veja neste Infográfico quais são os princípios fundamentais e básicos do controle interno, 
auxiliando, assim, na sua compreensão.
Conteúdo interativo disponível na plataforma de ensino!
CONTEÚDO DO LIVRO
Você sabe o que significa o controle interno nas organizações? É uma ferramenta que assegura a 
proteção do patrimônio da empresa e também a eficiência das operações, assegurando a precisão 
e autenticidade dos dados e informações. O controle interno ajuda as empresas a entenderem os 
riscos a que estão expostas e a estabelecer mecanismos que permitam combater as ameaças ao 
seu planejamento estratégico, sendo assim, tanto a gestão de riscos quanto o controle interno 
estão implícitos nas boas práticas da governança corporativa. 
 
Neste capítulo, Controles internos como parte integrante da gestão estratégica e de gerencimento 
de riscos, do livro Gerenciamento de risco, você vai aprofundar os conhecimentos sobre os 
aspectos fundamentais e a estrutura básica para a formatação dos controles internos eficientes, 
como, também, o papel dos controles internos para a gestão estratégica e o gerenciamento de 
riscos. 
 
Boa leitura.
GERENCIAMENTO 
DE RISCOS 
Simone Fraporti
Controles internos como 
parte integrante da 
gestão estratégica e do 
gerenciamento de riscos
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Definir controles internos.
 � Identificar os aspectos fundamentais e a estrutura básica para a for-
matação de controles internos eficientes.
 � Reconhecer o papel dos controles internos para a gestão estratégica 
e o gerenciamento de riscos.
Introdução
Os controles internos constituem uma importante ferramenta de gestão, 
pois estabelecem normas e procedimentos necessários para o bom 
funcionamento da organização, além de possibilitar à organização a 
melhora da sua produtividade, evitar fraudes e padronizar os processos. 
Toda organização que apresente um controle interno eficaz, apresenta 
maiores condições de ter sucesso em sua gestão. 
Embora os controles internos não sejam capazes de elminar total-
mente os riscos, seu foco é buscar formas de minimizá-los e de evitá-
-los. Para isso, o gerenciamento de riscos corporativos deve abranger o
controle interno e estabelecer normas e procedimentos para fornecer
à organização maior eficiência e eficácia nos processos de forma geral,
permitindo a boa governança.
Neste capítulo, você irá estudar os controles internos, sua definição 
e objetivos, seus aspectos fundamentais e estrutura básica para a 
formatação de controles internos eficiente e, ainda, o papel dos controles 
internos para a gestão estratégica e o gerenciamento de riscos.
Controles internos 
Definição 
Controle interno representa para uma organização o conjunto de procedi-
mentos e métodos que produzem dados confiáveis para ajudar a gestão. Esses 
procedimentos padronizam as rotinas e norteiam como as tarefas devem ser 
desempenhadas, a fim de obter eficiência e eficácia nas atividades. (RESKE 
FILHO; JACQUES; MARIAN, 2005). 
Para a área pública, o Tribunal de Contas da União (BRASIL, 2009) define 
“[...] controle interno como um processo composto pelas regras de estrutura 
e pelo conjunto de políticas e procedimentos adotados para a vigilância, 
fiscalização e verificação, que permite prever, observar, dirigir ou governar 
os eventos que possam impactar na consecução de seus objetivos. É um pro-
cesso organizacional de responsabilidade da própria gestão, adotado com o 
intuito de assegurar uma razoável margem de garantia de que os objetivos da 
organização sejam atingidos”.
Apesar de os controles internos, em algumas organizações, terem surgido 
para evitar fraudes, a importância deles não está somente ligada ao seu caráter 
preventivo, mas também na efetividade de suporte à gestão de negócios, em 
suas mais variadas instâncias (planejamento estratégico, execução e controle 
de processos e tomada de decisões críticas).
A definição de controle interno, segundo a Financial Accounting Stan-
dards Board (FASB) (apud CREPALDI, 2002), diz que é conjunto de políticas 
e procedimentos que garantem razoável certeza sobre a confiabilidade da 
elaboração e apresentação das demonstrações financeiras e seus processos 
correlatos, garantem que foram preparadas de acordo com os princípios de 
contabilidade geralmente aceitos e que incluem políticas e procedimentos 
de manutenção dos registros contábeis, aprovações em níveis adequados e 
preservação de ativos.
Franco e Marra (2001) definem o controle interno como todos os esforços da 
organização que permitem prever, observar ou administrar os acontecimentos 
que se verificam internamente e que produzem reflexos em seu patrimônio. 
Podem ser divididos em contábeis e administrativos, em que os controles con-
tábeis cuidam dos métodos, procedimentos e registros referentes à preservação 
do patrimônio e à legitimidade dos registros contábeis; e, os administrativos 
tratam da eficiência da política de negócios e dos registros financeiros. 
Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos54
Controle interno compreende o conjunto ordenado de métodos e procedi-
mentos adotados pela entidade na realização das suas operações internas e 
para proteger seu patrimônio, que segundo Attie (2010) verifica a exatidão e o 
grau de confiança dos seus dados contábeis, que devem assegurar a execução 
e o registro de forma correta, eficiente e ordenada.
De acordo com Cavalheiro (2003, p. 41): “[...] controle interno é o conjunto de 
recursos, métodos e processos adotados pela própria gerência do setor público, 
com a finalidade de comprovar fatos,impedir erros, fraudes e a ineficiência”. 
Os controles internos são importantes em todo tipo de organização, inde-
pendentemente do seu grau de complexidade. Contudo, à medida que as orga-
nizações aumentam em tamanho, fica mais clara a necessidade da existência 
de um controle interno eficiente e, uma vez adotada uma política de controles 
internos, torna-se necessário que toda a organização trabalhe em sintonia.
Para Oliveira, Perez Júnior e Silva (2004, p. 83) “[...] um sistema contábil 
que não esteja apoiado em um controle interno eficiente é até certo ponto 
inútil, uma vez que não é possível confiar nas informações contidas em seus 
relatórios”. 
Controle é também o conjunto de normas, processos e sistemas adotados 
para auxiliar no processo de tomada de decisão, minimizar os riscos e assegurar 
o atingimento dos objetivos traçados pela organização. Toda organização
que apresente um controle interno eficaz, apresenta maiores condições de ter
sucesso em sua gestão, pois sempre que algum tipo de controle é exercido,
existe uma fiscalização implícita sobre o trabalho praticado. Essa fiscalização
visa garantir que as funções estejam sendo cumpridas da melhor forma, com
exatidão e fidedignidade nas informações, promovendo, assim, a eficiência
operacional e protegendo o patrimônio da empresa. Embora algumas empresas
se utilizem de controles internos para prevenir fraudes, esses controles ajudam
a organização a promover a excelência em suas atividades internas.
De forma geral, os controles internos fornecem maior transparência nas 
atividades da empresa, além de serem um meio de aperfeiçoar o processo de 
gestão, conscientizando os colaboradores sobre a importância do respeito e 
cumprimento das políticas traçadas pela organização. 
Apesar de diferentes formas de conceituar, percebe-se que, de modo geral, 
todos eles convergem para alguns elementos preponderantes, que são: 
 � confiabilidade de informação;
 � obediência às leis e regulamentos aplicáveis;
 � eficácia e eficiência de operação.
55Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos
O trabalho de implantação do sistema de controles internos é de respon-
sabilidade da administração da organização, porém devem ser seguidos 
por todos os colaboradores, de qualquer nível hierárquico, inclusive pela 
administração. 
Objetivos 
O objetivo principal do controle interno é garantir segurança para a organização 
(no sentido de que todas as atividades serão realizadas de acordo com normas 
e procedimentos estabelecidos e que todo trabalho será realizado de forma 
que os objetivos propostos sejam alcançados com êxito). 
Na visão de Crepaldi (2002), são objetivos do controle: 
 � verificar e assegurar os cumprimentos, as políticas e normas da compa-
nhia, incluindo o código de éticas nas relações comerciais e profissionais; 
 � obter informações adequadas, confiáveis, de qualidade e em tempo 
hábil, que sejam realmente úteis para as tomadas de decisões; 
 � prevenir erros e fraudes, mas, caso ocorram, possibilitar a descoberta 
o mais rápido possível, determinar sua extensão e atribuir as corretas 
responsabilidades; 
 � registrar adequadamente as diversas operações, de modo a assegurar 
a eficiente utilização dos recursos da empresa; 
 � assegurar o processamento correto das transações da empresa. 
De acordo com Attie (2010) os objetivos do controle interno são: 
 � A salvaguarda dos interesses da organização – proteção do patrimônio 
para que evite quaisquer perdas e risco devido a erros ou irregularidades.
 � A precisão e confiabilidade dos informes e relatórios contábeis finan-
ceiros e operacionais – ter as informações que auxiliam a gestão dos 
negócios e o entendimento uniforme da informação.
 � O estímulo à eficiência operacional – a administração determina os 
meios necessários para conduzir as tarefas, garantindo entendimento, 
aplicação e uniformidade.
 � A aderência às políticas existentes – garantia que os anseios da admi-
nistração sejam cumpridos por todos os colaboradores.
A adequada gestão organizacional depende diretamente de um sistema 
de controle interno eficaz, que ajude a garantir o alcance dos objetivos e do 
Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos56
retorno financeiro definidos, que as informações gerenciais estejam de acordo 
com as normas, políticas e procedimentos internos, diminuindo assim o risco 
de perdas e danos à imagem corporativa. Portanto, um sistema de controle 
funcional e eficaz é essencial para a gestão da organização, e é a base para a 
realização de tarefas seguras e confiáveis.
Nesse contexto, podemos afirmar que a eficácia na execução dos controles 
internos está diretamente relacionada aos riscos que as organizações estão 
expostas. 
Aspectos fundamentais e estrutura básica para 
a formatação de controles internos eficientes
Implementar o controle interno em uma organização significa adotar medidas 
que auxiliem a gestão na melhoria dos processos internos e operacionais, 
focando nos objetivos a serem atingidos, na redução de custos e na melhoria 
nos resultados. Gil, Arima e Nakamura (2013) destacam que organiza-
ções que adotam essa prática possuem informações valiosas para apoiar o 
trabalho da gestão. Assim, destacam-se como aspectos fundamentais do 
controle interno:
 � proteger os ativos da empresa (dinheiro, bens, estoque, etc.);
 � produzir dados contábeis confiáveis;
 � estabelecer protocolos e procedimentos que colaboradores devem seguir;
 � manter informações financeiras organizadas;
 � reduzir erros;
 � evitar fraude e roubo;
 � separar funções.
Os controles internos produzem e usam informações que permitem manter 
uma organização orientada para seus objetivos. A seguir você verá quais são 
os princípios para que isso seja estabelecido.
Estabelecimento de responsabilidades: um responsável por cada tarefa 
facilita o gerenciamento, a execução das atividades e a responsabilidade sobre 
o resultado.
Procedimentos documentados: todas as atividades devem ser documen-
tadas para facilitar a verificação dos procedimentos e evitar fraudes.
Autorização de transação: pagamentos só podem ser realizados após a 
autorização de um responsável.
57Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos
Segregação de funções: ideal que uma mesma pessoa não seja responsável 
por muitas tarefas.
Rodízio de funcionários: deve-se evitar que um funcionário exerça uma 
determinada função por muito tempo.
Supervisão das operações: essa prática dá uma certa garantia de que as 
atividades estejam sendo executadas de acordo com objetivos da organização 
e diminui a probabilidade de furtos e/ou desfalques.
Controles físicos: câmeras de vídeos, cofres, alarmes, ponto eletrônico, 
senhas em computadores, programas antivírus, entre outros.
Análises regulares independentes: tudo que ocorre dentro da empresa 
deve ser verificado periodicamente e quaisquer problemas observados devem 
ser relatados à direção, podendo ser tanto por meio de auditoria interna como 
externa.
O objetivo do controle interno é pautado na proteção do patrimônio 
da organização e na eficiência operacional. Para que isso ocorra de forma 
satisfatória e organizada, é necessário seguir algumas etapas na implantação 
do sistema de controle interno, adequando a sua estrutura às necessidades 
da empresa. 
Em 1992, o Committee of Sponsoring Organizations of the Treadway Com-
mission (COSO) desenvolveu um modelo para avaliação de controles internos, 
que foi adotado como quadro geralmente aceito para o controle interno, sendo 
amplamente reconhecido como o padrão com o qual as organizações medem 
a eficácia de seus sistemas de controle interno.
De acordo com o COSO I, é necessário que a empresa estabeleça uma 
estrutura básica de controles internos, formada por etapas que devem ser 
seguidas para impedir ou identificar erros e também apresentar relatórios que 
agreguemvalor. Nesse sentido, o modelo de controle interno apresentado pelo 
COSO I é constituído por cinco componentes (COMMITTEE OF SPONSO-
RING ORGANIZATIONS OF THE TREADWAY COMMISSION, 2013):
1. Ambiente de controle: abrange a estrutura de controle interno, com 
conceitos como conduta, atitude, consciência, competência e estilo, 
em outras palavras:
 ■ integridade e valores éticos;
 ■ compromisso com a competência;
 ■ conselho de administração e comitê de auditoria;
 ■ filosofia da administração e estilo de operação;
 ■ estrutura organizacional;
 ■ atribuição de autoridade e responsabilidade;
Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos58
 ■ políticas e procedimentos de recursos humanos.
2. Avaliação de riscos: identificação e análise dos riscos relevantes para 
o cumprimento dos objetivos da empresa. Contribui também na deter-
minação de como os riscos devem ser monitorados e avaliados. 
3. Atividades de controle: estabelecimento de políticas e procedimentos 
que ajudam a assegurar que os objetivos operacionais sejam atingidos 
e as estratégias para atenuar riscos sejam seguidas.
4. Informação e comunicação: estabelece qualidade de informação e 
eficácia da comunicação, para que as atividades de controle interno 
sejam realizadas da melhor maneira possível.
5. Monitoramento: o monitoramento eficaz ajuda a garantir que seu sistema 
de controle interno continuará a proporcionar as proteções necessárias 
para a empresa. Portanto, o monitoramento deve ser projetado para 
identificar e corrigir falhas no controle interno, antes que elas resultem 
em uma distorção significativa nas demonstrações financeiras.
A estrutura básica do controle interno deverá ser adaptada às necessidades 
da organização e considerar o tipo de atividade, o tamanho, as características 
e as necessidades próprias. Apesar dessa flexibilidade de adaptação, alguns 
fatores precisam, necessariamente, ser considerados, de acordo com Gil, 
Arima e Nakamura (2013) são eles:
 � necessidade de um organograma com subordinação funcional e segre-
gação de funções bem definido;
 � elaboração de um manual de procedimentos, contendo a descrição das 
práticas necessárias e a definição de pessoas responsáveis;
 � possuir uma estrutura contábil adequada; e
 � execução de auditoria interna para verificar, avaliar e aperfeiçoar os 
controles internos continuamente.
O controle interno deve ser sistemático e voltado para o gerenciamento de 
risco, essa prática vai determinar que controles adequados sejam estabelecidos 
em áreas com alto risco e, que as de baixo risco não tenham um controle 
excessivo.
Para um controle interno adequado é necessário que ele seja bem estrutu-
rado, com profissionais aptos a planejar, implantar, executar, avaliar e melhorar 
o processo, além de ser efetivo, reduzir o nível de erros e irregularidades 
e permitir que metas e objetivos sejam cumpridos com eficiência, eficácia 
e redução de custos.
59Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos
O controle interno auxilia as organizações a compreenderem os riscos a 
que estão expostas e estabelecerem controles que combatam as ameaças ao 
seu planejamento estratégico. Sendo assim, tanto a gestão de riscos como o 
controle interno estão implícitos nas boas práticas da governança corporativa.
Papel dos controles internos para a gestão 
estratégica e o gerenciamento de riscos
Se o controle interno está diretamente ligado ao alcance dos objetivos e re-
sultados que a organização almeja, com maior eficiência e com a melhor 
relação custo-benefício, sua utilização é uma ferramenta fundamental para a 
organização, pois cria maneiras de se sobressair de forma positiva, exercendo, 
dessa forma, a gestão estratégica na organização.
Costa (2003) define gestão estratégica como um processo que precisa ser 
sistemático, planejado, executado e gerenciado pela alta administração da 
organização, além de contar com o envolvimento e comprometimento de todos 
os gerentes, responsáveis e colaboradores da organização. Sua finalidade é 
assegurar o crescimento, a continuidade e a sobrevivência da organização, com 
adequação contínua às necessidades, o que dá condições para a organização 
enfrentar e se antecipar às mudanças observadas ou previsíveis no seu ambiente. 
Para fazer a análise, o mapeamento e tomar decisões acerca da priorização 
de riscos, é fundamental que a área de gestão de riscos tenha uma integração 
forte com as áreas que detêm a responsabilidade pelos controles internos. O 
monitoramento adequado dos processos dessas áreas vai garantir que possíveis 
perdas sejam minimizadas, e que novos riscos sejam identificados de imediato.
A gestão estratégica precisa ter percepção do ambiente e estar atenta às 
dificuldades e riscos que podem surgir a qualquer momento. Se a empresa 
estiver preparada, com processos decisórios adequados, tendo como alicerce 
uma boa estrutura de controles internos, garantirá uma vantagem importante 
sobre aquelas que não contam com um processo organizado e eficaz. Com 
isso, a prática de gerenciamento de riscos torna-se uma aliada frente aos 
impactos dessas crescentes transformações, pois, quanto maiores forem as 
mudanças, mais inovações surgirão e mais vulneráveis aos riscos inerentes 
as suas atividades as empresas ficarão.
Gerenciar riscos corporativos, segundo o Instituto Brasileiro de Governança 
Corporativa (IBGC), é parte integrante da governança e responsabilidade da 
alta administração, e é considerada “[...] um instrumento de tomada de decisão 
da alta administração que visa a melhorar o desempenho da organização pela 
Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos60
identificação de oportunidades de ganhos e de redução de probabilidade e/
ou impacto de perdas, indo além do cumprimento de demandas regulatórias” 
(INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2007, 
p. 12).
A gestão de uma organização é um processo complexo, que envolve, por 
exemplo, a integração entre o gerenciamento de riscos e os controles internos 
como partes integrantes de cada segmento da organização, incluindo todas 
as rotinas e atividades da entidade, com a intenção de que os colaboradores 
e a administração como um todo compreendam e respeitem às políticas esta-
belecidas, que os bens e direitos estejam protegidos e, por fim, que todas as 
informações geradas sejam fidedignas. Tudo isso reforça que, cada vez mais, 
a adoção de boas práticas de governança agrega valor, organiza e otimiza a 
gestão da organização. 
Governança corporativa, na definição do IBGC, é o sistema pelo qual as 
empresas e demais organizações são dirigidas, monitoradas e incentivadas, 
envolve a participação e o relacionamento entre sócios, conselho de adminis-
tração, diretoria, órgãos de fiscalização e controle e demais partes interessadas 
(INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2007).
Os sócios, os membros do conselho, a fiscalização interna e o controle 
devem participar do processo de criação de regras, para a gestão dos processos 
administrativos, os interesses devem estar alinhados para não gerar conflitos 
e todos entenderem claramente a hierarquia interna durante as tomadas de 
decisões. Todos devem saber claramente o seu papel na empresa. 
A governança corporativa tem a grande preocupação de evitar que ob-
jetivos individuais, sejam eles de pessoas ou áreas da organização, sejam 
priorizados em detrimento dos objetivos organizacionais, como é o caso do 
conflito de agência. De acordo com o IBGC (INSTITUTO BRASILEIRO DE 
GOVERNANÇA CORPORATIVA, 2007), a governança corporativa se apoia 
em quatro princípios básicos: transparência, equidade, prestação de contas e 
responsabilidade. Observe o detalhamento de cada um dos princípios a seguir 
e o esquema apresentado na Figura 1.
 � Transparência: todas as decisões tomadas devem ser claras para todos 
os interessados, dentro e fora da organização.
 �Equidade: os sócios e partes interessadas devem receber tratamento 
justo e igualitário dentro da empresa.
 � Prestação de contas: as organizações devem prestar contas de todas 
as atividades realizadas para seus sócios e para as demais partes inte-
ressadas de forma clara, concisa e compreensível.
61Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos
 � Responsabilidade corporativa: os agentes de governança devem ter 
uma visão ampla da empresa para zelar pela viabilidade econômico-
-financeira e todas as variações possíveis nesse processo.
Figura 1. Princípios básicos da governança corporativa.
Fonte: Instituto Brasileiro de Governança Corporativa (2007).
O conflito de agência acontece quando funcionários de uma empresa tendem a 
orientar as suas atividades para resultados financeiros em curto prazo, em detrimento 
do valor da empresa em longo prazo. Pode acontecer, também, que acionistas de 
uma empresa coloquem à frente da sua conduta o seu ganho imediato, em vez dos 
ganhos em longo prazo para a instituição.
Em poucas palavras, o conflito de agência se dá sempre que alguém está em uma 
situação na qual pode obter um benefício para si, que pode gerar um impacto negativo 
para a empresa.
A conduta adotada pela governança corporativa reflete os benefícios inter-
nos e externos, pois a adoção de boas práticas contribui efetivamente para o 
Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos62
funcionamento adequado dos processos, maior eficiência e melhores resultados. 
Organizações bem estruturadas e com alto valor de mercado utilizam-se das 
práticas de governança para mostrar seus valores de forma clara.
Com o intuito principal de garantir transparência na gestão empresarial e re-
duzir riscos, evitando fraudes e estabelecendo mecanismos que identifiquem 
os casos em que elas ocorrerem, a Lei Sarbanes-Oxley também reforça a 
importância dos controles internos para as organizações (GRUPO PORTAL 
DE AUDITORIA, 2017). 
Entre os reflexos da Lei SOx, cabe destacar a regulação que ela promoveu 
em relação às empresas de auditoria e aos serviços por elas prestado, estabele-
cendo o que elas podem ou não oferecer aos seus clientes, visando preservar a 
imparcialidade e a autonomia que esse tipo de serviço deve apresentar (GRUPO 
PORTAL DE AUDITORIA, 2017). Nesse contexto da auditoria, os controles 
internos são uma matéria fundamental.
A Lei Sarbanes-Oxley foi elaborada pelos congressistas Paul Sarbanes e Michel 
Oxley, e tem o intuito de aprimorar a governança corporativa e a prestação de contas (in-
formações sobre receitas, despesas, balanço patrimonial e total de ativos e passivos). 
Em outras palavras, o objetivo da SOx é identificar, combater e prevenir fraudes que 
impactam no desempenho financeiro das organizações, garantindo o compliance. 
Saiba mais sobre a Lei no link (DELOITTE TOUCHE TOHMATSU, 2003): 
https://goo.gl/YXp8bG
Entre as vantagens que são creditadas a Lei SOx, cabe ressaltar algumas:
1. Empresas responsáveis por suas ações: ao exigir práticas contábeis 
claras e definir transações éticas, a SOx passou a obrigar as empresas a 
seguirem certos procedimentos, a fim de fornecerem serviços transpa-
rentes. Antes da lei não havia a obrigatoriedade de as empresas serem 
muito transparentes.
2. Executivos responsáveis por suas ações: com a SOx, os executivos 
assumem total responsabilidade, antes da lei, os executivos, muitas 
vezes, não eram responsabilizados pessoalmente ou criminalmente 
por fraudes em informações financeiras.
63Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos
3. Confiança restaurada: como qualquer potencial impacto negativo teve
que ser avaliado e publicado pelas empresas, os investidores passaram
a ter restaurada parte da confiança que haviam perdido. Acionistas e
público em geral também são assegurados da veracidade dos dados
financeiros, incluindo planilhas de balanço.
4. Melhoria nos controles internos: melhores controles internos levam
a informações mais precisas. Com informações precisas, um melhor
planejamento e investimento pode acontecer em curto e longo prazo.
5. Acionistas protegidos: acionistas passaram a ter informações precisas
sobre as finanças das empresas que pretendem investir, como ativos,
dívidas, perfil de risco e transações. Isso protege os interesses dos
potenciais investidores.
Por fim, pode-se perceber que, por meio de práticas bem estruturadas de 
controle interno é possível averiguar os fluxos operacionais e ter mais segurança 
nos processos como os administrativos e financeiros. A organização tem mais 
confiabilidade nas atividades que estão sendo desenvolvidas e detecta possíveis 
erros e fraudes, sendo capaz de evitá-los. Os controles internos devem passar 
por todas as áreas da empresa e fazer parte de todos os processos, desde os 
operacionais até os de gestão, sendo aplicados independentemente do porte 
da organização e da complexidade de suas atividades, pois ela terá objetivos 
a perseguir e os controles internos são uma importante ferramenta para que 
sejam atingidos.
Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos64
65Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos
ATTIE, W. Auditoria: conceitos e aplicações. 5. ed. São Paulo: Atlas, 2010.
BRASIL. Tribunal de Contas da União. Critérios gerais de controle interno na administração 
pública. Brasília, DF: TCU, 2009.
BRASIL. Tribunal de Contas da União. Referencial básico de governança: aplicável a 
órgãos e entidades da administração pública: 2ª versão. Brasília, DF: TCU, 2014.
CAVALHEIRO, J. B. A organização do sistema de controle interno dos municípios. 2. ed. 
Porto Alegre: CRC/RS, 2003.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. 
Bem-vindo ao COSO. [S.l.]: COSO, c1985-2018. Disponível em: <https://translate.google.
com.br/translate?hl=pt-BR&sl=en&u=https://www.coso.org/&prev=search>. Acesso 
em: 12 jan. 2018.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. 
Controle interno: estrutura integrada: sumário executivo. São Paulo: IIA Brasil, 2013. 
COSTA, Eliezer Arantes da. Gestão Estratégica. São Paulo: Saraiva, 2003
CREPALDI, S. A. Auditoria contábil: teoria e prática. 2. ed. São Paulo: Atlas, 2002.
DELOITTE TOUCHE TOHMATSU. Lei Sarbanes-Oxley. São Paulo: IBGC, 2003. Disponível 
em: <http://www.ibgc.org.br/biblioteca/download/DELOITTE_2003_LeiSarbanes...
fol.pdf>. Acesso em: 03 fev. 2018.
FRANCO, H.; MARRA, E. Auditoria contábil. 4. ed. São Paulo: Atlas, 2001.
GIL, A. L.; ARIMA, C. H.; NAKAMURA, W. T. Gestão: controle interno, risco e auditoria. 
São Paulo: Saraiva, 2013.
GRUPO PORTAL DE AUDITORIA. Introdução à Lei Sarbanes Oxley (SOX). Curitiba, 2017. 
Disponível em: <https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-
-sox/>. Acesso em: 01 fev. 2017.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de orientação para 
gerenciamento de riscos corporativos. São Paulo: IBGC, 2007.
OLIVEIRA, L. M.; PEREZ JÚNIOR, J. H.; SILVA, C. A. S. Controladoria estratégica. 2. ed. São 
Paulo: Atlas, 2004.
RESKE FILHO, A.; JACQUES, E. A.; MARIAN, P. D. O controle interno como ferramenta 
para o sucesso empresarial. Revista Eletrônica de Contabilidade, Santa Maria, v. 1, n. 3, 
p. 107-118, 2005. 
DICA DO PROFESSOR
Veja nesta Dica do Professor, a qual traz o conteúdo de forma mais dinâmica, a definição e o 
papel dos controles internos para a gestão estratégica e o gerenciamento de riscos. Assim, como 
a lei que pauta as normas e os padrões do controle interno, e a metodologia mais utilizada no 
mundo de controle interno.
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) Existe uma série de regras básicas que toda entidade deve observar visando 
preservar seu patrimônio, que são chamadas de princípios do controle interno. 
Quando se diz que “oresponsável por cada tarefa facilita o gerenciamento, a 
execução das atividades e a responsabilidade sobre o resultado”, estamos falando de 
qual princípio?
A) Procedimentos documentados.
B) Estabelecimento de responsabilidades.
C) Autorização de transação.
D) Segregação de funções.
E) Rodízio de funcionários.
A governança corporativa, de acordo com o Instituto Brasileiro de Governança 
Corporativa - IBGC, apoia-se em quatro princípios básicos: transparência, equidade, 
prestação de contas e responsabilidade. Qual das opções abaixo define o princípio de 
2) 
“prestação de contas”?
A) Todas as decisões tomadas devem ser claras para todos os interessados, dentro e fora da 
organização.
B) Os sócios e as partes interessadas devem receber tratamento justo e igualitário dentro de 
uma empresa.
C) As organizações devem prestar contas de todas as atividades realizadas para seus sócios e 
para as demais partes interessadas de forma clara, concisa e compreensível.
D) Os agentes de governança devem ter uma visão ampla da empresa para zelar pela 
viabilidade econômico-financeira e todas as variações possíveis nesse processo.
E) Todas as atividades devem ser documentadas para facilitar a verificação dos 
procedimentos e evitar fraudes.
3) A gestão de ________________, segundo o IBGC, é parte integrante da governança e 
responsabilidade da alta administração, e é “um instrumento de tomada de decisão 
da alta administração que visa  _______________________ o desempenho da 
organização pela identificação de ______________ de ganhos e de redução de 
probabilidade e/ou ______________ de perdas, indo além do cumprimento de 
demandas regulatórias”.
A) riscos corporativos, melhorar, oportunidades, impacto
B) projetos, melhorar, oportunidades, impacto
C) riscos, piorar, oportunidades, impacto
D) projetos, piorar, oportunidades, impacto
E) riscos, melhorar, impacto, oportunidades
4) É o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e 
incentivadas, envolve a participação e relacionamento entre sócios, conselho de 
administração, diretoria, órgãos de fiscalização e controle e demais partes 
interessadas. Qual opção abaixo corresponde corretamente a essa definição?
A) Responsabilidade corporativa.
B) Ambiente de controle.
C) Gestão de riscos corporativos.
D) Controle interno.
E) Governança corporativa.
5) De acordo com o COSO I, o controle interno é constituído por cinco componentes; 
e um deles é o: “estabelecimento de políticas e procedimentos que ajudam a 
assegurar que os objetivos operacionais sejam atingidos e as estratégias para atenuar 
riscos sejam seguidas”. Qual das opções abaixo corresponde ao componente dessa 
definição?
A) Ambiente de controle.
B) Avaliação de riscos.
C) Atividades de controle.
D) Informação e comunicação.
E) Monitoramento.
NA PRÁTICA
O controle interno deve ser sistemático e voltado para o gerenciamento de risco. Esta prática vai 
compreender os riscos ao qual a empresa está exposta e, assim, estabelecer estratégias que 
combatam as ameaças, diminuam os erros e irregularidades e, assim, permitir que as metas e os 
objetivos sejam cumpridos com eficiência e eficácia. 
 
A situação proposta a seguir demonstra a importância de se ter um controle interno eficiente na 
empresa. 
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
Controle Interno como Ferramenta de Gestão
O controle interno é de grande relevância tanto para empresas privadas quanto públicas, 
representando uma importante ferramenta de gestão. O video menciona sobre o controle interno 
na administração pública, cujas considerações são aplicáveis também ao contexto da 
administração privada
Conteúdo interativo disponível na plataforma de ensino!
A contribuição dos controles internos para a eficácia e eficiência da gestão operacional: 
um estudo de caso
O artigo apresenta um estudo de caso sobre a eficácia do controle interno em uma empresa 
pertencente ao ramo moveleiro da cidade de Pato Branco-Pr, proporcionando a visualização de 
uma prática real.
Conteúdo interativo disponível na plataforma de ensino!
Introdução à Lei Sarbanes Oxley (SOX)
Conheça um pouco sobre a Lei Sarbanes-Oxley ou como também conhecida SOX, que possui a 
finalidade de: identificar, combater e prefinir fraudes e erros, assim você entenderá a 
aplicabilidade, funcionalidade e as penalidades pelo seu descumprimento.
Conteúdo interativo disponível na plataforma de ensino!
Estruturação dos riscos na organização, 
processos e agentes envolvidos
APRESENTAÇÃO
O sucesso do gerenciamento de riscos irá depender da implementação de uma estrutura de riscos 
eficaz na organização, com a utilização de uma abordagem que seja adequada e compatível com 
a natureza de suas operações e complexidade de seus produtos.
Os projetos surgem nas organizações por demandas, exigências ou necessidades de melhorias. 
Há expectativas por parte de pessoas, organizações e entidades, ou seja, as partes interessadas ou 
stakeholders, que necessitam ser atendidas ou que serão afetadas por uma decisão, atividade ou 
resultado de um projeto.
Nesta Unidade de Aprendizagem, você vai estudar a estruturação dos riscos, as atividades 
relevantes do processo de estruturação dos riscos e os agentes envolvidos no processo de 
gerenciamento dos riscos.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Definir estruturação dos riscos.•
Identificar as atividades relevantes do processo de estruturação dos riscos.•
Relacionar agentes envolvidos no processo de gerenciamento dos riscos.•
DESAFIO
A estruturação dos riscos é essencial, pois possui algumas atividades que, em virtude da 
relevância, são comuns em todas as abordagens quando se trata de gerenciamento de riscos.
Uma empresa do ramo calçadista está pensando em lançar uma nova linha de calçados, com a 
expectativa de que esses produtos possam trazer um maior retorno para a organização. Porém, a 
empresa sabe que o lançamento de um novo produto é um projeto de grande relevância, que 
requer um gerenciamento adequado, com muito cuidado e planejamento, em diversos aspectos, 
o que inclui os riscos envolvidos, pois ;são algo natural a todo e qualquer projeto, podendo 
impactar nos seus resultados.
Então, em meio às diversas demandas envolvidas no gerenciamento do projeto, a empresa 
decide realizar um estudo para gerenciamento dos riscos envolvidos, e, para isso, contrata uma 
consultoria especializada.
A empresa escolhida foi a sua, e você foi o consultor designado para assessorar a empresa no 
projeto, orientando a equipe que foi formada para conduzir a gestão de riscos. Para iniciar seu 
trabalho, você precisa apresentar a essa equipe os seguintes tópicos:
A. Apresentar quais são as três atividades mais essenciais ao processo de estruturação dos 
riscos, explicando brevemente cada uma delas.
B. Oferecer orientações de como a equipe pode conduzir cada uma dessas etapas, apresentando 
considerações e/ou indicando ferramentas que possam ser utilizadas.
INFOGRÁFICO
Veja no Infográfico todos os agentes envolvidos no gerenciamento de risco em um projeto.
CONTEÚDO DO LIVRO
Os riscos estão por toda parte e são inerentes a projetos e organizações de qualquer tipo. Além 
disso, os riscos são algo em constante movimentação, fazendo com que seu gerenciamento seja 
um processo contínuo, uma vez que, mesmo identificando os riscos no início de um projeto ou 
negócio, novos riscos irão surgir ao longo do seu ciclo de vida, e, por isso, é necessário que a 
empresa seja capaz de definir estratégias que lhe permitam lidar com os riscos de forma 
adequada, reduzindo ameaças (riscos negativos) e potencializando oportunidades (riscos 
positivos). 
 
Para uma gestão de riscos eficaz, a empresa precisa estabelecer uma estrutura adequada, que 
pode ser formada através das recomendaçõesderivadas de diversas técnicas e abordagens, tais 
como as oferecidas pelo COSO, pela ISO 31000 e pelo PMI que, por sua vez, utilizam 
diferentes ferramentas, como suporte ao processo de estruturação dos riscos, tais como a Matriz 
de Riscos e a Matriz SWOT, por exemplo. Neste capítulo, Estruturação dos riscos na 
organização, processos e agentes envolvidos, do livro Gerenciamento de riscos, além dessas 
recomendações para a estruturação dos riscos, você encontrará as atividades que são relevantes 
ao processo de estruturação dos riscos, e, ainda, os agentes envolvidos nesse contexto. 
 
Boa leitura.
GERENCIAMENTO 
DE RISCOS 
Simone Fraporti
Estruturação dos riscos na 
organização, processos 
e agentes envolvidos
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Definir estruturação dos riscos.
 � Identificar as atividades relevantes do processo de estruturação dos
riscos.
 � Relacionar os agentes envolvidos no processo de gerenciamento
dos riscos.
Introdução
O sucesso do gerenciamento de riscos depende da implementação de 
uma estrutura de riscos eficaz na organização, com a utilização de uma 
abordagem que seja adequada e compatível com a natureza de suas 
operações e complexidade de seus produtos. Os projetos surgem nas 
organizações por demandas, exigências ou necessidades de melhorias. 
Há expectativas, por parte de pessoas, organizações e entidades, ou 
seja, as partes interessadas ou stakeholders, que necessitam ser aten-
didas ou que serão afetadas por uma decisão, atividade ou resultado 
de um projeto. 
Neste capítulo, você irá estudar a estruturação dos riscos, as atividades 
relevantes do processo de estruturação dos riscos e os agentes envolvidos 
no processo de gerenciamento dos riscos.
Estruturação dos riscos
O processo de gerenciar riscos em uma organização pode ser realizado por 
uma variedade de técnicas e abordagens, dentre as principais destacam-se 
as abordagens sugeridas pelo COSO (COMMITTEE OF SPONSORING 
ORGANIZATIONS OF THE TREADWAY COMMISSION, 2007), pela 
ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) 
e pelo PMI (PROJECT MANAGEMENT INSTITUTE, 2014), cada uma delas 
enfatiza a importância do gerenciamento de riscos e recomenda que sejam 
utilizados determinados componentes ou atividades. 
O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, Committee 
of Sponsoring Organizations of the Treadway Commission) é uma organização sem fins 
lucrativos, constituída por conceituadas entidades profissionais da área contábil e de 
auditoria norte-americanas, criada em 1985. Seu intuito é a melhoria contínua dos 
relatórios financeiros, sempre pautados na ética, efetividade dos controles internos e 
governança corporativa. 
A Organização Internacional de Normalização ISO 31000 – norma brasileira publicada 
em 2009, baseada na AS/ZNS, fornece princípios e diretrizes genéricas para auxiliar as 
organizações na sua gestão de riscos. 
O Project Management Institute (PMI), ou Instituto de Gerenciamento de Projetos, é 
a maior associação sem fins lucrativos do mundo para profissionais de gerenciamento 
de projetos.
Acesse a norma ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) 
no link a seguir: 
https://goo.gl/e1yN7Y
Conheça também o PMI no site do Project Management Institute (c2018): 
https://goo.gl/Ju6ZpG
Estruturação dos riscos na organização, processos e agentes envolvidos68
A estrutura do processo de gerenciamento de riscos proposto pelo COSO 
(COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREA-
DWAY COMMISSION, 2007) é constituído de oito componentes que se 
inter-relacionam entre si, pelos quais a administração gerencia a organização. 
Eles estão integrados com o processo de gestão e possuem os componentes 
detalhados a seguir.
Ambiente de interno: é a cultura de controle interno da entidade, na qual 
o controle é efetivo quando as pessoas conhecem as suas responsabilidades,
os limites de autoridade e consciência e possuem a competência e o compro-
metimento de fazerem o que é certo e de maneira correta.
Fixação de objetivos: a administração deve dispor de um processo im-
plementado que lhe permita fixar os objetivos de forma alinhada à missão da 
empresa, consistente com a propensão ao risco previamente definida.
Identificação dos eventos: eventos internos e externos que afetam o 
cumprimento dos objetivos devem ser identificados e separados entre riscos 
e oportunidades.
Avaliação de risco: os riscos devem ser avaliados com base na proba-
bilidade e no impacto, e os resultados dessa avaliação devem orientar o seu 
gerenciamento.
Respostas ao risco: a gerência deve estabelecer as regras de gerenciamento, 
aceitando, reduzindo, partilhando ou evitando os riscos e desenvolvendo 
ações para alinhar o seu gerenciamento de acordo com a propensão de risco 
previamente explicitada.
Atividades de controle: são os procedimentos de controle interno desti-
nados à redução ou administração dos riscos. Podem ser de caráter preventivo 
ou de detecção.
Informação e comunicação: comunicação é o fluxo de informações dentro 
de uma entidade, e a informação é o conhecimento que move as organizações 
e a sociedade.
Monitoramento: é a avaliação dos controles internos ao longo do tempo, se 
efetivos ou não. Podem ser contínuos ou pontuais, envolvendo autoavaliações, 
revisões e auditoria. 
A NBR ISO 31000/2009 (ASSOCIAÇÃO BRASILEIRA DE NORMAS 
TÉCNICAS, 2009) fornece princípios e orientações gerais para o gerenciamento 
de riscos. Como não é específica para nenhum ramo de atividade ou porte, pode 
ser utilizada por qualquer tipo de organização e ser aplicada a qualquer tipo ou 
natureza de risco. Não é uma norma que exige certificação, e foi estabelecida 
com o objetivo de harmonizar os processos de gestão de riscos e auxiliar a 
organização a integrar a gestão de riscos em seu sistema de gestão global. Para 
69Estruturação dos riscos na organização, processos e agentes envolvidos
tanto, a norma recomenda que as organizações adaptem os componentes de 
estrutura a suas necessidades específicas, por meio das seguintes indicações 
(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009):
Comunicação e consulta: informação às partes interessadas, internas e 
externas, deve ocorrer durante todas as fases do processo de gestão de riscos 
e desenvolve planos.
Estabelecimento do contexto: define objetivos, parâmetros internos e ex-
ternos e estabelece o escopo e os critérios de riscos para o restante do processo.
Avaliação de riscos: processo global de identificação, análise e avaliação 
de riscos.
Tratamento de riscos: consiste na seleção de uma ou mais opções para 
modificar os riscos e a implementação dessas opções.
Monitoramento e análise crítica: convém que sejam planejados como 
parte do processo de gestão de riscos e envolvam a checagem ou vigilância 
regulares.
Para o PMI, o gerenciamento de riscos é parte integrante do gerenciamento 
de projetos. Segundo o Guia PMBOK® (PROJECT MANAGEMENT INS-
TITUTE, 2014), o gerenciamento dos riscos do projeto inclui os processos de 
planejamento, identificação, análise, planejamento de respostas, monitoramento 
e controle de riscos de um projeto. Seu objetivo é maximizar a exposição aos 
eventos positivos e minimizar a exposição aos eventos negativos.
Planejar o gerenciamento de riscos: decidir como abordar, planejar e 
executar as atividades de gerenciamento de riscos de um projeto.
Identificar os riscos: determinar os riscos que podem afetar o projeto e 
documentar suas características.
Realizar análise (qualitativa e quantitativa) de riscos: priorizar os 
riscos para análise ou ação adicional subsequente por meio de avaliação e 
combinação da probabilidade de ocorrência e impacto e medir o efeito dos 
riscos identificados nos objetivos gerais do projeto.
Planejar as respostas aos riscos: desenvolver opções e ações para aumentar 
as oportunidades e reduzir as ameaças aos objetivos do projeto.
Controlar os riscos:acompanhar os riscos identificados, monitorar os 
riscos residuais, identificar novos riscos, executar planos de respostas aos 
riscos e avaliar a sua eficácia durante todo o ciclo de vida do projeto.
Diferenças a parte, você pode perceber que alguns desses componentes 
são comuns a todas as abordagens e, analisando a descrição das atividades 
executadas nessas diferentes etapas, é possível considerar que as atividades, de 
uma forma geral, estão contempladas, algumas de forma implícita nas demais. 
Estruturação dos riscos na organização, processos e agentes envolvidos70
Planejar gerenciamento de riscos: esta etapa tem como objetivo definir 
a estratégia a ser utilizada para o gerenciamento de riscos durante todo o 
projeto, e está implícita nas etapas de estabelecimento do contexto na ISO 
31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) e 
na fixação de objetivos na abordagem do COSO (COMMITTEE OF SPON-
SORING ORGANIZATIONS OF THE TREADWAY COMMISSION, 2007).
Identificar riscos: o objetivo dessa atividade é o levantamento de todas 
as possibilidades de riscos existentes. Todas as abordagens contemplam a 
identificação de riscos. 
Preparar análise qualitativa e análise quantitativa dos riscos: essa 
etapa tem como objetivo a priorização dos riscos e sua análise numérica. As 
atividades de análises qualitativa e quantitativa constam como atividades 
distintas apenas no PMBOK (PROJECT MANAGEMENT INSTITUTE, 
2014). Na abordagem do COSO (COMMITTEE OF SPONSORING ORGA-
NIZATIONS OF THE TREADWAY COMMISSION, 2007) consta de forma 
geral (conjunta), em que são realizadas análises qualitativas, como definição 
de probabilidade e impacto dos riscos, e análises quantitativas. Na NBR ISO 
31.000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) 
essa análise é informada de uma forma geral, não apresentando opções ou 
como realizar.
Planejar respostas aos riscos: tem como objetivo principal a realização do 
plano de ação para os riscos identificados. Realizada em todas as abordagens.
Monitorar e controlar riscos: tem como objetivo principal avaliar a 
efetividade dos planos de ação executados e avaliar os desvios ocorridos 
em função do que foi planejado. Na abordagem COSO (COMMITTEE OF 
SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION, 
2007) está descrita como monitoramento, na ISO 31000 (ASSOCIAÇÃO 
BRASILEIRA DE NORMAS TÉCNICAS, 2009) como monitoramento e 
análise crítica e no PMBOK (PROJECT MANAGEMENT INSTITUTE, 
2014) como controle de riscos. 
Comunicar riscos: essa etapa tem como objetivo principal o estabeleci-
mento da comunicação entre os principais interessados no projeto (stakehol-
ders). Consta na abordagem COSO (COMMITTEE OF SPONSORING OR-
GANIZATIONS OF THE TREADWAY COMMISSION, 2007) e na ISO 
31.000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009). 
Entretanto, apesar de não constar como etapas das abordagens do PMBOK 
(PROJECT MANAGEMENT INSTITUTE, 2014), pode estar implícita na 
etapa de “Controlar riscos”.
71Estruturação dos riscos na organização, processos e agentes envolvidos
Ambiente de controle: consta especificamente na abordagem do 
COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE 
TREADWAY COMMISSION, 2007) e é a cultura de controle interno da 
entidade e envolve competência técnica e compromisso ético, em que a 
postura da alta administração, pelo exemplo, é fator determinante para 
criação desse valor.
Desse modo, em relação às abordagens de gerenciamento de riscos apresen-
tadas, você pode observar que elas são muito semelhantes no contexto geral, 
algumas detalhando um pouco mais as suas descrições de algumas atividades, 
e outras ficando subentendidas nas demais. Como resultado, a estruturação 
dos riscos em qualquer que seja a abordagem escolhida, tende a observar e 
cobrir os mesmos aspectos globais. 
Cabe ressaltar que os profissionais envolvidos no gerenciamento de riscos 
devem ser qualificados, e os sistemas computacionais e bancos de dados 
utilizados precisam ser confiáveis. Além disso, o gerenciamento de riscos 
precisa ser compreendido como uma filosofia, fazer parte da cultura e estar 
integrado à gestão e à operação da organização como um todo. Portanto, é 
possível o maior compromisso e responsabilidade dos gestores, resultando 
em uma organização melhor gerenciada em todos os aspectos, inclusive 
nos riscos.
Atividades relevantes do processo de estruturação de 
riscos
Para a adequada estruturação dos riscos por parte da organização, é essencial 
que a estrutura por ela definida para o gerenciamento de riscos seja adequada 
e compatível com a natureza de suas operações e com a complexidade dos 
seus produtos. O intuito disso é um gerenciamento mais efetivo dos vários 
aspectos envolvidos (recursos, eventos, produtos e riscos), permitindo uma 
visão mais clara dos objetivos e dos resultados do negócio e correspondendo a 
benefícios decorrentes da identificação sistemática das possíveis deficiências 
organizacionais.
Em um processo de gestão de riscos, podem existir várias atividades de 
acordo com a abordagem a ser seguida, cada uma utilizando uma nomenclatura 
própria para cada etapa. Porém, algumas atividades, em virtude da sua rele-
vância, são comuns a todas as abordagens que tratam sobre o gerenciamento 
de riscos. Desse modo, podem ser consideradas como etapas ou atividades 
básicas (essenciais) e, portanto, cabe promover o seu destaque. Assim, você 
Estruturação dos riscos na organização, processos e agentes envolvidos72
pode considerar as seguintes atividades relevantes do processo de estruturação 
dos riscos:
 � Identificação: em que o ponto de partida é descobrir os riscos e defini-
-los com algum detalhamento e em um formato estruturado.
 � Avaliação: os riscos são avaliados quanto à probabilidade e ao impacto 
de sua ocorrência.
 � Tratamento: uma abordagem para o tratamento de cada risco deve ser 
definida, mas, em alguns casos, não se pode fazer nada. Isso requer
uma análise da aceitabilidade do risco, podendo requerer um plano de 
ação para prevenir, reduzir ou transferir o risco.
Identificação dos riscos 
Se os riscos são eventos que podem de alguma forma impactar os objetivos da 
organização, e é fundamental para sua sobrevivência que os objetivos sejam 
atingidos, então é extremamente necessário que se adotem medidas para se 
lidar com riscos. 
Porém, não se pode lidar com o que não é conhecido, ou seja, os riscos 
devem ser identificados. Saber identificar e tratar os riscos é essencial 
para o bom desempenho de uma organização, pois identificando e tratando 
corretamente os riscos, ela aumenta as chances de sucesso de seus projetos, 
melhora a gestão de departamentos e preserva sua imagem, entre tantos 
outros benefícios. 
Mas, afinal, como identificar riscos? A identificação de riscos, de acordo 
com Wolmer (2013) requer a identificação de eventos indesejados, as suas 
causas e consequências (consequências no sentido de impacto que o risco 
poderá causar no objetivo). 
Causa de risco é a condição que poderá dar origem a um evento, também 
chamadas de fatores de risco. Sua origem pode ser tanto no ambiente interno 
como no externo da organização, e a consequência do risco é o resultado de 
um evento sobre os objetivos, ou seja, o impacto que um evento poderá causar 
se o risco se materializar. Então, quando a fonte de risco encontra alguma 
vulnerabilidade na organização, surge a causa do risco, observe o Quadro 1. 
73Estruturação dos riscos na organização, processos e agentes envolvidos
Fonte: Adaptado de Wolmer (2013).
Fonte de risco Vulnerabilidade
Pessoas
 � Número insuficiente
 � Sem capacitação adequada
 � Perfil inadequado para o cargo
 � Desmotivadas
 � Ardilosas
Processos
 � Processos mal concebidos (fluxo, desenho)
 � Sem manuais ou procedimentos formalizados
 � Ausência de segregação de funções
Tecnologia 
da informação
 � Sistemas obsoletos
 � Sem integração
 � Sem manuais de operação
 � Sem backups
Estrutura 
organizacional
 � Falta de clareza quanto às funções e/ou às 
responsabilidades� Deficiência nos fluxos de informação e comunicação
 � Centralização de responsabilidades
 � Delegações exorbitantes
Infraestrutura física
 � Localização inadequada
 � Instalações ou layout inadequados
 � Inexistência de controles de acessos
Tecnologia 
de produto
 � Técnica de produção ultrapassada
 � Produto obsoleto
 � Inexistência de investimento em pesquisa e 
desenvolvimento
 � Tecnologia sem proteção de patentes
 � Processo produtivo sem proteção contraespionagem
Quadro 1. Fontes de risco vs. vulnerabilidades.
Identificar os riscos é um processo contínuo, porque novos riscos podem 
surgir ou se tornar conhecidos durante o ciclo de vida do projeto. A frequência 
da iteração e os participantes de cada ciclo variam de acordo com a situação.
Processo de análise e avaliação dos riscos
Para se definir qual tratamento será dado a determinado risco, o primeiro 
passo consiste em determinar o seu efeito potencial, ou seja, o grau de 
Estruturação dos riscos na organização, processos e agentes envolvidos74
exposição da organização àquele risco e a capacidade e o preparo para 
administrá-lo. 
Esse grau considera pelo menos três aspectos, a probabilidade de ocorrência, 
a vulnerabilidade e o seu impacto, e os eventos podem ser independentes ou, 
ainda, pode haver interdependência entre os riscos. Nesse caso, o grau de 
exposição irá depender do impacto financeiro consolidado, da probabilidade, 
da velocidade ou da vulnerabilidade conjunta de todos os eventos, devendo ser 
medido quantitativamente e de acordo com a metodologia de cada empresa. 
A maneira mais usual de se documentar o impacto, a probabilidade ou a 
vulnerabilidade em relação aos riscos identificados é por meio do mapa ou 
matriz de riscos (ver Figura 1). Em uma qualificação simplificada dos riscos, 
podemos trabalhar com três níveis de probabilidade (baixa, média e alta) e 
impacto (baixo, médio e alto), em que o cruzamento dessas duas dimensões 
geram nove combinações. A partir dessas combinações é possível definir 
prioridades e estabelecer o tratamento mais adequado a cada risco.
Conheça melhor a matriz de risco no artigo de Bertolucci (2016), disponível no link 
a seguir 
https://goo.gl/RA32Lu
Figura 1. Matriz de riscos.
Fonte: Zyngier (2012).
Matriz de
riscos
Probabilidade
Baixo Médio Alto
Baixo
Médio
Alto
Im
p
a
c
to
Muito baixo
Baixo
Médio
Baixo
Médio
Alto
Médio
Alto
Muito alto
75Estruturação dos riscos na organização, processos e agentes envolvidos
Considerando o resultado apresentado na matriz de riscos, temos a demons-
tração de que nem todos os riscos precisam ou devam ser controlados, pois 
quando a probabilidade de um risco e o impacto nos objetivos da organização 
são baixos, a empresa pode decidir por aceitar o risco, em vez de investir 
recursos em seu gerenciamento e controle. 
Os riscos influenciam os objetivos, alguns mais outros menos, portanto, 
é a partir da classificação do risco no mapa de riscos (tipo de risco negativo 
ou positivo), que a organização define a estratégia que irá adotar (ZYNGIER, 
2012).
Tratamento dos riscos
Para o tratamento de riscos que promovem impactos negativos nos objetivos 
do projeto ou empresa, são sugeridas quatro ações por Zyngier (2012), que são:
Prevenir ou evitar: a prevenção de riscos envolve mudanças no plano 
de gerenciamento do projeto, o esclarecimento dos requisitos, a obtenção de 
informações, a melhoria da comunicação ou a aquisição de especialização 
podem prevenir alguns riscos que surgem no início do projeto.
Transferir: a ação e transferir riscos exige a passagem do impacto negativo 
de uma ameaça para terceiros, nesse caso, essa transferência de riscos não 
elimina os riscos, ela simplesmente delega a uma outra parte a responsabili-
dade por seu gerenciamento. A transferência de riscos quase sempre envolve 
o pagamento de um prêmio de risco à parte que assume o risco, por exemplo,
os seguros, garantias, etc.
Mitigar: mitigar um risco é a ação de reduzir a probabilidade e/ou 
impacto de um evento de risco adverso, até um limite aceitável que a organi-
zação considere aceitável. A realização de ações para reduzir a probabilidade 
e/ou o impacto de um risco que está ocorrendo no projeto é normalmente 
mais eficaz do que a tentativa de reparar os danos após a ocorrência do 
risco. A adoção de processos menos complexos, realizando mais testes, ou 
a escolha de um fornecedor mais estável constituem exemplos de ações de 
mitigação.
Aceitar ativamente: refere-se à decisão de não alterar o risco devido à 
baixa probabilidade de acontecimentos ou impacto reduzido, porém o risco 
deverá ser monitorado e uma atividade de contingência ser preparada.
Aceitar passivamente: quando a equipe resolve que a ocorrência do risco 
trará insignificante impacto ao projeto, a ponto de sequer valer a pena monitorá-
-lo e, caso aconteça, alguma correção será então preparada.
Estruturação dos riscos na organização, processos e agentes envolvidos76
Os riscos negativos geram prejuízos para a organização e são sempre 
lembrados, ao passo que os riscos positivos têm características de gerar oportu-
nidades, possibilitando redução de custos ou aumento de lucros ao produto do 
projeto. Os riscos são classificados pela matriz de riscos, já as oportunidades 
são classificadas pela matriz de oportunidades. 
Em um contexto corporativo, geralmente as oportunidades costumam 
integram um cenário incerto, juntamente das ameaças, ou seja, para que 
uma organização consiga tirar proveito de uma oportunidade, ela também 
precisa identificar e saber lidar com as suas ameaças. Neste contexto, uma 
ferramenta muito utilizada para o mapeamento de oportunidades é a matriz 
SWOT ou FOFA.
A matriz SWOT se trata de uma ferramenta estrutural da administração 
que possui como principal finalidade avaliar os ambientes internos e exter-
nos, formulando estratégias de negócios para a empresa, com a finalidade de 
otimizar seu desempenho de mercado. 
Leia mais sobre a matriz SWOT no artigo de Bastos 
(2014), disponível no link a seguir:
https://goo.gl/d1gxqT
Diante da possibilidade de redução de custos ou aumento de lucros do 
projeto ou da empresa, os riscos com impactos potencialmente positivos me-
recem especial atenção. Para tratamento dos riscos positivos, Zyngier (2012) 
sugere as seguintes ações:
Explorar ou provocar: essa estratégia tenta eliminar a incerteza as-
sociada a um risco positivo específico, fazendo a oportunidade definiti-
vamente acontecer. Quando a organização deseja que a oportunidade seja 
concretizada, a exploração inclui a designação de recursos mais capacitados 
para o projeto, a fim de reduzir o tempo para término ou fornecer uma 
qualidade maior.
77Estruturação dos riscos na organização, processos e agentes envolvidos
Compartilhar: envolve a atribuição da propriedade a terceiros que possam 
capturar melhor a oportunidade em benefício do projeto, como a formação de 
parcerias, equipes, empresas de propósito específico com o objetivo expresso 
de gerenciar oportunidades.
Melhorar ou alavancar: tem o objetivo de modificar o “tamanho” de 
uma oportunidade por meio do aumento da probabilidade e/ou dos impactos 
positivos e pela identificação dos principais acionadores desses riscos de 
impacto positivo. 
Enfim, é muito importante que os responsáveis pela gestão (de projetos, de 
riscos e da organização como um todo) também vislumbrem os riscos, tanto 
os negativos como os positivos, assim como as oportunidades criadas pelas 
ameaças identificadas, pois podem trazer belos resultados para os projetos 
da organização.
Agentes envolvidos no processo de 
gerenciamento dos riscos
O PMI (PROJECT MANAGEMENT INSTITUTE, 2014) destaca que o ge-
renciamento de projeto é composto pelas seguintes áreas de conhecimento: 
integração, escopo, tempo, custo, qualidade, recursos humanos, comunicação, 
aquisição e riscos. Nesse sentido, sendo a área de gerenciamento de riscos parte 
integrante do gerenciamento de projetos, muitas definições sobre gerenciamentode projetos são aplicáveis ao gerenciamento de riscos. Também, a conotação 
de “projeto” pode ser associada à “empresa” de forma geral.
O PMBOK diz que essa área inclui os processos necessários para identifi-
car as pessoas, os grupos ou as organizações que, de alguma forma, possam 
afetar ou ser afetados pelo projeto, sendo necessário analisar as expectati-
vas das partes interessadas e seu impacto sobre o projeto para viabilizar o 
desenvolvimento de estratégias de gerenciamento adequadas e engajar as 
partes interessadas nas decisões e na execução do projeto PMI (PROJECT 
MANAGEMENT INSTITUTE, 2014). Observe o esquema apresentado na 
Figura 3. 
Estruturação dos riscos na organização, processos e agentes envolvidos78
Figura 2. Análise das partes interessadas.
Fonte: adaptada de Project Management Institute (2014).
Expectativas
InfluênciaInteresse
Relacionamento
com o projeto
Valle et al. (2014) definem parte interessada, ou stakeholders, como o 
público estratégico, que pode ser uma pessoa, um grupo ou uma organiza-
ção. Engloba todas as pessoas que de alguma forma podem influenciar ou 
ser afetados por uma decisão, atividade ou resultado de um projeto. Assim, 
considera-se parte interessada o patrocinador, os fornecedores, os membros 
da equipe de projeto, os membros da diretoria da empresa e o público externo 
(usuários e vizinhos) que sejam afetados pelo projeto. Cada projeto terá o seu 
grupo de parte interessada que são, naturalmente, as partes envolvidas com 
os riscos, a questão será identificar todas as partes. 
As partes interessadas em um projeto (que pode ser entendido também 
como a organização de forma geral) são todas as partes que estão envolvidas 
com os seus riscos. Entre essas partes interessadas, podemos destacar:
Patrocinadores: acionistas, investidores, financiadores, parceiros e su-
pervisores de alta gerência.
Internos: equipe, executivos, colaboradores e departamentos. 
Externos: órgãos governamentais, sindicados, ambientalistas, comunidade 
e mídia.
Mercado: clientes, concorrentes e atacadistas.
Fornecedores: matéria prima, serviços e tecnologia.
79Estruturação dos riscos na organização, processos e agentes envolvidos
Esse processo, segundo o PMBOK (PROJECT MANAGEMENT INSTI-
TUTE, 2014) é composto por quatro fases.
Identificar as partes interessadas: é o processo de identificação das 
pessoas, grupos ou organizações que possam afetar ou serem afetados por 
uma decisão, atividade, ou resultado do projeto; e analisar e documentar 
as informações relevantes relacionadas aos seus interesses, envolvimento, 
interdependência, influência e impacto potencial no sucesso do projeto, 
envolvem: 
 � identificar todas as partes interessadas e as informações relevantes
sobre elas;
 � coletar seus interesses e expectativas com o projeto;
 � determinar qual seu nível de influência;
 � determinar o impacto que cada parte interessada pode gerar.
Planejar o gerenciamento: é o processo de desenvolvimento das estratégias 
de gerenciamento adequadas para envolver efetivamente as partes interessadas 
durante todo o ciclo do projeto, com base na análise de suas necessidades, 
interesses e potencial impacto sobre o sucesso do projeto.
Gerenciar o engajamento: é o processo de comunicação e interação 
com as partes interessadas para atender as suas necessidades/expectativas; 
solucionar questões, à medida que ocorrem; e promover o engajamento das 
partes interessadas nas atividades do projeto. A intenção é aumentar as 
chances de aceitação, evitar que certas questões fiquem pendentes, ajudar as 
partes interessadas a entender os benefícios e riscos do projeto e encorajar 
as partes interessadas a participar ativamente no projeto. Com relação ao 
seu nível de engajamento no projeto, a parte interessada pode receber a 
seguinte classificação:
 � inconsciente (ou desinformado), que não tem conhecimento do projeto
e seus impactos;
 � resistente, que tem conhecimento do projeto e seus impactos, mas é
resistente e não apoiador;
 � neutro, que tem conhecimento do projeto, mas não é resistente e nem
apoiador;
 � apoiador, que tem conhecimento do projeto e seus impactos e fornecerá 
apoio às mudanças;
 � entusiasta (lidera), que tem conhecimento do projeto e seus impactos e
estará ativamente engajado para dar suporte ao projeto.
Estruturação dos riscos na organização, processos e agentes envolvidos80
Controlar o engajamento: é o processo que deve monitorar, periodica-
mente, as relações das partes interessadas no projeto e ajustar as estratégias 
e planos para envolvê-las no processo. 
Para entender o interesse de uma parte no projeto, o importante é ter as 
informações corretas sobre cada participante e refletir sobre seus interesses 
e objetivos com o projeto. É fundamental que as partes interessadas sejam 
identificadas, pois seus interesses, que possuem graus diferentes de impor-
tância, influenciam na gestão de projetos a ser colocada em prática, além de 
ajudar na avaliação dos riscos que será feita. 
As partes interessadas mais importantes de um projeto são aquelas que 
sofrem interferência direta ou que apresentam um alto grau de influência sobre 
o projeto, podendo ser tanto internas como externas. Brainstorming, pesquisas
de mercado e conversas estão entre as formas de se fazer levantamento do
público envolvido.
Depois de listar e identificar as partes interessadas, o gestor deve buscar 
entender quais são os reais interesses e o nível de influência de cada um no 
projeto e, com isso, desenvolver planos de ação para cada uma das partes inte-
ressadas, definindo quais serão as formas de interagir, o tipo de comunicação 
que será empregada, a maneira de obter apoio, que tipo de riscos cada um 
pode trazer ao projeto e as respectivas estratégias para mitigá-los. Quanto mais 
complexo for o projeto, mais agentes estarão envolvidos e maiores deverão 
ser os esforços para identificá-los e classificá-los.
81Estruturação dos riscos na organização, processos e agentes envolvidos
Estruturação dos riscos na organização, processos e agentes envolvidos82
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO 31000:2009: gestão de riscos: 
princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
BASTOS, M. Análise SWOT (matriz): conceito e aplicação. [S.l.]: Portal Administração, 
2014. Disponível em: <http://www.portal-administracao.com/2014/01/analise-swot-
-conceito-e-aplicacao.html>. Acesso em: 01 fev. 2018.
BERTOLUCCI, R. Matriz de risco: uma ferramenta para avaliação de riscos. Curitiba: 
Auditoria Operacional, 2016. Disponível em: <https://auditoriaoperacional.com.br/
matriz-de-risco-uma-ferramenta-para-avaliacao-de-riscos/>. Acesso em: 09 jan. 2018.
CASAROTTO, C. Análise SWOT ou Matriz F.O.F.A.: entenda o conceito e como colocá-lo 
em prática. Belo Horizonte: Marketing de Conteúdo, 2016. Disponível em: <https://
marketingdeconteudo.com/como-fazer-uma-analise-swot/>. Acesso em: 09 jan. 2018.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. 
Gerenciamento de riscos corporativos: estrutura integrada: sumário executivo: estrutura. 
[S.l.]: PwC, 2007.
PROJECT MANAGEMENT INSTITUTE. Sobre o PMI. Newtown Square: PMI, c2018. Dis-
ponível em: <https://brasil.pmi.org/brazil/AboutUS.aspx>. Acesso em: 30 jan. 2018.
PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de 
projetos: guia Pmbok. 5. ed. São Paulo: Saraiva, 2014.
VALLE, J. Â. S. et al. Gerenciamento de stakeholders em projetos. Rio de Janeiro: FGV, 2014.
WOLMER, L. G. S. Diálogo público para melhoria da governança pública. São Paulo: 
TCU, 2013.
ZYNGIER, C. D. Riscos: o lado bom. [S.l.]: Projeto Gerenciado, 2012. Disponível em: 
<http://projetogerenciado.com.br/riscos-o-lado-bom/>. Acesso em: 10 jan. 2017.
Leitura recomendada
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Gerenciamento de riscos 
corporativos: evolução em governança e estratégia. São Paulo: IBGC, 2017. (Série 
Cadernos de Governança Corporativa, 19).
DICA DO PROFESSOR
Olá! Assista ao vídeo indicadopara que você consiga visualizar de uma forma mais ampla a 
estruturação do risco, conhecer as abordagens que podem ser implantadas, assim como entender 
que ambas possuem a mesma finalidade, apenas mudam as descrições.
Conteúdo interativo disponível na plataforma de ensino!
 
 
EXERCÍCIOS
1) É o processo que deverá monitorar periodicamente as relações das partes 
interessadas no projeto e ajustar as estratégias e os planos para envolvê-las no 
processo. Esta definição diz respeito a qual das atividades abaixo?
A) Identificar as partes interessadas.
B) Controlar o engajamento das partes interessadas.
C) Planejar o gerenciamento das partes interessadas.
D) Gerenciar o engajamento das partes interessadas.
E) Determinar o impacto que cada parte interessada pode gerar.
2) Segundo a ISO 31000, a etapa de _______________ consiste na seleção de uma ou 
mais opções para modificar os riscos e na implementação dessas opções. Qual das 
alternativas abaixo completa corretamente essa definição?
A) comunicação e consulta
B) estabelecimento do contexto
C) avaliação de riscos
D) tratamento de riscos
E) monitoramento e análise crítica
3) Quando a fonte de risco encontra alguma vulnerabilidade na organização, surge a 
causa do risco. Características como falta de clareza quanto às funções ou 
responsabilidades, deficiência nos fluxos de informação e comunicação, centralização 
de responsabilidades são exemplos de vulnerabilidades de qual fonte de risco?
A) Pessoas.
B) Processos.
C) Tecnologia da informação.
D) Estrutura organizacional.
E) Infraestrutura física.
4) Parte interessada em um projeto são, naturalmente, todas as partes que estão 
envolvidas com os seus riscos. Acionistas, investidores, financiadores, supervisores de 
alta gerência são exemplos de que grupo de parte interessada?
A) Patrocinadores.
B) Internos.
C) Externos.
D) Mercado.
E) Fornecedores.
5) Com relação ao nível de engajamento no projeto, a parte interessada que tem 
conhecimento do projeto e seus impactos e estará ativamente engajada para dar 
suporte é chamada de:
A) Inconsciente.
B) Resistente.
C) Neutro.
D) Apoiador.
E) Entusiasta.
NA PRÁTICA
O controle interno e o gerenciamento de riscos são fundamentais para a gestão da empresa. Uma 
das ferramentas para analisar e identificar os riscos é a matriz SWOT, a qual apresenta tantos os 
riscos negativos como os positivos. Os riscos negativos geram prejuízos para a organização, e os 
riscos positivos, oportunidades para o negócio.
A situação a seguir demonstra a importância de utilizar uma ferramenta para o gerenciamento de 
risco, de poder identificá-lo e tratá-lo.
Tiago está pensando em comprar uma academia já em funcionamento, que parece ser um bom 
negócio, segundo as informações apresentadas pelo proprietário (como faturamento e lucro).
Porém, Tiago sabe que precisa conhecer mais sobre o negócio, pois tem consciência de que um 
investimento como esse poderá trazer riscos, que podem ser tanto positivos (oportunidades) 
quanto negativos (ameaças).
Antes de tomar sua decisão, Tiago contratou uma consultoria, que realizou a identificação e 
análise/avaliação dos riscos e, de posse dessas informações, aplicou-as na matriz SWOT como 
ferramenta para tratamento dos riscos, através do estudo dos ambientes interno e externo da 
empresa.
Conteúdo interativo disponível na plataforma de ensino!
A partir desse estudo, Tiago pôde conhecer mais sobre o negócio, sentiu-se mais seguro e 
decidiu por realizar o investimento, sabendo dos desafios que teria pela frente e como poderia 
enfrentá-los.
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
Entenda a área de RISCOS do PMBOK em tempo recorde
Nesse vídeo você conhecerá mais sobre o gerenciamento de riscos através do PMBOK, que é 
uma das metodologias mais utilizadas no desenvolvimento de um projeto.
Conteúdo interativo disponível na plataforma de ensino!
Gestão de riscos corporativos: uma análise da percepção dos gestores das empresas 
paranaenses
O artigo apresenta um estudo de caso sobre a gestão de riscos corporativos, onde as atividades 
empresariais são expostas a partir da percepção dos gestores das empresas, podendo ter uma 
melhor visualização da realidade nas empresas.
Conteúdo interativo disponível na plataforma de ensino!
Guia de Orientação para Gerenciamento de Riscos Corporativos
O site apresenta um guia prático do gerenciamento de risco, mostrando os conceitos e objetivos 
juntamente com a aplicabilidade da matriz de risco.
Conteúdo interativo disponível na plataforma de ensino!
Fraude X Riscos
APRESENTAÇÃO
O gerenciamento de riscos, mesmo tendo como propósito a diminuição ou a eliminação das 
chances de riscos negativos, não é suficiente para anular todas elas, principalmente as chances 
de fraudes. Nesse sentido, é fundamental que seja feita a avaliação e a análise de todos os riscos, 
a fim de priorizá-los e dar o devido tratamento àqueles considerados mais importantes e 
impactantes para os objetivos da organização.
Nesta Unidade de Aprendizagem, você vai estudar a verificação qualitativa e quantitativa dos 
riscos, sua priorização e a relação entre a fraude e o contexto da gestão de riscos.
Bons estudos.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Descrever a verificação qualitativa e quantitativa dos riscos.•
Definir a priorização dos riscos.•
Relacionar a fraude e o contexto do gerenciamento de riscos.•
DESAFIO
A fraude é uma ação ou omissão, ilícita e desonesta, na tentativa de enganar alguém ou alguma 
instituição. Ela é intencional e visa ganho ilícito para o fraudador. A fraude é um risco que 
coloca as atividades de todas as organizações, de qualquer tipo, sob exposição contínua, 
podendo ser cometida por um indivíduo ou pela organização como um todo.
 
Para este Desafio, considere a existência de uma grande empresa, com muitos funcionários, que 
vem sofrendo constantemente com vários tipos de fraudes. Sua tarefa, aqui, é definir um plano a 
fim colocar em prática um programa de gerenciamento de riscos, levando em conta, no mínimo, 
as três fases citadas. Você deve indicar a ordem correta entre as fases e descrever brevemente o 
que consiste cada uma, para, então, informar seu plano de atividades.
INFOGRÁFICO
As atividades envolvidas pela verificação quantitativa e qualitativa de riscos têm o propósito de 
aumentar o entendimento da organização sobre fatores de risco enfrentados por ela. Veja, no 
Infográfico a seguir, a ilustração sobre a verificação qualitativa e quantitativa dos riscos.
CONTEÚDO DO LIVRO
O gerenciamento de riscos envolve um processo extremamente importante para proteger 
qualquer tipo de organização, devendo ser aplicado de maneira contínua e permanente. Mesmo 
tendo como propósito diminuir ou eliminar as chances de riscos que trazem impactos negativos, 
uma boa gestão ainda não é suficiente para anular todas as chances dos riscos ocorrerem ou, 
ainda, da organização sofrer com o surgimento de fraudes nos mais diversos processos e áreas.
No capítulo Fraude X Riscos, da obra, Gerenciamento de riscos, você entenderá a importância 
de analisar e avaliar todos fatores de riscos, a fim de priorizá-los, para que seja dado o 
tratamento adequado àqueles que forem considerados mais importantes e com maior potencial 
de impacto para os objetivos da organização. Você estudará, aqui, a verificação qualitativa e 
quantitativa dos riscos, a priorização destes e a relação entre a fraude e o contexto da gestão de 
riscos.
GERENCIAMENTO
DE RISCOS
Jeanine dos Santos 
Barreto 
Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147
F838g Fraporti, Simone.
 Gerenciamento de riscos / Simone Fraporti, Jeanine
 Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre : 
 SAGAH, 2018.
 166 p. ; 22,5 cm
 ISBN 978-85-9502-334-51. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.
 II. Título.
CDU 658.88
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas 
Especialista em Controladoria e Finanças
Fraude versus riscos
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Descrever a verificação qualitativa e quantitativa dos riscos.
 � Definir a priorização dos riscos. 
 � Relacionar a fraude e o contexto do gerenciamento de riscos.
Introdução
O gerenciamento de riscos, mesmo tendo como propósito a diminuição 
ou a eliminação das chances de riscos negativos, não é suficiente para 
anular todas as chances de riscos, principalmente de fraudes. Nesse 
sentido, é fundamental que seja feita a avaliação e a análise de todos 
os riscos, a fim de priorizá-los e dar o devido tratamento àqueles que 
forem considerados mais importantes e impactantes para os objetivos 
da organização.
Neste capítulo, você irá estudar a verificação qualitativa e quantitativa 
dos riscos, a priorização dos riscos e a relação entre a fraude e o contexto 
da gestão de riscos.
Verificação qualitativa e quantitativa dos riscos
A verificação quantitativa e qualitativa dos riscos é o conjunto de atividades 
que serve para aumentar o entendimento dos fatores de risco enfrentados pela 
organização, permitindo a decisão sobre quais riscos devem ser tratados. A 
atividade de verificação de riscos deve ser documentada de forma detalhada, 
permitindo revisões e auditoria (BRASIL, 2013).
Verificar os riscos de forma qualitativa e quantitativa torna possível 
determinar o nível dos riscos, do ponto de vista individual e também em 
comparação com os demais, o que visa permitir a priorização dos riscos, 
destacando aqueles que são os principais riscos positivos e negativos, a fim 
de que se evite assumir riscos que possam trazer grandes prejuízos ou perder 
oportunidades em potencial.
É importante frisar que a verificação qualitativa e quantitativa deve per-
correr toda a listagem de fatores de risco da organização. Cada fator de risco 
deve ser valorado, baseando-se em critérios que são definidos pela equipe de 
gestão de riscos. Essa avaliação sempre é iniciada pela forma qualitativa, para 
que depois se avance para a avaliação quantitativa de cada risco.
A verificação dos riscos compreende a definição de probabilidades de 
concretização para cada fator de risco e do impacto que as suas consequências 
podem ter sobre os objetivos da organização como um todo. A probabilidade 
de concretização de um fator de risco está associada às causas desse fator; já 
o impacto gerado sobre os objetivos da organização está associado às con-
sequências ou efeitos do fator de risco. Um fator de risco pode estar ligado a 
várias causas, e a sua concretização pode estar ligada a vários efeitos. Cada 
efeito gerado por um risco pode trazer impactos diferentes para a organização, 
e cada causa pode evidenciar várias probabilidades de um risco se concreti-
zar. As incertezas decorrem da falta de informação sobre o resultado de um 
acontecimento ou de uma decisão. É importante saber que sempre existirão 
incertezas em relação à cada risco, pois não se sabe se elas vão se concretizar 
ou não. Então, é importante que elas sejam todas identificadas e fiquem 
documentadas. Na Figura 1, você pode observar um esquema da análise de 
probabilidades e impactos.
Fraude versus riscos86
Figura 1. Esquema da análise de probabilidade e impacto.
A verificação dos riscos deve servir para identificar se existem controles 
na organização que sejam capazes de reduzir a probabilidade de concretização 
de um risco e prevenir os seus efeitos, para o caso de riscos negativos, ou 
estimular a probabilidade e aumentar os efeitos, no caso de riscos positivos. 
Inicialmente, o gerenciamento de riscos deve formar um entendimento 
qualitativo acerca dos objetivos estratégicos da organização e quais seriam 
os impactos dos eventos de riscos sobre cada um deles. Essa seria uma ava-
liação para definir em que nível a organização fica exposta, quando um fator 
de risco se concretiza (INSTITUTO BRASILEIRO DE GOVERNANÇA 
CORPORATIVA, 2007). 
A avaliação qualitativa vai possibilitar a análise de cada risco de acordo com 
variáveis que são definidas previamente, como a probabilidade de concretização 
ou o impacto capaz de causar, a vulnerabilidade, a velocidade de propagação 
87Fraude versus riscos
dos efeitos e o tempo de exposição da organização ou persistência do impacto. 
Essa abordagem é mais fácil de ser aplicada, pois se baseia fortemente na 
intuição e no empirismo, podendo inclusive servir para valorar riscos com 
impactos intangíveis, como a reputação. Normalmente, impede avaliações do 
tipo custo x benefício e apresenta resultados imprecisos. Algumas técnicas 
de avaliação qualitativas incluem as pesquisas, os workshops e a avaliação 
de cenários qualitativos.
Além da probabilidade e do impacto, existem outros aspectos que podem ser consi-
derados no momento de avaliar um risco:
 � Vulnerabilidade: quanto uma organização está preparada para a concretização 
de um risco, considerando a existência de uma resposta a ele e a sua agilidade 
na resposta.
 � Velocidade: qual a velocidade em que o risco se concretiza, ou seja, se ele acontece 
de surpresa ou gradualmente.
 � Exposição: por quanto tempo e em que grau a organização fica exposta ao risco.
Quando estiver terminada essa atividade de relacionar os fatores de risco 
com a estratégia da organização, a avaliação qualitativa deve ser transformada 
em uma avaliação quantitativa, que vai auxiliar no planejamento da empresa. 
A abordagem quantitativa precisa de valores numéricos e mais precisos 
para acontecer, servindo para avaliar a probabilidade ou o impacto gerado 
daqueles riscos que foram identificados na análise qualitativa, como aqueles 
que possuem maior probabilidade de concretização e de gerar maior impacto, 
por exemplo. Essa análise vai permitir avaliações do tipo custo x benefício e, 
também, a alocação de capital com base em dados válidos. Ela requer mais 
tempo para ser feita, mas apresenta resultados mais precisos, dependendo do 
grau de validade dos dados de entrada para os cálculos.
Essa atividade de planejamento envolve o detalhamento, no mínimo, de 
todas as receitas e despesas organizacionais, os custos, os investimentos e o 
fluxo de caixa estimado. Será necessário considerar muitas variáveis econô-
micas, como a tendência do mercado e das variáveis econômicas que afetam a 
organização. É preciso que o processo de gerenciamento de riscos seja capaz de 
quantificar as incertezas que podem estar envolvidas na fase de planejamento 
para projetar os resultados da organização em cenários econômicos diferentes.
Fraude versus riscos88
O impacto financeiro causado pelos fatores de risco na organização pode 
ser aferido de forma quantitativa por meio de uma técnica que se chama 
planejamento sob incerteza ou técnica de cenários. Para que essa técnica 
seja aplicada, é preciso que a organização (INSTITUTO BRASILEIRO DE 
GOVERNANÇA CORPORATIVA, 2007):
 � utilize alguma ferramenta ou metodologia que viabilize fazer simulações 
de cenários;
 � tenha capacidade de formular cenários com as principais variáveis que 
afetam o negócio.
A formulação de cenários diferentes requer pessoas capacitadas e com 
conhecimento em cada área estratégica da organização, pois ele deve ser 
detalhado, expressando o que cada elemento utilizado significa.
Cada área estratégica da empresa deve contar com profissionais capacitados para 
construir cenários, prevendo o que pode acontecer com a organização na possibilidade 
de concretização de algum fator de risco.
 � Área comercial: pode prever vendas maiores ou menores.
 � Área financeira: pode prever variações para as variáveis econômicas e para o grau 
de inadimplência dos clientes.
 � Área de compras: pode prever ações para faltas de estoque no caso de greve 
de fornecedores.
 � Área de recursoshumanos: pode prever como trabalhar com um contingente 
maior ou menor de funcionários.
É interessante que, após serem traçados os cenários de cada área estraté-
gica, sejam associadas à cada um deles as probabilidades que existem para 
que eles se confirmem. Isso vai auxiliar a quantificar os riscos e a estimar a 
possibilidade existente de que qualquer uma das métricas de desempenho da 
empresa fique abaixo do esperado. 
89Fraude versus riscos
A análise qualitativa dos riscos é subjetiva, ao passo que a análise quantitativa é objetiva. 
A análise qualitativa é feita depois de identificados os riscos, por meio da sua priorização, 
de modo subjetivo, para uma análise posterior utilizando a probabilidade de o risco se 
concretizar, e o impacto que ele pode causar. Na avaliação qualitativa também serão 
determinados os riscos que deverão ser avaliados quantitativamente, para que então 
seja construído um planejamento de resposta aos riscos.
A análise quantitativa é feita por meio de uma análise numérica dos efeitos dos riscos 
na organização, definindo sua exposição a eles. Normalmente, são feitas análises de 
cenários, por pessoal de todas as áreas da empresa, simulando aqueles riscos que 
podem trazer mais impacto e possuem maior probabilidade de acontecer.
Portanto, você pode entender o motivo pelo qual o gerenciamento de riscos 
que integra todas as áreas é tão importante, uma vez que prejuízos grandes 
podem ser evitados partindo-se de expectativas criadas por especialistas que, 
ao vislumbrar a sua concretização, conseguem desviar o rumo dos aconteci-
mentos. Dessa forma, a organização ganha em autoconhecimento, em tomadas 
de decisões mais rápidas e efetivas, na redução de perdas significativas e no 
aumento do aproveitamento de ganhos, e todos esses elementos geram valor 
para a organização.
Priorização dos riscos
A priorização dos riscos serve para determinar o nível de cada fator de risco, 
de forma individual ou em comparação com os demais riscos. Dessa forma, 
será possível hierarquizar os principais riscos negativos e positivos, a fim de 
fazer o seu gerenciamento dentro dos limites estabelecidos pela organização 
e, também, evitar que sejam assumidos riscos maiores do que a organiza-
ção pode suportar e que sejam desperdiçadas oportunidades em potencial 
(FRANCO, 2017).
Essa hierarquização deve resultar em uma listagem de todos os princi-
pais riscos que são enfrentados pela organização, refletindo qual o nível de 
aceitação da organização quanto a seus riscos e sua capacidade de modificar 
seus objetivos em prol de correr tais riscos, o que pode ser definido como o 
perfil de riscos. O perfil de riscos deverá considerar aspectos que vão além da 
Fraude versus riscos90
probabilidade de concretização e do impacto gerado, como a vulnerabilidade 
a que a organização está submetida e a velocidade de progressão do risco.
O perfil de riscos envolve:
 � Apetite ao risco: que significa a quantidade de exposição ao risco que é aceitável 
para a organização, enquanto busca atingir seus objetivos.
 � Tolerância ao risco: que significa o nível de variabilidade na realização das metas 
e objetivos predefinidos, que é aceitável pela organização.
O perfil dos riscos que são enfrentados pela organização devem ser docu-
mentados de forma detalhada, para que facilite o bom andamento da atividade 
seguinte que consiste na comunicação dos riscos a todos os interessados e 
também na elaboração de um plano para o tratamento dos riscos.
Uma boa prática para a avaliação e a priorização dos riscos consiste em 
duas fases (FRANCO, 2017):
 � Primeira fase: consiste em ordenar os riscos, seguindo no mínimo 
dois aspectos, que são a probabilidade de concretização e o tamanho 
do impacto gerado, conseguidos por meio da matriz de probabilidade 
x impacto. Os níveis de riscos vão ser o resultado das áreas em que a 
probabilidade e o impacto se cruzam na matriz, podendo, por exemplo, 
ser chamados de baixíssimo, baixo, médio, alto, altíssimo. Outra nomen-
clatura poderá ser utilizada, a critério da equipe de gestão de riscos da 
organização, mas é importante saber que, quanto mais escalas ou níveis 
existirem na matriz de risco (MR), maior será a precisão da resposta 
da avaliação do risco. Como todas as organizações são diferentes, as 
escalas da matriz devem ser personalizadas para que se adaptem à 
cultura, ao negócio e ao tamanho da organização.
 � Segunda fase: consiste em aperfeiçoar a avaliação inicial pela inclusão 
de outros aspectos para complementar a matriz de probabilidade x 
impacto, como a velocidade de propagação do impacto, a persistência 
ou a durabilidade do impacto e a diferença entre a situação existente e 
a situação desejada. Uma outra maneira de executar a segunda fase, é 
fazer a priorização dos riscos dentro de um mesmo grupo da MR, de 
91Fraude versus riscos
acordo com o tipo de efeito que pode gerar. Por exemplo, avaliar todos 
os riscos considerados muito altos e priorizar, em ordem, aqueles que 
impactam o financeiro da organização, a segurança dos empregados, 
o ambiente de trabalho e a reputação da empresa, pois essa foi a ordem 
ideal definida pela equipe de gestão de riscos da empresa.
A MR ou matriz de probabilidade x impacto é uma importante ferramenta que permite 
visualizar, de forma simples e clara, a classificação e a priorização dos riscos de uma 
organização.
Conheça melhor a MR acessando o link a seguir (UNIVERSO PROJETO, 2013): 
https://goo.gl/PEX4ws
Para alguns riscos mais específicos, principalmente aqueles que envol-
vem prejuízos ou ganhos financeiros, pode ser preferível aplicar avaliações 
individuais. O importante é saber que cada organização deve definir quais 
são os seus riscos e também quais são os níveis de risco que são considerados 
suportáveis, para cada um dos objetivos organizacionais. Observe, na Figura 2, 
um exemplo de MR.
Figura 2. Exemplo de MR.
Fonte: Franco (2017, p. 50).
Fraude versus riscos92
A avaliação e a priorização dos riscos devem considerar a integração de 
todas as áreas, por isso todos os envolvidos nesse processo devem utilizar o 
mesmo modelo, definido como padrão pela própria organização. Desse modo, 
os riscos que forem enfrentados por áreas específicas, poderão ser comparados 
e priorizados entre todas elas. 
Normalmente, quando um risco é avaliado na visão de uma área, sob os 
aspectos de probabilidade e risco, e ele é comparado com o mesmo risco na 
visão da organização como um todo, as probabilidades não sofrem alteração, 
mas os níveis de impacto, sim (ESCOLA NACIONAL DE ADMINISTRAÇÃO 
PÚBLICA, 2014).
As organizações podem aumentar o seu desempenho quando concentram 
seus esforços nos riscos que são definidos como de mais alta prioridade. Uma 
priorização eficiente vai precisar de uma identificação correta dos fatores de 
riscos, mas vai possibilitar o bom gerenciamento das atitudes que deverão ser 
tomadas em relação a cada risco concretizado.
Fraude no contexto do gerenciamento de riscos
A fraude é um risco que coloca as atividades de todas as organizações, sejam 
elas privadas ou públicas, grandes ou pequenas, sob exposição contínua. Mesmo 
que o gerenciamento de riscos de uma organização seja bem estruturado e 
sistemático, traduzindo eficiência e eficácia, será difícil garantir que os riscos 
de fraude serão totalmente eliminados. 
Dentro de uma organização, a fraude se associa aos demais tipos de risco, e 
também às áreas da organização. A fraude pode, por exemplo, estar envolvida 
com questões de ordem estratégica, operacional, financeira, tecnológica, ou 
seja, ela não configura um tipo de risco isolado. Mesmo assim, esse tipo de 
risco pode ser mitigado por meio de um programa de identificação e prevenção 
de atos de fraude.
A fraude é uma ação ilícita, desonesta, que busca enganar alguém. Ela consiste em 
um ato ou em uma omissão, sempre intencional, que é feito para prejudicar alguém 
ou, ainda, para levar ganhos ilícitos ao fraudador.
93Fraude versus riscosNo mundo corporativo, as fraudes podem ser executadas de acordo com 
as formas apresentadas a seguir (BRASILIANO, 2015).
 � Por um indivíduo: com o objetivo de auferir ganhos para si próprio 
em detrimento das outras pessoas. Algumas fraudes, que são práticas 
comuns de empregados, são o ato de assinar o cartão-ponto em data 
na qual esteve ausente no serviço, inserir uma despesa de viagem para 
aumentar seu reembolso, apresentar atestado médico falso.
 � Pela organização: com o objetivo de auferir um ganho para a corporação 
em si. Algumas práticas comuns são a falsificação de documentação 
comprobatória para vencer licitações e a manipulação do fluxo de caixa.
O risco de fraude é impossível de ser eliminado quando se trata de seres 
humanos, mas ele pode ser diminuído de forma considerável se a organização 
decidir adotar um programa de envolvimento dos empregados, identificação e 
prevenção das ações de fraude, em um movimento de trabalho pelos próprios 
integrantes da empresa.
Para isso, é preciso que as organizações, por meio da sua gestão, entendam 
que o risco de fraude existe e convive diariamente com o ambiente corporativo. 
Isso deve ser dito porque, ainda nos dias de hoje, não são poucos os casos de 
empresas e de indivíduos que são atingidos por fraudes, ao demonstrarem 
ingenuidade e confiança demasiada em alguém.
Todas as pessoas que estão envolvidas com uma organização são respon-
sáveis e devem ser atuantes em um processo de prevenção de fraudes, mas 
ele deve ser colocado em prática pela gestão da empresa, que tem o papel 
de criar um ambiente apropriado para que as pessoas se informem sobre a 
importância de combater as fraudes e, dessa forma, possam fortalecer ainda 
mais seu gerenciamento de riscos.
Muitas vezes, a principal alavanca para as fraudes e outras atividades ilícitas 
dentro de uma organização envolve a falta de comprometimento com valores 
éticos e morais, com boas práticas de gestão e, também, com fundamentos de 
governança corporativa, vindas da administração da empresa, o que passa a 
servir de exemplo para os demais.
Por isso é preciso que a organização se dedique à criação de um programa, 
que envolva fornecedores, funcionários, clientes e todos aqueles que participam 
ou são atingidos pelas suas atividades, de alguma forma, para que colaborem 
no processo de suspeitar, identificar e tratar possíveis atitudes relacionadas 
a fraudes e ilicitudes. Veja, na Figura 3, um esquema de gerenciamento de 
fraudes.
Fraude versus riscos94
Figura 3. Princípios de um gerenciamento de fraudes. 
O programa de gerenciamento de riscos e fraudes deve seguir, minima-
mente, os seguintes princípios (MACHADO; GARTNER, 2017):
 � Informação ou conscientização: consiste na propagação das políticas e 
dos regulamentos de ética e integridade que a organização respeita. Esse 
processo pode acontecer em palestras, reuniões ou oficinas de trabalho 
em grupo, mas é importante que seja contínuo, para que os envolvidos 
entendam que o gerenciamento de fraudes não é um acontecimento 
isolado, mas uma prática da empresa. É essencial conscientizar a todos, 
principalmente os gestores que devem servir de exemplo de conduta por 
todos os empregados e demais interessados na atividade da organização.
 � Identificação ou detecção: envolve a atividade de avaliação do nível 
de exposição da organização ao risco de fraude, à identificação das 
vulnerabilidades em todas as atividades e processos pelos quais passa 
o negócio da empresa e, também, ao monitoramento dos controles 
internos e externos que são usados pela organização como respostas 
a fraudes e ilicitudes. Esse princípio envolve também a criação de 
um canal de denúncias independente e receptivo, para o qual todas as 
pessoas envolvidas se sintam à vontade para delatar acontecimentos 
ou ações, que entendam ser ilicitudes, e que possam atingir, de alguma 
forma, os objetivos da organização, indo de encontro a sua cultura.
95Fraude versus riscos
 � Tratamento ou resposta: a maneira pela qual a organização vai fazer o 
seu gerenciamento de riscos de fraude e quais serão as respostas dadas 
a partir da identificação de uma fraude, deve ser clara e transparente 
para todos as partes interessadas. Ainda devem ser apresentadas, para 
todos, as penalidades que serão dadas àquele que fraudar a organização, 
atingindo-a de qualquer forma. 
Para que uma fraude aconteça, normalmente são necessários três elementos, 
que são a motivação, a oportunidade e a racionalização, como demonstrado 
na Figura 4.
Figura 4. Triângulo da fraude.
 � Motivação: é o que impulsiona o fraudador a agir, podendo ser por 
razões emocionais, como a vingança, a pressão familiar ou social ou 
por razões financeiras, como os problemas de dívidas.
 � Oportunidade: é o que acontece quando o ambiente não possui ge-
renciamento de riscos a fraudes. O fraudador age porque sabe que vai 
haver impunidade.
Fraude versus riscos96
 � Racionalização: é o que acontece quando as pessoas enxergam um 
motivo para se desculpar por cometer a fraude, como receber um salário 
baixo ou não ser reconhecido na empresa. 
É importante enfatizar que, para que um programa de gerenciamento de 
riscos e fraude seja efetivo, não pode existir nenhum tipo de flexibilização. 
Não deve existir nenhum tipo de fraude que possa ser desconsiderado, nem 
algum fraudador que possa ser perdoado. Não se podem perdoar fraudes 
materiais, por apresentarem prejuízo pequeno, nem altos gestores, pelo seu 
cargo de gestão. Todos os fraudadores devem ser punidos para que a empresa 
torne claro para todos que não tolera atos ilícitos e que mantém, acima de 
tudo, uma cultura de respeito à ética.
1. A verificação de riscos envolve a 
avaliação _____, que formam um 
conjunto de atividades que servem 
para que a organização entenda 
_____ está exposta, para decidir 
quais devem ser _____ e em _____.
Assinale a alternativa que 
melhor completa a frase. 
a) e a identificação de riscos; o 
cenário ao qual; eliminados; 
quanto tempo.
b) para a eliminação de riscos; 
mais sobre a concorrência a 
que; os prazos de exposição; 
qual velocidade.
c) qualitativa e quantitativa de 
riscos; os fatores de risco aos 
quais; tratados; qual ordem.
d) contínua do perfil de riscos; 
o impacto dos riscos a 
que; aceitos; qual área.
e) dos riscos a serem mitigados; 
como fazer a gestão de riscos 
à qual; as estratégias; qual área 
serão colocadas em prática.
2. No contexto do gerenciamento 
de riscos, com relação aos 
aspectos de vulnerabilidade, 
velocidade e exposição, é 
correto afirmar que: 
a) vulnerabilidade envolve 
a preparação da empresa 
para enfrentar o risco e a sua 
agilidade para responder a ele.
b) exposição envolve a opção 
da empresa em querer ou 
não correr um risco.
c) exposição indica o tempo 
que a empresa tem para 
identificar todos os seus riscos.
d) vulnerabilidade indica quanto 
de prejuízo uma empresa 
teve com a concretização 
de um risco positivo.
e) velocidade indica que 
o risco é prioritário.
97Fraude versus riscos
3. Quais são as fases da avaliação e 
priorização dos riscos? 
a) A primeira fase ordena os riscos 
por probabilidade e impacto; 
e a segunda fase ordena os 
riscos em ordem alfabética.
b) A primeira fase consiste em 
ordenar os riscos em ordem 
de quantidade; e a segunda 
fase ordena os riscos pelo 
impacto financeiro gerado.
c) A primeira fase identifica 
os riscos impossíveis de 
serem tratados; e a segunda 
fase identifica os riscos que 
podem ser tratados. 
d) A primeira fase ordena os 
riscos em ordem alfabética de 
impacto (alto, baixo, médio); 
e a segunda fase ordena os 
riscos de acordo com o período 
de resposta da empresa 
a eles (imediato, próximo 
semestre, próximo ano). 
e) A primeira fase consiste na 
ordenação dos riscos por 
probabilidade e impacto; 
e a segunda fase consiste 
em adicionar aspectos para 
a avaliação e priorização, 
incluindo aspectos como 
velocidade de propagaçãodo impacto e duração do 
impacto. 
4. O que é fraude? 
a) É uma ação de probidade 
de um funcionário que visa 
aumentar o lucro da empresa.
b) É a omissão de uma pessoa, 
visando o enriquecimento 
de outra pessoa, nunca 
o seu próprio.
c) É a ação lícita de alguém 
que visa ganho ilícito.
d) É uma ação ou uma omissão 
intencional ilícita, desonesta, 
que visa enganar alguém ou 
alguma instituição, configura 
um risco que coloca as 
organizações em risco constante.
e) É a omissão de alguém, visando 
o prejuízo de si mesmo, para 
obter o lucro para outra pessoa. 
5. Qual(is) o(s) tipo(s) de fraude(s) que 
pode(m) ser perdoada(s)? 
a) Fraudes materiais que 
tragam prejuízo pequeno.
b) Nenhum tipo de fraude deve 
ser perdoado e nenhum 
fraudador deve escapar 
sem a devida punição.
c) Fraudes gerenciais, que 
afetem poucos funcionários.
d) Fraudes de funcionários que 
tragam lucro para a empresa.
e) Fraudes que tenham 
causado a demissão de um 
funcionário incompetente.
Fraude versus riscos98
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Gestão 
Pública. Departamento de Inovação e Melhoria da Gestão. Gerência do Programa 
GesPública. Projeto de desenvolvimento do guia de orientação para o gerenciamento 
de riscos. Brasília, DF, 2013.
BRASILIANO, A. C. R. Gestão de risco de fraude. São Paulo: Sicurezza, 2015.
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Gerência de projetos: teoria e 
prática. Brasília, DF: ENAP, 2014.
FRANCO, F. Governança e gestão de riscos em organizações públicas. Brasília, DF: 
Mackenzie, 2017. Disponível em: <http://brasilia.mackenzie.br/apps/files/fpmb_
governanca_e_gestao_de_riscos_em_organizacoes_publicas_apostila.pdf>. Acesso 
em: 12 jan. 2018.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de orientação para 
gerenciamento de riscos corporativos. São Paulo: IBGC, 2007.
MACHADO, M. R. R.; GARTNER, I. R. Triângulo de fraudes de Cressey (1953) e teoria da 
agência: estudo aplicado a instituições bancárias brasileiras. Revista Contemporânea 
de Contabilidade, Florianópolis, v. 14, n. 32, 2017. Disponível em: <https://periodicos.
ufsc.br/index.php/contabilidade/article/view/44527>. Acesso em: 12 jan. 2018.
UNIVERSO PROJETO. Definições de probabilidade e impacto dos riscos. [S.l.], 2013. Dis-
ponível em: <https://universoprojeto.wordpress.com/tag/matriz-de-probabilidade-
-e-impacto/>. Acesso em: 12 jan. 2018.
99Fraude versus riscos
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
Conteúdo:
DICA DO PROFESSOR
O gerenciamento de riscos, mesmo quando praticado de forma estruturada e organizada, visando 
diminuir ou eliminar as chances de riscos negativos, não é suficiente para evitar fraudes. A 
fraude é um risco que coloca as atividades de todas as organizações, de qualquer tipo, sob 
exposição contínua.
Nesta Dica do Professor, você vai aprender sobre a análise de fraudes e a gestão de riscos.
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) Assinale a alternativa que melhor completa a frase a seguir: 
 
A verificação de riscos envolve a avaliação __________, que formam um conjunto de 
atividades que servem para que a organização entenda __________ está exposta, para 
decidir quais devem ser _____________ e em ___________.
A) e a identificação de riscos; o cenário ao qual; eliminados; quanto tempo.
B) para a eliminação de riscos; mais sobre a concorrência a que; os prazos de exposição; qual 
velocidade.
C) qualitativa e quantitativa de riscos; os fatores de risco aos quais; tratados; qual ordem.
D) contínua do perfil de riscos; o impacto dos riscos a que; aceitos; qual área.
E) dos riscos a serem mitigados; como fazer a gestão de riscos à qual; as estratégias; qual área 
serão colocadas em prática.
No contexto do gerenciamento de riscos, com relação aos aspectos de vulnerabilidade, 2) 
velocidade e exposição, é correto afirmar que:
A) A vulnerabilidade é o aspecto que envolve a preparação da empresa para enfrentar o risco, 
e a agilidade para responder a ele.
B) A exposição envolve a opção da empresa em querer ou não correr um risco.
C) A exposição indica o tempo que a empresa tem para identificar todos os seus riscos.
D) A vulnerabilidade indica quanto prejuízo uma empresa teve com a concretização de um 
risco positivo.
E) A velocidade indica que o risco é prioritário.
3) Quais são as fases da avaliação e da priorização dos riscos?
A) A primeira fase consiste em ordenar os riscos por probabilidade e impacto. A segunda, 
ordena os riscos em ordem alfabética.
B) A primeira fase consiste em ordenar os riscos em ordem de quantidade. A segunda, ordena 
os riscos pelo impacto financeiro gerado.
C) A primeira fase consiste em identificar os riscos impossíveis de serem tratados. A segunda, 
identifica os riscos que podem ser tratados.
D) A primeira fase consiste em ordenar os riscos em ordem alfabética, por nível de impacto 
– alto, baixo, médio. A segunda, ordena os riscos de acordo com o período de resposta da 
empresa – imediato, próximo semestre, próximo ano.
A primeira fase consiste em ordenar os riscos por probabilidade e impacto. A segunda, em E) 
adicionar aspectos para a avaliação e priorização, como velocidade de propagação do 
impacto e a sua duração.
4) O que é fraude?
A) É uma ação de probidade de um funcionário, que visa aumentar o lucro da empresa.
B) É uma omissão de uma pessoa, visando o enriquecimento de outra, nunca o próprio.
C) É uma ação lícita de alguém, que visa ganho ilícito.
D) É uma ação ou omissão intencional ilícita, desonesta, que visa enganar alguém ou alguma 
instituição. Ela configura um risco que coloca as organizações sob exposição contínua.
E) É uma omissão de alguém, visando o prejuízo de si mesmo para obter o lucro para outra 
pessoa.
5) Qual o tipo de fraude que pode ser perdoada?
A) Fraudes materiais que tragam prejuízo pequeno.
B) Nenhum tipo de fraude deve ser perdoada, e nenhum fraudador deve escapar sem a devida 
punição.
C) Fraudes gerenciais, que afetem poucos funcionários.
D) Fraudes de funcionários que tragam lucro para a empresa.
E) Fraudes que tenham causado a demissão de um funcionário incompetente.
NA PRÁTICA
Uma loja de confecções infantil chamada VestiDinho, preocupada em executar a atividade de 
governança de forma satisfatória, implantou o gerenciamento de riscos. Apesar disso, continuou 
com problemas de vendas não concretizadas, perda de clientes para a concorrência e de 
funcionários para outros estabelecimentos. Pa que fosse verificado o problema, a diretoria da 
loja chamou um consultor na área de gestão de riscos.
O consultor, após investigar como havia sido feita a implantação do gerenciamento de riscos na 
loja, chamou o diretor e lhe explicou que, apesar de os fatores de risco terem sido identificados e 
de haver planejamento de resposta para cada um deles, não havia sido feita uma avaliação 
qualitativa e quantitativa que determinasse uma priorização para os riscos que deveriam ser 
atendidos antes por serem mais críticos.
Um dos problemas que chamou a atenção do consultor foi que havia preocupação com o 
marketing da loja em detrimento de manter pagamento dos funcionários em dia. Ele explicou à 
gerência que existem fatores de riscos que até podem configurar obrigações da empresa, mas 
que um descuido e o não cumprimento de uma obrigação passa a ser uma ameaça. Em 
contrapartida, o cumprimento de deveres pode trazer o aproveitamento de boas oportunidades. 
Conteúdo interativo disponível na plataforma de ensino!
Apenas com a ordenação do tratamento dos riscos, levando em conta o impacto gerado e a 
probabilidade de acontecer, já pode ser notada uma grande diferença no funcionamento da loja 
VestiDinho: os funcionários sentem-se satisfeitos e valorizados, os clientes estão sendo 
fidelizados, a propaganda da loja está na internet ena TV, e já é possível trabalhar com 
promoções, na tentativa de conseguir clientes fidelizados pela concorrência.
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
Neste vídeo, você aprenderá um pouco mais sobre fraudes no ambiente corporativo.
Conteúdo interativo disponível na plataforma de ensino!
Este matéria mostra como diminuir risco de fraude nas corporações.
Conteúdo interativo disponível na plataforma de ensino!
O principal objetivo da Gestão de Riscos é avaliar as incertezas do Projeto
Conteúdo interativo disponível na plataforma de ensino!
Gerenciamento de Riscos Corporativos – 
Estrutura Integrada do COSO
APRESENTAÇÃO
O COSO - Committee of Sponsoring Organizations of the Treadway Commission é uma 
organização sem fins lucrativos, constituída por conceituadas entidades profissionais da área 
contábil e de auditoria norte-americanas, criada em 1985, visando melhoria contínua dos 
relatórios financeiros sempre pautados na ética, efetividade dos controles internos e governança 
corporativa. 
As recomendações do COSO são tidas como referência para controles internos e gestão de 
riscos corporativos e visam o desenvolvimento e implementação de metodologias para seu 
gerenciamento, sempre pensando na melhoria contínua dos processos com a melhor alocação 
dos recursos da organização. 
O gerenciamento de riscos corporativos, segundo o COSO, possibilita aos administradores tratar 
com eficácia as incertezas, riscos e oportunidades, a fim de melhorar a capacidade de gerar 
valor. 
Nesta Unidade de Aprendizagem você vai estudar a origem do COSO, controles internos e 
gerenciamento de riscos corporativos com estrutura integrada na organização. 
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Reconhecer as origens da metodologia COSO.•
Descrever Controle Interno segundo o modelo do COSO.•
Interpretar gerenciamento de riscos corporativos segundo estrutura integrada do COSO.•
DESAFIO
A empresa Automaz atua no ramo automobilístico e está iniciando um projeto para exportar 
parte de sua produção. Porém, a efetivação deste projeto dependerá da definição do país ao qual 
a empresa deseja destinar os produtos, que escolherá uma entre as 10 empresas que se 
propuseram a participar da concorrência. 
O país ao qual será destinada a produção passou recentemente por grandes escândalos, 
motivados por fraudes em empresas do mesmo ramo do atual projeto. 
Em função disso, para participar da concorrência, as empresas precisarão atender a algumas 
exigências, que incluem demandas como adequação a normas internacionais de controles 
internos, oferecendo ao pais de destino maior segurança na operação. 
Este será o primeiro desafio a ser vencido pelas empresas interessadas, que terão um tempo 
determinado para preparação e adaptação as exigências apresentadas.
O diretor da empresa Automaz sabe que, para que sua empresa seja a escolhida, haverá um 
longo caminho a trilhar, que envolverá muitas etapas a serem cumpridas, assim como normas e 
procedimentos a serem avaliados e implementados. 
Sabendo destas demandas, o diretor procurou a sua consultoria, com o objetivo de que você 
assessore a empresa durante este período de preparação e adaptação. Para a primeira reunião 
sobre o projeto, você precisa preparar um parecer com a recomendação de alternativas que 
possam ser adotadas pela empresa.
É importante que você, além de indicar alternativas, também justifique sua indicação, 
oferecendo uma breve apresentação da alternativa escolhida, quais os propósitos e principais 
aspectos da mesma, para que o diretor possa compreender como a alternativa pode ajudá-lo a 
atender as exigências apresentadas.
INFOGRÁFICO
Através do infográfico você vai compreender as diferenças das metodologias COSO I e COSO 
II, os componentes e as categorias que fazem parte do processo de cada um.
 
 
CONTEÚDO DO LIVRO
Você sabe como acontece o gerenciamento de riscos corporativo através da estrutura integrada 
do COSO? 
Esta metodologia proporciona aos administradores tratar com eficácia as incertezas, riscos e 
oportunidades, a fim de obter os melhores resultados.
Na obra Gerenciamento de Riscos, leia o capítulo Gerenciamento de Riscos Corporativos – 
Estrutura Integrada do COSO, base teórica desta Unidade de Aprendizagem, você vai estudar 
sobre os conceitos e as origens da metodologia COSO e também o processo de controle interno 
através do modelo COSO.
Boa leitura!
GERENCIAMENTO
DE RISCOS
Simone Fraporti 
Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147
F838g Fraporti, Simone.
 Gerenciamento de riscos / Simone Fraporti, Jeanine
 Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre : 
 SAGAH, 2018.
 166 p. ; 22,5 cm
 ISBN 978-85-9502-334-5
 1. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.
 II. Título.
CDU 658.88
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas 
Especialista em Controladoria e Finanças
Gerenciamento de riscos 
corporativos – estrutura 
integrada do COSO
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Reconhecer as origens da metodologia COSO.
 � Descrever o controle interno segundo o modelo do COSO.
 � Interpretar o gerenciamento de riscos corporativos segundo a estrutura 
integrada do COSO.
Introdução
O COSO (Committee of Sponsoring Organizations of the Treadway 
Commission) é uma organização sem fins lucrativos, constituída por 
conceituadas entidades profissionais da área contábil e de auditoria norte-
-americanas. Foi criada em 1985, visando à melhoria contínua dos relatórios 
financeiros, sempre pautados em ética, efetividade dos controles internos 
e governança corporativa. As recomendações do COSO são tidas como 
referência para controles internos e gestão de riscos corporativos, visando 
ao desenvolvimento e à implementação de metodologias para seu ge-
renciamento, sempre pensando na melhoria contínua dos processos com 
a melhor alocação dos recursos da organização. O gerenciamento de 
riscos corporativos, segundo o COSO 2007, possibilita aos administradores 
tratar com eficácia as incertezas, os riscos e as oportunidades, a fim de 
melhorar a capacidade de gerar valor.
Neste capítulo, você vai estudar a origem do COSO, os controles in-
ternos e o gerenciamento de riscos corporativos com estrutura integrada 
na organização.
U N I D A D E 4
Origens do COSO
A história do COSO iniciou em 1985, nos Estados Unidos, substituindo a Natio-
nal Commission on Fraudulent Financial Reporting (Comissão Nacional sobre 
Fraudes em Relatórios Financeiros), iniciativa independente de conceituadas 
entidades profissionais da área contábil e de auditoria norte-americanas, que 
visava estudar as causas da ocorrência de fraudes em relatórios financeiros 
e contábeis e desenvolver recomendações para empresas e auditores. Suas 
publicações acompanharam as modificações e a evolução do cenário no qual 
as organizações e suas diversas partes interessadas estão inseridas, e sua 
metodologia foi sendo ajustada conforme as necessidades exigidas.
Isso fica evidenciado na missão declarada pelo COSO, que consiste em 
fornecer pensamento de liderança por meio do desenvolvimento de quadros e 
orientações sobre gerenciamento de riscos corporativos, controles internos e frau-
des. Em complemento, sua visão declara a intenção de ser líder no mercado global 
em desenvolvimento de orientação nas áreas de risco e controle, que permitem 
uma boa governança organizacional e a redução de fraudes (PEREIRA, 2015).
No início dos anos 2000, quando grandes escândalos corporativos vieram 
à tona, mostrando ao mundo que o sucesso de muitas organizações era funda-
mentado em fraudes, muitos casos de manipulação de informações contábeis 
e financeiras abalaram a confiança de investidores,além de reforçarem a 
necessidade de haver maior transparência e confiabilidade na preparação e 
divulgação dessas informações.
Nos links a seguir, você encontra noticiários sobre alguns escândalos corporativos nos 
Estados Unidos (AGENCIA ESTADO, 2002; MELLO, 2014):
https://goo.gl/Q1Yo5R
https://goo.gl/8s6yiH
Foi então que, em 2002, foi aprovada a Lei Sarbanes-Oxley, que reformulou 
e regulamentou o mercado de capitais, como forma de acabar com a manipu-
lação das informações financeiras. As principais mudanças foram nas regras 
de governança corporativa, que aumentou a responsabilidade dos executivos 
Gerenciamento de riscos corporativos – estrutura integrada do COSO102
das organizações, bem como dos responsáveis perante a emissão e divulgação 
de relatórios financeiros. Também foi dada mais ênfase ao uso de controles 
internos mais rígidos. Em resposta aos fatos apontados, vários estudos foram 
realizados, buscando identificar as principais falhas nos controles dessas 
instituições (GRUPO PORTAL DE AUDITORIA, 2017). 
Para acessar mais informações sobre o surgimento 
da Lei Sox, leia o texto disponível no Grupo Portal 
de Auditoria (2017):
https://goo.gl/zxBgNX
Estes eventos impulsionaram a percepção da importância dos controles 
internos, e os estudos do COSO identificaram os objetivos essenciais do negócio 
da organização e definiram os controles internos, fornecendo critérios a partir 
dos quais os sistemas de controle podem ser avaliados, gerando subsídios para 
que administração, auditoria e demais interessados possam utilizar, avaliar 
e validar os controles.
Dentre as publicações feitas pelo COSO, dois pronunciamentos se 
notabilizaram: 
 � COSO Report ou COSO I, em 1992, Internal Control – Integrated 
Framework (Controle Interno – Um Modelo Integrado), que se tornou 
referência mundial para o estudo e aplicação dos controles internos. 
 � COSO-ERM ou COSO II, em 2004, Enterprise Risk Management – 
Integrated Framework (Gestão de Riscos Organizacionais – Estrutura 
Integrada), modelo de referência que estendeu o COSO I, tendo como 
foco principal a gestão de riscos corporativos.
Essas publicações ressaltam a importância do foco contábil e da gestão 
empresarial nos controles internos da organização. 
O COSO Report, com o foco sobre o controle interno, é uma metodo-
logia para estruturar e avaliar sistemas de controles internos integrados, 
com uma postura de identificar, detectar e reagir aos riscos de um negócio, 
103Gerenciamento de riscos corporativos – estrutura integrada do COSO
visando ressaltar a relevância dos aspectos financeiros e a importância da 
transparência e adequação das demonstrações contábeis. Por esse motivo, foi 
também denominado COSO Contábil, pois é adequado à prestação de contas 
da administração da entidade, indispensável para a transparência bem maior 
dos acionistas e da sociedade.
O modelo COSO I (COMMITTEE OF SPONSORING ORGANIZA-
TIONS OF THE TREADWAY COMMISSION, 2013) tornou-se referência 
mundial, por:
 � uniformizar definições de controle interno;
 � definir componentes, objetivos e objetos do controle interno em um 
modelo integrado;
 � delinear papéis e responsabilidades da administração;
 � estabelecer padrões para implementação e validação;
 � criar um meio para monitorar, avaliar e reportar controles internos.
O COSO ERM (COMMITTEE OF SPONSORING ORGANIZATIONS 
OF THE TREADWAY COMMISSION, 2007) aproveitou o sucesso da meto-
dologia do COSO Report e ampliou o alcance dos controles internos, dando 
mais enfoque ao tema e tendo como principal objetivo: prever ou prevenir os 
riscos inerentes ao conjunto de processos da organização que possam impedir 
ou dificultar o alcance de seus objetivos. Ele foi inicialmente divulgado pela 
Securities and Exchange Commission (SEC), a Comissão de Valores Imobi-
liários (CVM) norte-americana, comprovando o interesse da autoridade de 
supervisão do mercado de capitais dos Estados Unidos.
A nova publicação adotou uma postura proativa, focando o controle interno 
como um sistema, sempre de forma integrada e com melhor visão de gestão 
no gerenciamento dos riscos, prevendo, inclusive, a sua realização como 
processo, por um comitê diretivo no âmbito da entidade. Não eliminou nada 
do que havia sido abordado no COSO Report, mas sim aprimorou e ampliou o 
estudo, trazendo novos termos e conceitos importantes para o gerenciamento 
de riscos, como você pode observado no Quadro 1, que faz um comparativo 
dos componentes das duas versões do COSO.
Gerenciamento de riscos corporativos – estrutura integrada do COSO104
COSO I COSO II
Controle interno Gerenciamento de riscos
Ambiente de controle Ambiente (de controle) interno
Fixação de objetivos
Identificação de eventos
Avaliação de riscos Avaliação de riscos
Resposta ao risco
Atividades de controle Atividades de controle
Informação e comunicação Informação e comunicação
Monitoramento Monitoramento
Quadro 1. Comparativo entre os componentes dos modelos COSO.
Controle interno
O controle interno é definido da seguinte forma pelo COSO (COMMITTEE OF 
SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION, 
2013): “[...] é um processo conduzido pela estrutura de governança, adminis-
tração e outros profissionais da entidade, e desenvolvido para proporcionar 
segurança razoável com respeito à realização dos objetivos relacionados a 
operações, divulgação e conformidade”. Dessa definição, sobressaem alguns 
conceitos fundamentais, demonstrando que o controle interno é:
Conduzido para atingir os objetivos:
Operacional: está relacionado aos objetivos e as metas de desempenho, 
rentabilidade, segurança e qualidade dos ativos.
Comunicação: confiabilidade das informações e das demonstrações 
contábeis.
Conformidade (compliance): harmonia com leis e normativos aplicáveis 
à entidade e a área em que atua.
 � Um processo de tarefas e atividades contínuas – um meio para um fim, 
não um fim em si mesmo. 
105Gerenciamento de riscos corporativos – estrutura integrada do COSO
 � Realizado por pessoas – diz respeito às pessoas e às ações que elas 
tomam em cada nível da organização para realizar o controle interno.
 � Capaz de proporcionar segurança razoável – ainda que não absoluta, 
para a estrutura de governança e alta administração de uma entidade.
 � Adaptável à estrutura da organização – podendo ser aplicado em toda 
organização, ou para uma subsidiária, divisão, unidade operacional ou 
processo de negócio em particular.
O controle interno compõe o processo de gestão e seu objetivo principal é 
auxiliar as entidades a alcançar objetivos importantes e sustentar e melhorar 
o seu desempenho (COMMITTEE OF SPONSORING ORGANIZATIONS 
OF THE TREADWAY COMMISSION, 2013).
Com foco nos controles internos, o COSO I (COMMITTEE OF SPON-
SORING ORGANIZATIONS OF THE TREADWAY COMMISSION, 2013) 
propõe cinco componentes para a condução dos controles internos, que são 
os elementos necessários para que eles sejam efetivos.
 � Ambiente de controle: é a cultura de controle interno da entidade, 
na qual o controle é efetivo, quando as pessoas conhecem as suas res-
ponsabilidades, os limites de autoridade e consciência, competência 
e comprometimento de fazerem o que é certo e de maneira correta. 
Envolve competência técnica e compromisso ético, em que a postura 
da alta administração, pelo exemplo, é fator determinante da criação 
desse valor (em Código de Ética e Conduta Profissional).
 � Avaliação de risco: os riscos devem ser avaliados com base na proba-
bilidade e no impacto, e os resultados dessa avaliação devem orientar 
o seu gerenciamento. Esses riscos devem ser avaliados como inerentes 
e residuais.
 � Atividades de controle: são os procedimentos de controle interno 
destinados à redução ou administração dos riscos. Podem ser de caráter 
preventivo, detecção ou ambos, sendo os mais conhecidos:
 ■ de prevenção – segregação de funções, normatização interna, alçadas 
de autoridade ou de responsabilidade;
 ■ de detecção – conciliações,revisões de desempenho; 
 ■ de prevenção e detecção – segurança física e por sistemas 
informatizados.
 � Informação e comunicação: comunicação é o fluxo de informações 
dentro de uma entidade, e a informação é o combustível que move as 
organizações e a sociedade.
Gerenciamento de riscos corporativos – estrutura integrada do COSO106
 � Monitoramento: é a avaliação dos controles internos ao longo do 
tempo, se efetivos ou não. Podem ser contínuos ou pontuais, envolvendo 
autoavaliações, revisões e auditoria (interna, independente, integral). 
Na Figura 1, você pode observar um esquema da estrutura do COSO I.
Figura 1. Estrutura COSO I (COSO Report).
Fonte: Soft Expert (c2018). 
A organização deve utilizar avaliações contínuas e independentes, ou uma 
combinação das duas, para se certificar da presença, funcionamento e eficácia 
de cada um dos cinco componentes de controle interno.
Gerenciamento de riscos corporativos – 
estrutura integrada do COSO
A publicação do COSO II (COMMITTEE OF SPONSORING ORGANI-
ZATIONS OF THE TREADWAY COMMISSION, 2007) colaborou para a 
percepção da necessidade de se desenvolver uma estratégia sólida, capaz de 
identificar, avaliar e administrar riscos para ser adotada por qualquer orga-
nização corporativa. Nessa versão, o controle interno é apresentado como 
107Gerenciamento de riscos corporativos – estrutura integrada do COSO
parte do gerenciamento de riscos corporativos e as atividades de gestão de 
riscos são expandidas para todas as áreas da organização, não só para aquelas 
responsáveis pelas demonstrações contábeis.
O COSO II (COMMITTEE OF SPONSORING ORGANIZATIONS OF 
THE TREADWAY COMMISSION, 2007) foca o controle interno como 
um sistema integrado e diretamente ligado à gestão dos riscos e com a 
abrangência dos elementos a serem considerados. O controle interno pas-
sou a ser considerado como um processo destinado a identificar riscos 
corporativos, a fim de monitora-los e assegurar que estejam compatíveis 
com a capacidade ao risco estabelecida, fornecendo segurança razoável ao 
alcance dos objetivos.
Risco é a possibilidade de ocorrência de um evento adverso para uma determinada 
situação esperada. As diversas formas de se fazer a mensuração de risco resultaram 
no que hoje é denominado gestão de risco.
O risco corporativo pode ter origem interna ou externamente à entidade ou 
grupo de entidades e ser dividido em várias espécies, como risco de liquidez, de 
mercado, operacional, entre outros. Os grandes fóruns mundiais de mercados 
financeiros e de capitais, após os grandes escândalos corporativos no início 
dos anos 2000, passaram a dar muita importância a tudo que se relaciona ao 
risco, especialmente o que diz respeito às fraudes e à prática de lavagem de 
dinheiro de recursos de práticas criminosas e de riscos sistêmicos que podem 
contaminar mercados de forma prejudicial (CONSELHO REGIONAL DE 
CONTABILIDADE DO RIO GRANDE DO SUL, 2011).
O gerenciamento de riscos corporativos, um processo contínuo que trata de 
riscos e oportunidades que afetam a geração de valor, é de responsabilidade 
do conselho de administração e diretoria, e as ações decorrentes dele devem 
ser conduzidas pelos gestores e demais empregados por todos os níveis da 
organização (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE 
TREADWAY COMMISSION, 2007).
As estratégias devem ser estabelecidas para identificar, em toda a organi-
zação, os eventos que possam afetá-la de forma potencial, além de administrar 
os riscos de modo a mantê-los compatíveis com o apetite a risco da organi-
Gerenciamento de riscos corporativos – estrutura integrada do COSO108
zação e possibilitar garantia razoável do cumprimento dos seus objetivos. O 
COSO II (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE 
TREADWAY COMMISSION, 2007) acrescenta os objetivos estratégicos as 
categorias já apresentadas no COSO I:
Estratégicos – metas gerais, alinhadas de forma a suportar a sua missão 
na organização.
O gerenciamento de riscos corporativos, segundo o COSO, possibilita aos 
administradores tratar com eficácia incertezas, riscos e oportunidades, a fim 
de melhorar a capacidade de gerar valor. Isso acontece quando a organização 
estabelece estratégias e objetivos visando ao equilíbrio ideal entre as metas 
de crescimento e de retorno de investimentos, considerando os riscos a elas 
associados (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE 
TREADWAY COMMISSION, 2007).
O gerenciamento de riscos corporativos tem por finalidade:
 � Alinhar o apetite a risco com a estratégia adotada – o apetite a risco da 
organização é avaliado ao analisar as estratégias, definindo os objetivos 
a elas relacionados e desenvolvendo mecanismos para gerenciar esses 
riscos. 
 � Fortalecer as decisões em resposta aos riscos – possibilita um maior 
rigor na identificação e na seleção de alternativas de respostas aos riscos, 
como evitar, reduzir, compartilhar e aceitar os riscos. 
 � Reduzir as surpresas e prejuízos operacionais – melhor capacidade 
para identificar eventos em potencial e estabelecer respostas a eles, 
reduzindo surpresas e custos ou prejuízos associados.
 � Identificar e administrar riscos múltiplos e entre empreendimentos – 
possibilita uma resposta eficaz a impactos inter-relacionados e, também, 
respostas integradas aos diversos riscos. 
 � Aproveitar oportunidades – considerando todos os eventos em potencial, 
a organização tem condições de identificar e aproveitar as oportunidades 
de forma proativa. 
 � Otimizar o capital – com informações adequadas a respeito de riscos, 
a administração consegue fazer uma avaliação eficaz das necessidades 
de capital como um todo e aprimorar a alocação desse capital.
Informação e comunicação – comunicação é o fluxo de informações dentro 
de uma entidade, e a informação é o combustível que move as organizações 
e a sociedade.
109Gerenciamento de riscos corporativos – estrutura integrada do COSO
Monitoramento – é a avaliação dos controles internos ao longo do tempo, se 
efetivos ou não. Podem ser contínuos ou pontuais, envolvendo autoavaliações, 
revisões e auditoria (interna, independente, integral).
A principal diferença entre os componentes do COSO I e do COSO II 
está na abordagem do risco, pois o componente “Avaliação de riscos” do 
COSO I (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE 
TREADWAY COMMISSION, 2013) foi detalhado em quatro componentes 
no COSO II (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE 
TREADWAY COMMISSION, 2007): fixação de objetivos; identificação de 
eventos; avaliação de riscos e resposta aos riscos.
Existe um relacionamento direto entre os objetivos que uma organização 
busca alcançar, e os componentes do gerenciamento de riscos corporativos 
representam aquilo que é necessário para o seu alcance. Esse relacionamento 
é apresentado em uma matriz tridimensional em forma de cubo, que você 
pode observar na Figura 2. As quatro categorias de objetivos (estratégicos, 
operacionais, de comunicação e conformidade) estão representadas nas colunas 
verticais. Os oito componentes nas linhas horizontais e as unidades de uma 
organização na lateral. 
Figura 2. Estrutura COSO I e COSO II (COSO ERM).
Fonte: Soft Expert (c2018). 
Essa representação ilustra a capacidade de manter o enfoque na totalidade 
do gerenciamento de riscos de uma organização, ou na categoria de objetivos, 
Gerenciamento de riscos corporativos – estrutura integrada do COSO110
1. Com relação ao COSO, 
podemos afirmar que: 
a) é uma organização sem fins 
lucrativos, criada em 1995.
b) é constituído por 
instituições financeiras.
c) suas publicações trazem 
orientações sobre 
gerenciamento de riscos, 
controles internos e fraudes.
d) teve apenas uma 
importante publicação. 
e) teve origem no Brasil. 
2. O modelo COSO I, tornou-se 
referência mundial, por: 
a) uniformizar definições 
de controle interno.
b) separar componentes, 
objetivos e objetos do controle 
interno da gestão de riscos.
c) dispensar papéis e 
responsabilidades daadministração.
d) propor que cada empresa 
estipule seu modelo de controle 
próprio e distinto das demais.
componentes, unidade da organização ou qualquer um dos subconjuntos, 
pois todas as linhas de cada uma das dimensões inter-relacionam-se entre 
si. Essa nova visão de controle interno, apresentada pelo COSO ERM, 
passou a ser aceita e utilizada por praticamente todos os foros relativos ao 
mundo das finanças e gestão empresarial (CONSELHO REGIONAL DE 
CONTABILIDADE DO RIO GRANDE DO SUL, 2011).
A estrutura apresentada pelo COSO traz informações que dão condições 
à organização de criar um sistema de controle interno eficaz e capaz de 
proporcionar segurança razoável acerca da realização dos objetivos da 
entidade. Afinal, um sistema de controle interno eficaz reduz, a níveis 
aceitáveis, o risco de não alcançar os objetivos traçados no planejamento 
da organização, para cada uma das categorias de objetivos. 
A estrutura integrada do COSO mostra que existe uma relação direta 
entre os objetivos gerais, representando o que uma entidade está buscando 
alcançar; e os componentes do controle interno, os quais representam o que é 
necessário para se alcançar esses objetivos. É nessa linha de pensamento que 
as atividades de gerenciamento de riscos devem se basear para dar condições 
às organizações de criar sistemas de controle interno que se adaptem aos 
ambientes operacionais e corporativos em que estão inseridas, reduzindo 
os riscos para níveis aceitáveis e proporcionando um processo sólido de 
tomada de decisões e de governança da organização (INTERNATIONAL 
ORGANISATION OF SUPREME AUDIT INSTITUTIONS, 2007).
111Gerenciamento de riscos corporativos – estrutura integrada do COSO
e) recusar meios para 
monitorar, avaliar e reportar 
controles internos.
3. O COSO II (COMMITTEE OF 
SPONSORING ORGANIZATIONS OF 
THE TREADWAY COMMISSION, 2007) 
categoriza os objetivos do controle 
interno, permitindo às organizações 
se concentrarem nos diferentes 
aspectos do controle interno. 
Quais das opções a seguir define o 
objetivo da conformidade? 
a) Representa as metas gerais, 
alinhadas de forma a suportar 
a sua missão na organização.
b) Harmonia com leis e normativos 
aplicáveis à entidade e 
à área em que atua.
c) Estabelece confiabilidade 
das informações e das 
demonstrações contábeis.
d) Está relacionada aos objetivos 
e às metas de desempenho, 
rentabilidade, segurança 
e qualidade dos ativos.
e) Fornecer pensamento 
de liderança por meio do 
desenvolvimento de quadros e 
orientações sobre gerenciamento 
de riscos corporativos, 
controles internos e fraudes.
4. A publicação do COSO II 
adotou uma ___________, 
focando o _______________ 
como um sistema, sempre de 
forma _____________, com 
melhor visão de gestão no 
gerenciamento dos riscos.
Qual das opções a seguir preenche 
corretamente os espaços? 
a) Postura proativa, 
resultado, integrada.
b) Postura reativa, controle 
interno, segregada.
c) Postura reativa, controle 
interno, integrada.
d) Postura proativa, controle 
interno, integrada.
e) Postura reativa, resultado, 
segregada.
5. Existe um relacionamento direto 
entre os objetivos que uma 
organização busca alcançar e os 
componentes do gerenciamento de 
riscos corporativos, representando 
aquilo que é necessário para o 
alcance dos objetivos. No COSO 
I (COMMITTEE OF SPONSORING 
ORGANIZATIONS OF THE TREADWAY 
COMMISSION, 2013) foram propostos 
cinco componentes para a condução 
dos controles internos; e no COSO II 
(COMMITTEE OF SPONSORING 
ORGANIZATIONS OF THE TREADWAY 
COMMISSION, 2007) eles foram 
complementados e passaram a 
ser oito elementos considerados 
para um controle interno efetivo. 
Qual das opções abaixo apresenta 
os três elementos que foram 
acrescentados pelo COSO II? 
a) Avaliação de riscos, resposta 
ao risco, monitoramento.
b) Identificação de eventos, 
resposta ao risco, informação 
e comunicação.
c) Ambiente interno, atividades 
de controle, monitoramento.
d) Fixação de objetivos, 
atividades de controle, 
informação e comunicação. 
e) Fixação de objetivos, 
identificação de eventos, 
resposta ao risco. 
Gerenciamento de riscos corporativos – estrutura integrada do COSO112
AGENCIA ESTADO. O escândalo da Enron: saiba o que está acontecendo. Estadão, 07 fev. 
2002. Disponível em: <http://economia.estadao.com.br/noticias/geral,o-escandalo-
-da-enron-saiba-o-que-esta-acontecendo,20020207p24521/>. Acesso em: 01 fev. 2017.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. 
Controle interno: estrutura integrada: sumário executivo. São Paulo: IIA Brasil, 2013. 
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. 
Gerenciamento de riscos corporativos: estrutura integrada: sumário executivo: estrutura. 
[S.l.]: PwC, 2007. 
CONSELHO REGIONAL DE CONTABILIDADE DO RIO GRANDE DO SUL. A importância 
dos preceitos de governança corporativa e de controle interno sobre a evolução e a in-
ternacionalização das normas de contabilidade e auditoria. Porto Alegre: CRCRS, 2011.
D’ANDRÉA, G. Os 5 principais riscos dos investimentos e como evitá-los. [S.l.]: InfoMoney, 
2012. Disponível em: <http://www.infomoney.com.br/onde-investir/noticia/2533310/
principais-riscos-dos-investimentos-como-evita-los>. Acesso em: 01 fev. 2017.
GRUPO PORTAL DE AUDITORIA. Introdução à Lei Sarbanes Oxley (SOX). Curitiba, 2017. 
Disponível em: <https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-
-sox/>. Acesso em: 01 fev. 2017.
INTERNATIONAL ORGANISATION OF SUPREME AUDIT INSTITUTIONS. Diretrizes para 
as normas de controle interno do setor público. Salvador: TCE Bahia, 2007. (Série Tra-
duções, n. 13).
MELLO, P. T. Escândalos corporativos globais respigaram nas firmas de contabilidade 
e auditoria. O Globo, Rio de Janeiro, 14 nov. 2014. Disponível em: <https://oglobo.
globo.com/economia/escandalos-corporativos-globais-respigaram-nas-firmas-de-
-contabilidade-auditoria-14565408/>. Acesso em: 01 fev. 2017.
PEREIRA, H. COSO 2013: visão geral. [S.l.]: LinkedIn, 2015. Disponível em: <https://
pt.linkedin.com/pulse/coso-2013-vis%C3%A3o-geral-henrique-pereira-mba>. Acesso 
em: 01 fev. 2017.
SOFT EXPERT. COSO. Joinville, c2018. Disponível em: <https://www.softexpert.com.
br/solucao/coso/>. Acesso em: 01 fev. 2017.
113Gerenciamento de riscos corporativos – estrutura integrada do COSO
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
Conteúdo:
DICA DO PROFESSOR
Neste vídeo, veja um pouco mais sobre a origem da metodologia COSO, conheça as principais 
características de cada um deles e também sua aplicabilidade nas empresas.
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) Com relação ao COSO, podemos afirmar:
A) É uma organização sem fins lucrativos criada em 1995.
B) Constituído por instituições financeiras.
C) Suas publicações trazem orientações sobre gerenciamento de riscos, controles internos e 
fraudes.
D) Teve apenas uma importante publicação.
E) Teve origem no Brasil.
2) O modelo COSO I, tornou-se referência mundial, por:
A) Uniformizar definições de controle interno.
B) Separar os componentes, objetivos e objetos do controle interno da gestão de riscos.
C) Dispensar papéis e responsabilidades da administração.
D) Recusar meios para monitorar, avaliar e reportar controles internos.
E) Propor que cada empresa estipule seu modelo de controle próprio e distinto das demais.
3) O COSO II categoriza os objetivos do controle interno, permitindo às organizações se 
concentrarem nos diferentes aspectos do controle interno. 
Quais das opções abaixo define o objetivo da conformidade?
A) Representa as metas gerais, alinhadas de forma a suportar a sua missão da organização.
B) Harmonia com leis e normativos aplicáveis à entidade e a área onde atua.
C) Estabelece confiabilidade das informações e das demonstrações contábeis.D) Está relacionada aos objetivos e as metas de desempenho, rentabilidade, segurança e 
qualidade dos ativos.
E) Fornecer pensamento de liderança através do desenvolvimento de quadros e orientações 
sobre gerenciamento de riscos corporativos, controles internos e fraudes.
4) A publicação do COSO II adotou uma ___________, focando o ______________ como 
um sistema, sempre de forma _____________, com melhor visão de gestão no 
gerenciamento dos riscos. 
Qual das opções abaixo preenche corretamente os espaços?
A) Postura proativa, resultado, integrada.
B) Postura reativa, controle interno, segregada.
C) Postura reativa, controle interno, integrada.
D) Postura proativa, controle interno, integrada.
E) Postura reativa, resultado, segregada.
5) Existe um relacionamento direto entre os objetivos que uma organização busca alcançar e 
os componentes do gerenciamento de riscos corporativos, que representam aquilo que é 
necessário para o alcance dos objetivos. 
No COSO I foram propostos cinco componentes para a condução dos controles internos e 
no COSO II estes foram complementados e passaram a ser oito elementos considerados 
para um controle interno efetivo. 
Qual das opções abaixo apresenta os três elementos que foram acrescentados pelo COSO 
II?
A) Avaliação de riscos, Resposta ao risco, Monitoramento.
B) Identificação de eventos, Resposta ao risco, Informação e Comunicação.
C) Ambiente Interno, Atividades de Controle, Monitoramento.
D) Fixação de Objetivos, Atividades de Controle, Informação e Comunicação.
E) Fixação de objetivos, Identificação de eventos, resposta ao risco.
NA PRÁTICA
Veja como Paulo, diretor de uma renomada empresa brasileira do ramo aliimnetício se reergueu 
após passar por um momento complicado, em função de recentes escândalos envolvendo outras 
empresas do mesmo segmento.
Conteúdo interativo disponível na plataforma de ensino!
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
Através da leitura do link abaixo, você vai conhecer a aplicabilidade da metodologia 
COSO em uma indústria
Conteúdo interativo disponível na plataforma de ensino!
Este link traz um vídeo que apresenta o gerenciamento de risco através da metodologia 
COSO, como evitar as perdas financeiras aplicando esta metodologia
Conteúdo interativo disponível na plataforma de ensino!
Campos de aplicação da Gestão de Riscos
APRESENTAÇÃO
Os objetivos de uma organização podem ser afetados, de diversas maneiras, por fatores de riscos 
que podem estar em qualquer área da empresa e que, caso sejam concretizados, poderão trazer 
impactos negativos ou positivos. É o gerenciamento de riscos que, ao ser aplicado de forma 
integrada na organização, abrangendo todas as suas áreas, configura uma importante ferramenta 
de auxílio à governança na busca pela obtenção das metas e objetivos organizacionais.
Nesta Unidade de Aprendizagem, você vai estudar a aplicação da gestão e a categorização de 
riscos, bem como importância da comunicação e da conformidade no gerenciamento destes. 
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Identificar a aplicação da gestão de riscos.•
Reconhecer a categorização dos riscos.•
Descrever a importância da comunicação e da conformidade.•
DESAFIO
O gerenciamento de riscos envolve as etapas de identificação, avaliação, tratamento, 
monitoramento dos riscos, e comunicação. A categorização dos riscos está inserida na etapa de 
identificação dos riscos, quando se definem os eventos internos e externos que poderão impactar 
de alguma forma na obtenção dos objetivos estratégicos da organização, positiva ou 
negativamente.
Leve em consideração os oito fatores de risco a seguir, e informe se o risco apresentado é 
interno, externo, estratégico ou financeiro e justifique sua escolha.
 
INFOGRÁFICO
Durante a gestão de riscos, dois elementos são muito importantes: a comunicação e a 
conformidade. Será possível fazer a identificação e a avaliação dos riscos de forma mais rápida, 
objetiva e transparente se a comunicação for adequada e eficiente. Por outro lado, a organização 
estará protegida da falta de capacidade ou de disciplina, à medida que cumprir a legislação e os 
regulamentos internos e externos atinentes ao seu negócio.
Veja, no Infográfico a seguir, a ilustração sobre a importância da comunicação e da 
conformidade.
Conteúdo interativo disponível na plataforma de ensino!
 
 
CONTEÚDO DO LIVRO
Uma organização pode ter os seus objetivos afetados de várias formas, por fatores de risco que 
podem estar relacionados a qualquer área ou departamento da empresa e que, se forem 
concretizados, poderão trazer impactos negativos ou positivos. A aplicação do gerenciamento de 
riscos de uma forma integrada na organização, através do envolvimento, do conhecimento e da 
participação de todos os interessados, configura uma ferramenta que auxilia a governança, 
visando à obtenção das metas e objetivos organizacionais.
No capítulo Campos de aplicação da gestão de risco, da obra Gerenciamento de riscos, você 
verá que a gestão de riscos pode ser aplicada em qualquer tipo de organização, seja ela grande 
ou pequena, independentemente do tipo de negócio desempenhado.
GERENCIMENTO 
DE RISCOS 
Jeanine dos Santos Barreto
Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147
F838g Fraporti, Simone.
 Gerenciamento de riscos / Simone Fraporti, Jeanine
 Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre : 
 SAGAH, 2018.
 166 p. ; 22,5 cm
 ISBN 978-85-9502-334-5
 1. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.
 II. Título.
CDU 658.88
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas 
Especialista em Controladoria e Finanças
Campos de aplicação 
da gestão de riscos
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Identificar a aplicação da gestão de riscos.
 � Reconhecer a categorização dos riscos. 
 � Descrever a importância da comunicação e da conformidade.
Introdução
Os objetivos de uma organização podem ser afetados de diversas manei-
ras, por fatores de riscos que podem estar em qualquer área da empresa 
e, caso sejam concretizados, trazer impactos negativos ou positivos. O 
gerenciamento de riscos, ao ser aplicado de forma integrada na orga-
nização, abrangendo todas as suas áreas, configura uma importante 
ferramenta de auxílio à governança na busca pelo atingimento das metas 
e dos objetivos organizacionais.
Neste capítulo, você irá estudar a aplicação da gestão de riscos, a 
categorização dos riscos e a importância da comunicação e da confor-
midade no gerenciamento de riscos.
Aplicação da gestão de riscos
O atingimento dos objetivos das organizações pode ser afetado, de forma 
negativa ou positiva, por uma infinidade de fatores de riscos. Esses objetivos, 
geralmente se relacionam a todas as áreas da organização, envolvendo ativi-
dades e processos que vão desde a operação das rotinas operacionais até os 
projetos e iniciativas estratégicas de gestão. Dessa forma, uma organização 
que conhece seus fatores de risco, conhece profundamente o seu negócio, 
assim como uma empresa que conhece o seu negócio aumenta as chances de 
conhecimento dos seus riscos.
Além disso, os objetivos de uma organização também podem trazer con-
sequências para a sociedade, o meio ambiente, a saúde e a segurança dos 
empregados, o mercado de trabalho e, finalmente, para a sua própria imagem 
e reputação da empresa perante clientes e concorrentes (INSTITUTO BRA-
SILEIRO DE GOVERNANÇA CORPORATIVA, 2007).
O gerenciamento de riscos é a ferramenta que tem a capacidade de iden-
tificar e gerir os mais diversos tipos de fatores de riscos, dando uma resposta 
condizente a cada um deles, caso se concretizem. A abordagem integrada 
dos fatores de risco, considerando todasas áreas da empresa, facilita muito 
o trabalho da alta gestão, pois, uma vez que o processo de gerenciamento de 
riscos seja sistemático, organizado e contínuo, o tratamento dos riscos poderá 
ser feito em áreas totalmente diferentes ao mesmo tempo, a fim de produzir 
resultados melhores e sem o esforço que seria necessário, caso o foco fosse 
para uma área em particular.
Dentro de uma organização, normalmente o gerenciamento de riscos é 
aplicado nas seguintes atividades (INSTITUTO BRASILEIRO DE GOVER-
NANÇA CORPORATIVA, 2007): 
 � Estratégia: a gestão de riscos efetiva pode aumentar a capacidade de a 
organização alcançar seus objetivos, gerenciando possíveis obstáculos 
que possam impedir o sucesso de algum processo ou o atingimento de 
alguma meta estratégica.
 � Governança e conformidade: durante muito tempo, as organizações 
trabalharam seus riscos e seus processos para conformidade como 
aspectos independentes, separados. Atualmente, o foco de atuação 
organizacional está direcionado para a integração das áreas, unindo 
técnicas de governança corporativa com a gestão dos riscos corporativos 
e conformidade (compliance).
O termo compliance, muito utilizado no ambiente corporativo, é a tradução de con-
formidade, que em inglês vem do verbo to comply, que significa cumprir, executar, 
satisfazer, realizar o que foi imposto.
O compliance envolve um conjunto de processos e atividades que servem para 
garantir o cumprimento de todas as normas legais e regulamentares, a execução 
de todas as políticas e diretrizes estabelecidas para o negócio e para as atividades 
institucionais envolvidas e para identificar, tratar e, se possível, evitar qualquer desvio 
ou inconformidade que possa acontecer.
 
Campos de aplicação da gestão de riscos116
 � Ativos: a gestão de ativos baseada na gestão de riscos tem se mostrado 
eficiente, não por diminuir ou eliminar os riscos, mas pelo fato de utilizar 
os riscos para fazer o alinhamento entre o desempenho operacional de 
todos os ativos e o custo do ciclo de vida de cada ativo.
 � Projetos: a gestão de riscos é um dos aspectos mais importantes do 
gerenciamento de projetos, sendo considerada uma das áreas de co-
nhecimento em que um gerente de projetos precisa ter um profundo 
conhecimento.
 � Processos: a gestão de riscos é importante na modelagem dos processos 
de negócio, porque mesmo que todos eles estejam identificados, mapea-
dos e bem detalhados, existe a possibilidade de acontecerem problemas.
 � Saúde, segurança e meio ambiente: as empresas precisam identificar, 
mitigar e tentar eliminar, de maneira rápida, eficiente e eficaz, todo e 
qualquer evento negativo que possa acontecer, na tentativa de tornar 
o ambiente de trabalho seguro e se manter em conformidade com os 
padrões e as normas. O gerenciamento de riscos é a ferramenta que 
pretende identificar as ameaças que oferecem impactos maiores e mais 
críticos, separando-os daqueles que são menos graves.
 � Ambiente unificado: a gestão de riscos está em todas as áreas das 
organizações, devido à atuação integrada que se busca atualmente. 
Mesmo que cada organização utilize o gerenciamento de riscos ao seu 
modo, os princípios seguidos são os mesmos, o que possibilita, inclusive, 
que um gestor de riscos de uma empresa consiga realocação em uma 
empresa concorrente com muita facilidade. A governança corporativa 
moderna exige um ambiente em que todas as áreas utilizem a mesma 
linguagem para se comunicar, para falar sobre seus riscos iminentes e 
para compartilhar experiências entre as pessoas. 
A globalização e a economia influenciam diretamente a forma como as 
organizações executam suas atividades. As empresas, estejam elas estáveis ou 
não, e operando com grandes ou pequenos riscos, passaram a realizar previsões 
e projeções de situações, diante da instabilidade que seus fornecedores e seus 
clientes enfrentam atualmente.
As organizações, portanto, precisaram fazer o gerenciamento de riscos, e 
passaram a fazer isso de forma consciente e estruturada, ao implantar mode-
los organizacionais que façam a identificação, a priorização e a elaboração 
de medidas para os riscos concretizados, ou inconsciente e desestruturada, 
quando executam o tratamento dos riscos à medida que eles ocorrem. Tratar 
117Campos de aplicação da gestão de riscos
riscos de forma proativa e organizada demanda muito menos esforço e custo 
do que o inverso.
O gerenciamento de riscos é uma atividade que tem importância e valor 
estratégico para qualquer tipo de organização, das pequenas até as grandes. A 
melhor forma de enfrentar os riscos ainda é concentrar os esforços de todos na 
tentativa de identificar todos os fatores de riscos possíveis, realizando a gestão 
preventivamente, antes que eles consigam afetar o negócio, principalmente se 
o seu impacto for negativo. Apesar disso, você precisa entender que, mesmo 
que o risco concretizado seja de impacto positivo, se não tiver sido elaborada 
nenhuma resposta a ele, isso poderá representar a chance de perder todo e 
qualquer benefício que poderia ter sido obtido (BRASIL, 2013).
Sem um gerenciamento de riscos, dificilmente uma empresa consegue 
alcançar os seus objetivos, tanto globalmente como em qualquer uma de suas 
áreas. A gestão de riscos atua como um fator profissionalizante na organização, 
uma vez que, tanto os empregados como os gestores, passam a entender e a 
estudar cada vez mais os processos em que estão inseridos, para que possam 
descobrir possíveis falhas e diminuir ou eliminar perdas e prejuízos.
No mundo corporativo moderno, as empresas estão incluindo, em suas 
estruturas organizacionais, departamentos e equipes para cuidar especifica-
mente do gerenciamento de riscos, que atuam em conjunto com todas as demais 
áreas da empresa, em que o tratamento dos riscos também é desempenhado. 
Cada área tem uma responsabilidade no gerenciamento de riscos, mas é o 
departamento específico que faz a gestão geral. Normalmente, as empresas que 
optam por não ter uma equipe dessas, contratam consultorias especializadas, 
mas não deixam de fazer o gerenciamento de seus fatores de risco. Via de 
regra, empresas maiores enfrentam riscos maiores e, por isso, precisam de 
mais detalhamento, elaboração e sofisticação na sua gestão de riscos, o que 
não acontece em empresas menores.
O papel dessas equipes é identificar os riscos; elaborar estratégias para 
prevenir a concretização dos riscos negativos ou diminuir os seus impactos; 
elaborar medidas para aproveitar ao máximo os riscos positivos ou aumentar 
os ganhos decorrentes; executar as ações elaboradas e motivar os empregados 
e todos os demais envolvidos a se esforçarem em prol do sucesso das respostas 
aos riscos.
Outro papel importante da equipe de gerenciamento é o de avaliar cada 
fator de risco e fazer a determinação sobre quais deles são críticos para o 
negócio organizacional. Essa tarefa poderia ser executada pelas pessoas que 
estão diretamente envolvidas nos processos, mas, muitas vezes, isso se torna 
impossível, pois os empregados acabam desprezando o risco ou subestimando 
Campos de aplicação da gestão de riscos118
o seu impacto, aspecto que é muito grave quando se trata de gestão de risco. 
Nesse sentido, é sempre melhor que a equipe de gestão de risco utilize o 
conhecimento de todos os envolvidos nos processos, mas faça suas avaliações 
e controles de forma especializada, para que nenhum risco seja ignorado ou 
desconsiderado.
Categorização dos riscos
A categorização dos riscos faz parte da etapa de identificação dos riscos, 
quando são definidos os eventos externos e internos que poderão impactar no 
atingimento dos objetivos estratégicos da organização, de maneira negativa 
ou positiva.
O gerenciamento de riscos envolve, normalmente, cinco fases, que se subdividem em 
diversas etapas ou conjuntos de atividades, como você pode ver a seguir.
 � Identificação: quando se identificam e definem todos os fatores de risco, com um 
nível de detalhamento mínimo. É a fase quecompreende a categorização dos riscos.
 � Avaliação: quando é feita a análise de cada fator de risco quanto à probabilidade 
de se concretizar e quanto ao impacto, negativo ou positivo, que pode causar.
 � Tratamento: quando se define uma resposta para cada um dos fatores de risco, 
sendo a estratégia de aceitação ativa a mais utilizada.
 � Monitoramento: quando é feita a reavaliação dos fatores de risco e o monitora-
mento das respostas dadas a eles.
 � Comunicação: faz parte de todas as outras etapas e é fundamental para o processo 
de tomada de decisões resultante da gestão de riscos. 
Dentro da fase de identificação de riscos, mas antes da etapa de cate-
gorização, é feita a associação entre os objetivos estratégicos e o perfil de 
riscos. É o conselho administrativo que deve definir o perfil de riscos da 
organização, de forma que expresse a posição da alta gestão organizacional. 
O perfil de riscos envolve (INSTITUTO BRASILEIRO DE GOVERNANÇA 
CORPORATIVA, 2007): 
 � apetite ao risco, ou seja, a quantidade de exposição ao risco que é 
aceitável para a organização, enquanto busca atingir seus objetivos;
119Campos de aplicação da gestão de riscos
 � tolerância ao risco, que é o nível de variabilidade na realização de metas 
e objetivos predefinidos aceitável pela organização.
Os objetivos estratégicos são aqueles que indicam de que forma a organização deverá 
operar para agregar valor a todos os interessados no seu sucesso; eles estão diretamente 
ligados ao perfil de riscos da organização.
A atividade de categorização dos riscos deve considerar dois elementos que 
ocasionam um gerenciamento de riscos de sucesso ou não, são eles as pessoas 
e a reputação. Normalmente, as pessoas são consideradas causas e a reputação 
é considerada uma consequência do resultado do gerenciamento de riscos.
Os riscos associados às pessoas, normalmente, se apresentam em todos 
os fatores de riscos. Eles vão desde falhas na comunicação, que podem trazer 
prejuízos por serem uma ameaça, até a eficiência na execução das atividades, 
que podem trazer inúmeros benefícios por serem uma oportunidade.
Já os riscos associados à reputação da organização, ou a sua imagem, não 
configuram um tipo de risco especificamente, mas uma consequência de um 
gerenciamento de riscos mal feito, que acontece quando o erro se torna público.
Não existe um padrão de classificação de riscos para ser aplicado em 
todas as organizações. A categorização deve ser realizada de acordo com as 
especificidades de cada organização, considerando suas características, seu 
ramo de atuação, o mercado, seus concorrentes, seus clientes, enfim, todos 
os agentes ou elementos que podem representar fatores de riscos e que estão 
ligados, de alguma forma, ao sucesso dos objetivos estratégicos.
O risco de faltar material em estoque é muito mais crítico para uma indústria, uma 
farmácia ou uma loja de confecções do que para um banco, por exemplo. Em con-
trapartida, juros baixos para investimentos, juros altos para financiamentos e crise 
econômica são fatores de risco mais críticos para bancos do que para uma indústria, 
uma farmácia ou uma loja de confecções.
Campos de aplicação da gestão de riscos120
Uma das formas mais comuns de fazer a categorização dos fatores de risco 
considera a origem dos eventos ou a natureza dos riscos, conforme segue 
(INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2007):
Origem dos eventos: é importante determinar de onde pode vir um evento, 
para que a tomada de decisão em relação ao risco seja facilitada. A origem 
dos eventos pode ser:
Riscos internos: envolvem os eventos que são originados dentro da pró-
pria estrutura da organização, como consequência de seus processos, seus 
funcionários, da tecnologia disponível, entre outros fatores. Nesse caso, a 
organização tem o dever de agir diretamente, de forma rápida e proativa.
Riscos externos: envolvem os eventos que acontecem fora do contexto or-
ganizacional, normalmente associados à política, economia, sociedade, cultura 
e setor ou mercado no qual a empresa opera. Nesse caso, a organização não 
consegue intervir de maneira direta, não consegue evitar os acontecimentos, 
nem tampouco diminuir o seu impacto. A solução, então, é se preparar para 
agir de forma reativa, à medida que os acontecimentos se concretizarem. Isso 
não significa que os riscos externos não podem ser gerenciados, mas é preciso 
que a organização esteja preparada para reagir e enfrentá-los.
Natureza dos riscos: é importante classificar a natureza de cada risco, 
pois isso permite que todos os fatores de risco sejam organizados em área ou 
nível organizacional ao qual pertencem. Os fatores de riscos podem pertencer 
a uma categoria somente, ou a mais de uma, conforme segue:
 � Riscos estratégicos: estão associados às decisões tomadas pela alta 
administração da organização, que podem gerar perdas ou prejuízos 
substanciais. Muitas vezes, os riscos que decorrem de uma gestão ruim 
resultam em fraudes nos demonstrativos financeiros, a fim de encobrir 
os problemas.
 � Riscos operacionais: estão associados às perdas provenientes de pro-
cessos internos com falhas, funcionários sem a competência ou preparo 
necessários, sistemas de informática não confiáveis e, também, a eventos 
externos, como catástrofes naturais e greves de fornecedores. Em geral, 
esse tipo de risco leva à interrupção parcial ou total das atividades de 
uma ou várias áreas da empresa, trazendo inclusive impacto negativo na 
sua imagem perante à sociedade, além de ocasionar possíveis passivos 
ambientais, contratuais e regulatórios.
 � Riscos financeiros: estão associados às operações financeiras da organi-
zação, com o risco de que o fluxo de caixa não seja administrado de forma 
adequada. Podem ocasionar o endividamento excessivo da organização.
121Campos de aplicação da gestão de riscos
Importância da comunicação e da conformidade
No gerenciamento de riscos, a comunicação é um dos elementos mais im-
portantes. Quando a comunicação é adequada e eficiente, e acontece entre 
todas as partes interessadas dos ambientes interno e externo da organização, 
a avaliação dos riscos é feita de forma mais rápida, objetiva e transparente. O 
conteúdo a ser comunicado com os ambientes interno e externo à organização 
vai refletir as políticas, a cultura e as atitudes que são valorizadas pela admi-
nistração organizacional (INSTITUTO BRASILEIRO DE GOVERNANÇA 
CORPORATIVA, 2007).
A comunicação, apesar de ser considerada uma fase do gerenciamento de 
riscos, não acontece como um estágio separado das demais fases, pois ela deve 
estar presente de forma contínua, durante todo o processo de gerenciamento 
de riscos.
O gerenciamento de riscos que conta com uma comunicação eficiente, au-
xilia a reduzir a probabilidade de a gestão da organização tomar conhecimento 
de um risco somente depois que ele se concretizar e a crise estiver instalada.
No processo de comunicação, deve-se ter a certeza de que a metodologia 
e os processos que estão sendo utilizados para o gerenciamento de riscos 
serão veiculados para todos os interessados, bem como as funções e as res-
ponsabilidades de cada integrante da equipe de gestão de riscos. Além desses, 
existem alguns elementos da gestão de riscos que dependem diretamente da 
comunicação (BRASIL, 2013):
 � entendimento acerca da definição do que é risco para a organização;
 � identificação de novos riscos;
 � entendimento acerca dos objetivos da organização por meio da gestão 
de riscos;
 � qual é o apetite e qual é a tolerância a riscos da organização;
 � necessidade de controlar as mudanças nos fatores de riscos;
 � entendimento sobre os riscos prioritários para a organização;
 � entendimento sobre o nível da urgência com a qual os riscos devem 
ser tratados;
 � entendimento sobre a resposta ao tratamento que deve ser esperada de 
cada fator de risco;
 � identificação e compartilhamento das lições aprendidas com o geren-
ciamento de riscos, a fim de que a organização aprendacom elas e 
não repita erros;
Campos de aplicação da gestão de riscos122
 � entendimento sobre o vocabulário ou linguagem comum que será usada 
pela organização quando o assunto for riscos.
O vocabulário comum sobre os riscos servirá para tornar a terminologia 
e a linguagem uniforme, o que vai permitir (INSTITUTO BRASILEIRO DE 
GOVERNANÇA CORPORATIVA, 2007), que os mesmos relatórios sejam 
direcionados para diferentes níveis de gestão; e que exista um canal claro e 
transparente de comunicação entre todos, nas duas vias.
Embora seja muito difícil chegar a um consenso sobre alguns aspectos do 
contexto de riscos ou gerenciamento de riscos, principalmente sobre o que 
deve ser considerado um risco ou não, e, ainda, se o risco é de grande impacto 
ou não, a comunicação vai possibilitar que sejam diminuídos ou eliminados 
os mal-entendidos e a sensação de desconfiança entre as partes envolvidas.
Com relação à comunicação com o ambiente externo, uma comunicação 
objetiva, direta e transparente sobre a metodologia utilizada para o geren-
ciamento de riscos adotados pela organização sempre é bem-vinda, mesmo 
quando ela se trata apenas de uma obrigação legal para que a empresa entre 
em conformidade com algum regulamento ou legislação.
É muito importante que sejam elaborados procedimentos que consigam 
estimular a comunicação de falhas, desvios e erros concretos, além de sus-
peitas de fraudes e violações de códigos de conduta e ética da organização 
por todos os colaboradores. O somatório de pequenos erros que possam ser 
desconsiderados pela empresa pode acarretar em prejuízos graves para toda 
a organização e suas partes interessadas.
A conformidade, ou compliance, se traduz no dever de cumprir e estar em 
conformidade com todos os regulamentos externos e internos que possam ser 
impostos à organização em decorrência das suas atividades. Conformidade 
é o aspecto do gerenciamento de riscos que protege a organização da falta de 
capacidade ou de disciplina, no sentido de cumprir o que estiver estabelecido 
pela legislação, ou por qualquer outro tipo de regulamentação acerca do negócio 
da organização e, ainda, das normas e procedimentos internos (INSTITUTO 
BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2007). 
É importante lembrar que, mesmo que a organização cumpra todas as 
normas que estão estabelecidas pela legislação e pelos regulamentos externos 
e internos, suas ações poderão causar impactos negativos para os fornecedo-
res, clientes, acionistas, sociedade e empregados, o que pode gerar risco de 
reputação e imagem, com graves prejuízos para a organização como um todo.
Como a conformidade também inclui a obediência aos procedimentos 
e às regras internas da organização, ela é mais ampla do que simplesmente 
123Campos de aplicação da gestão de riscos
dizer que a organização deve cumprir com as leis tributárias, trabalhistas, 
ou fiscais, pois ela deve cumprir aquilo que ela mesma estabeleceu, em seus 
manuais de ética e conduta e no seu acordo trabalhista, por exemplo. Observe 
o esquema da Figura 1.
Figura 1. Esquema dos itens envolvidos na conformidade.
Fonte: G.Lab (2017).
Mesmo incluindo regulamentação interna, a conformidade não pode ser 
confundida com o processo de auditoria interna. O processo de conformi-
dade deve ser contínuo e permanente, deve ser uma prática de rotina para 
a organização, servindo para garantir que as várias áreas da organização 
estejam cumprindo as normas internas e externas para prevenir e controlar 
os riscos envolvidos em cada uma das atividades que compõem os processos 
organizacionais. A conformidade deve fazer parte da empresa, ao passo que 
a auditoria interna deve avaliar a empresa, logo, a conformidade é um dos 
objetos que serão auditados durante uma auditoria interna.
A conformidade precisa ser entendida como um entre tantos controles que 
uma organização deve ter, que serve para mitigar os riscos relacionados à 
falta de cumprimento das normas, os chamados riscos de não conformidade. 
A conformidade está ligada aos padrões mínimos aceitáveis para o compor-
tamento da empresa, nos seus ambientes interno e externo, que se traduzem 
no comprometimento com padrões de boa administração, melhores práticas 
trabalhistas e comportamento ético para com todos os envolvidos, entre outros.
Campos de aplicação da gestão de riscos124
125Campos de aplicação da gestão de riscos
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Gestão 
Pública. Departamento de Inovação e Melhoria da Gestão. Gerência do Programa 
GesPública. Projeto de desenvolvimento do guia de orientação para o gerenciamento 
de riscos. Brasília, DF, 2013.
G.LAB. Gestão de risco e compliance fazem a diferença. Época Negócios, São Paulo,
jun. 2017. Disponível em: <http://epocanegocios.globo.com/Publicidade/Petrobras/
noticia/2017/06/gestao-de-risco-e-compliance-fazem-diferenca.html>. Acesso em:
31 jan. 2018.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de orientação para 
gerenciamento de riscos corporativos. São Paulo: IBGC, 2007.
Leitura recomendada
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Uma base para o desenvolvimento 
de estratégias de aprendizagem para a gestão de riscos no serviço público. Brasília, DF: 
ENAP, 2003.
DICA DO PROFESSOR
A categorização dos riscos é uma atividade que está inserida dentro da etapa de identificação 
dos riscos organizacionais, quando são definidos aqueles eventos internos e externos que 
poderão impactar de alguma forma na obtenção dos objetivos estratégicos da organização, 
negativa ou positivamente.
Nesta Dica do Professor, você vai aprender sobre a categorização dos riscos.
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) Assinale a alternativa que indica onde o gerenciamento de riscos pode ser aplicado 
nas organizações. 
A) Pode ser aplicado em todas as áreas das organizações, principalmente na estratégia, na 
governança e conformidade, nos ativos, nos projetos, nos processos, no ambiente 
unificado, na saúde, na segurança e no Meio Ambiente.
B) Apenas na área de estratégia e finanças, pois o gerenciamento de riscos envolve somente 
estratégia, para não ter prejuízo.
C) Apenas nas área de recursos humanos e finanças, pois o gerenciamento de riscos quer 
somente o envolvimento dos funcionários e o lucro.
D) Somente na área de governança, pois é a administração que responde pela gestão de riscos.
E) Somente na área operacional, pois são os erros dos funcionários que se tornam riscos para 
a organização.
Por que é possível dizer que a gestão de riscos atua como fator profissionalizante 2) 
dentro de uma organização? 
A) Porque os funcionários precisam ter, no mínimo, curso de graduação, depois que o 
gerenciamento de riscos é implantado.
B) Porque só um funcionário com pós-graduação poderá assumir uma vaga na equipe de 
gestão de riscos.
C) Porque os funcionários precisam fazer, em até 30 dias, todos os cursos de gestão de riscos 
oferecidos pela empresa.
D) Porque somente os gestores precisarão estudar o negócio da empresa se quiserem fazer 
parte da equipe de gestão de riscos.
E) Porque os empregados e os gestores precisam estudar para entender os processos dos quais 
participam, a fim de poder levantar falhas e sugerir melhorias.
3) Assinale a alternativa que contém os elementos que compõem o perfil de riscos de 
uma organização. 
A) Apetite ao risco e tolerância ao risco.
B) Aversão ao risco e adaptabilidade ao risco.
C) Exposição ao risco e identificação dos riscos.
D) Gravidade dos riscos e importância definida para os riscos.
E) Impacto gerado pelo risco e probabilidade do risco se concretizar.
4) Quais os dois elementos principais que devem ser considerados durante a 
categorização dos riscos? 
A) Clientes e fornecedores.
B) Pessoas e reputação.
C) Globalização e legislação.
D) Concorrência e mercado.
E) Meio Ambiente e sociedade.
5) Assinale a alternativa que contém a definição de conformidade ou compliance. 
A) Liberalidadeque uma organização tem no cumprimento dos seus regulamentos internos.
B) Obrigatoriedade que uma organização tem para cumprir somente a constituição federal 
vigente.
C) Dever que uma organização tem de cumprir o que a legislação e os regulamentos externos 
e internos determinam, devido às suas atividades e ao seu negócio.
D) Poder que uma organização tem de elaborar seus regulamentos internos.
E) Dever que uma organização tem de cumprir somente a legislação trabalhista, para que seus 
funcionários sintam-se satisfeitos em trabalhar.
NA PRÁTICA
Uma grande rede de lojas de vestuário feminino já tinha a prática de fazer o gerenciamento de 
riscos, mas apenas na área estratégica da rede, e quem participava era somente a alta gestão. 
Com o tempo, pôde-se perceber que houve perda de clientes, algumas lojas fecharam e a 
concorrência acabou alargando sua participação no mercado.
Conteúdo interativo disponível na plataforma de ensino!
 
 
Atualmente, contando com a participação de todos, a rede de lojas voltou a crescer . Ela está 
conseguindo competir com seus concorrentes e seus clientes estão voltando, pois visualizam 
valor agregado no seu relacionamento com a empresa. A área estratégica da empresa continua 
colaborando como antes na gestão de riscos, mas, agora, os funcionários podem colaborar e 
opinar, como é o caso daqueles que possuem contato direto com o cliente, informando ameaças 
identificadas no seu relacionamento pré e pós-venda, e também oportunidades de atrair novos 
clientes e negócios.
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
Neste vídeo, você vai conhecer os benefícios de adotar práticas que contribuem para uma 
cultura organizacional ética.
Conteúdo interativo disponível na plataforma de ensino!
Neste vídeo, o empresário William Cristian de Oliveira explica as principais etapas do 
processo de implementação de estrutura de gerenciamento do risco operacional.
Conteúdo interativo disponível na plataforma de ensino!
Compliance e sua influência na reputação das empresas
Conteúdo interativo disponível na plataforma de ensino!
Abordagens da Norma AS/NZS – 
4360:2004
APRESENTAÇÃO
A norma AS/NZS 4360 foi a primeira em âmbito mundial a abordar o tema gestão de riscos 
empresariais. Sua proposta principal é a de processo estruturado e contínuo para o 
gerenciamento dos mais diversos tipos de riscos, podendo ser utilizada por qualquer tipo de 
organização, independentemente do tamanho e setor de atividade. A AS/NZS 4360:2004 
enfatiza que a cultura da gestão de riscos deve ser inserida na filosofia, nas práticas e nos 
processos de negócio da organização, em vez de ser vista ou praticada como uma atividade em 
separado. Embora o conceito de risco seja frequentemente interpretado em termos de perigo ou 
impacto negativo, a nova norma vê os riscos como a exposição às consequências da 
incerteza ou como potenciais desvios do que foi planejado ou do que é esperado.
Nesta Unidade de Aprendizagem, você vai estudar a norma AS/NZS 4360:2004, sua estrutura e 
seu processo de gestão de riscos, e também a política de gestão de riscos proposta pela norma.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Definir a norma AS/NZS 4360.•
Descrever estrutura e processo de gestão de risco segundo a norma AS/NZS 4360.•
Definir a política de gestão de riscos proposta pela norma AS/NZS 4360.•
DESAFIO
Para ser mais eficaz, a gestão de riscos deve tornar-se parte da rotina de uma organização, ser 
internalizada na sua filosofia, nas práticas e nos processos de negócio, mais do que ser vista ou 
praticada como uma atividade separada. Quando se atinge esse ponto, todos se envolvem na 
gestão dos riscos. A norma AS/NZS 4360:2004 é uma das principais referências sobre a gestão 
de risco e serviu de base para o desenvolvimento da ISO 31000 - Gestão de Riscos. 
A empresa na qual você trabalha está implantando um programa para gerenciamento de riscos, 
utilizando como base as orientações da norma AS/NZS 4360. Para isso, ofereceu um 
treinamento aos seus gerentes, e você é um deles. Após concluído o treinamento, você recebeu a 
missão de atuar como multiplicador dos conhecimentos adquiridos, compartilhando-os com os 
integrantes de sua equipe. 
 
Conteúdo interativo disponível na plataforma de ensino!
Após o grupo ter chegado a um consenso, é, então, a sua vez. Para concluir a atividade e garantir 
que todos tenham compreendido corretamente, você deve apresentar a tabela devidamente 
preenchida, com as atividades adequadamente associadas às diferentes etapas componentes do 
processo de gerenciamento de riscos.
INFOGRÁFICO
A AS/NZS 4360 possui a premissa de ser aplicável a qualquer situação de gerenciamento de 
riscos em qualquer tipo de organização, sem se restringir a um segmento específico. Ela 
apresenta um glossário com os principais termos empregados, uma visão geral do processo de 
gerenciamento de riscos, um detalhamento do objetivo de cada etapa do processo e indicações 
de como estabelecer um gerenciamento de riscos efetivo.
Este Infográfico apresenta o relacionamento entre os diferentes processos de gerenciamento de 
riscos sugeridos pela norma.
Acompanhe.
 
Conteúdo interativo disponível na plataforma de ensino!
CONTEÚDO DO LIVRO
A norma AS/NZS 4360:2004 estabelece sete etapas do processo de gestão de riscos, que são: 
comunicação e consulta; estabelecer o contexto; identificar os riscos; analisar os riscos; avaliar 
os riscos; tratar os riscos, e monitorar e revisar.
O contexto do gerenciamento de riscos deve estar alinhado com o ambiente de negócios da 
organização, o qual deve ter sido estabelecido no planejamento estratégico. Entretanto, quando 
do início dessa fase, pode ser que o contexto definido anteriormente no planejamento estratégico 
necessite de ajustes. Na fase de estabelecer o contexto, o escopo, os objetivos, as metas e as 
atividades de todo o processo são estabelecidos, inclusive os recursos necessários à sua 
realização.
Na obra Gerenciamento de riscos, base teórica desta Unidade de Aprendizagem, leia o capítulo 
Abordagens da norma AS/NZS 4360:2004, onde você verá com mais detalhes as etapas do 
processo de gestão de riscos.
GERENCIAMENTO 
DE RISCOS
Iraneide Azevedo
Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147
F838g Fraporti, Simone.
 Gerenciamento de riscos / Simone Fraporti, Jeanine
 Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre : 
 SAGAH, 2018.
 166 p. ; 22,5 cm
 ISBN 978-85-9502-334-5
 1. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.
 II. Título.
CDU 658.88
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas 
Especialista em Controladoria e Finanças
Abordagens da Norma 
AS/NZS nº 4.360/2004
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Definir a Norma AS/NZS nº 4.360/2004.
 � Descrever estrutura e processo de gestão de risco segundo a Norma 
AS/NZS nº 4.360/2004.
 � Definir a política de gestão de riscos proposta pela Norma AS/NZS 
nº 4.360/2004.
Introdução
A Norma AS/NZS nº 4.360/2004 foi a primeira norma em âmbito mundial 
a abordar o tema gestão de riscos empresariais. Sua proposta principal 
é de processo estruturado e contínuo para o gerenciamento dos mais 
diversos tipos de riscos, podendo ser utilizada por qualquer tipo de 
organização, independentemente de tamanho e setor de atividade. Dá 
muita ênfase ao fato de que a cultura da gestão de riscos deve neces-
sariamente pertencer à filosofia da organização, e que a alta gerência 
é a responsável pelo seu estabelecimento e disseminação entre toda 
a organização. Menciona que a gestão de riscos será mais eficiente e 
eficaz se for integrada a outras atividades de gestão, garantindo melhores 
resultados à organização.
Nestecapítulo, você irá estudar a Norma AS/NZS nº 4.360/2004, sua 
estrutura e processo de gestão de riscos e, também, a política de gestão 
de riscos proposta pela norma.
Norma AS/NZS nº 4.360/2004
A Norma AS/NZS nº 4.360/2004 surgiu em 1995, correspondendo à primeira 
norma em âmbito mundial referente à gestão do risco. Por ter sido idealizada 
por entidades da Austrália e da Nova Zelândia, recebeu a denominação de 
Australia/New Zealand Risk Management (AS/NZS). Houveram complemen-
tações em seu contexto e a norma foi reeditada duas vezes, em 1999 (AS/NZS 
nº 4.360/1999) e em 2004 (AS/NZS nº 4.360/2004). É considerada referência 
na gestão de risco e se tornou um guia para a implementação do processo. Em 
2009, serviu de base para a implementação da NBR ISO 31000 (TRIBUNAL 
DE CONTAS DA UNIÃO, c2018).
A Norma AS/NZS nº 4.360/1995 tinha em sua proposta um método es-
truturado para o gerenciamento dos mais diversos tipos de riscos, sejam 
eles relacionados à segurança, ao meio ambiente e à qualidade de produtos e 
serviços, financeiros, de seguros, de políticas públicas, entre outros. A norma 
conceituava gestão de riscos como a cultura, os processos e as estruturas 
dirigidas à consolidação de oportunidades de melhoria e à gerência dos efeitos 
negativos dos riscos de uma organização (LEITE, 2012).
Já a Norma AS/NZS nº 4.360/1999 enfatizava a necessidade de estabelecer 
os contextos de gestão estratégica organizacional e de risco, bem como o 
desenvolvimento de um conjunto de critérios para a avaliação de risco e para 
a definição da estrutura, separando a atividade ou projeto em um conjunto de 
elementos para auxiliar nas melhores decisões (LEITE, 2012). 
Essa norma reconhecia que a implementação de qualquer projeto deve 
ser influenciada pelas necessidades das organizações, considerando seus 
objetivos específicos, produtos e serviços oferecidos, e as atividades e práticas 
que concentra em sua rotina. Devido ao grande número de fontes de riscos e 
áreas de impacto que circundam o ambiente corporativo, também reconhecia 
a necessidade de identificar essas fontes de risco e essas áreas de impacto, 
desenvolvendo uma lista genérica de riscos, concentrada em atividades de 
identificação para os eles (LEITE, 2012).
A reedição da norma em 2004 incorporou todas as lições aprendidas com 
a utilização da edição de 1999 e, também, a visão atualizada sobre a gestão 
de riscos. Entre as principais mudanças abordadas em relação à edição de 
1999 estão:
 � maior ênfase na importância de incorporar as práticas de gestão de 
riscos à cultura e aos processos da organização;
 � maior ênfase na gestão dos ganhos potenciais e também das perdas 
potenciais;
 � expansão e transformação dos exemplos indicativos em um novo manual.
Abordagens da Norma AS/NZS nº 4.360/2004128
Assim, a AS/NZS nº 4.360/2004 ressalta que a cultura da gestão de riscos 
deve ser inserida na filosofia, nas práticas e nos processos de negócio da 
organização, em vez de ser vista ou praticada como uma atividade em sepa-
rado, ou seja, deve ser parte integrante de todo o processo da organização. 
Embora o conceito de risco seja frequentemente interpretado em termos de 
perigo ou impacto negativo, a nova norma vê os riscos como a exposição às 
consequências da incerteza ou como potenciais desvios do que foi planejado 
ou do que é esperado. A norma revisada dá ênfase especial ao fato de que 
a gestão de riscos é um elemento essencial da boa governança corporativa 
(LEITE, 2012).
Estrutura e processo de gestão de riscos 
segundo a Norma AS/NZS nº 4.360/2004
Uma estrutura para gestão de riscos constitui-se em um conjunto de compo-
nentes que fornecem as bases e os arranjos organizacionais para elaboração, 
implantação, monitoramento, análise crítica e melhoria contínua da gestão 
de riscos por meio de toda a organização. Muito necessária para que se possa 
identificar as potenciais oportunidades e as possíveis ameaças do ambiente 
corporativo. 
As bases ou fundamentos incluem a política, os objetivos, os mandatos e 
o comprometimento para o gerenciamento de riscos, bem como os arranjos 
organizacionais incluem planos, relacionamentos, responsabilidades, recursos, 
processos e atividades. A estrutura segue um modelo PDCA com um impor-
tante acréscimo que é o chamado mandato e comprometimento, conforme 
demonstrado na Figura 1 (FRANCO, 2017).
PDCA, do inglês Plan – Do – Check – Act, é um método iterativo de gestão de quatro 
passos, utilizado para o controle e a melhoria contínua de processos e produtos. É 
também conhecido como o círculo/ciclo/roda de Deming, ciclo de Shewhart, círculo/
ciclo de controle, ou PDSA, do inglês, Plan-Do-Study-Act.
129Abordagens da Norma AS/NZS nº 4.360/2004
Figura 1. Estrutura da gestão de risco.
Fonte: Franco (2017).
Mandato e comprometimento, a introdução da gestão de riscos e a garantia 
de sua contínua eficácia, requerem comprometimento forte e sustentado, a ser 
assumido pela administração da organização, bem como um planejamento 
rigoroso e estratégico para obter esse comprometimento em todos os níveis. 
Para isso, é necessário:
 � definir e aprovar a política de gestão de riscos;
 � assegurar que a cultura da organização e a política de gestão de riscos 
estejam alinhadas;
 � definir indicadores de desempenho para a gestão de riscos que estejam 
alinhados com os indicadores de desempenho da organização;
 � alinhar os objetivos da gestão de riscos com os objetivos e as estratégias 
da organização;
 � assegurar a conformidade legal e regulatória;
 � atribuir responsabilidades nos níveis apropriados dentro da organização;
 � assegurar que os recursos necessários sejam alocados para a gestão 
de riscos;
 � comunicar os benefícios da gestão de riscos a todas as partes interessadas;
 � assegurar que a estrutura para gerenciar riscos continue a ser apropriada.
Concepção da estrutura para gerenciar riscos é importante para avaliar 
e compreender todos os contextos, tanto interno como da organização, uma 
vez que podem influenciar significativamente a concepção da estrutura.
Abordagens da Norma AS/NZS nº 4.360/2004130
 � Entendimento da organização e seu contexto: contextos externo e interno 
da organização.
 � Estabelecimento da política de gestão de riscos: estabelecer claramente 
os objetivos e o comprometimento da organização em relação à gestão 
de riscos. 
 � Responsabilização: assegurar que haja responsabilização, autoridade 
e competência apropriadas para gerenciar riscos.
 � Integração nos processos organizacionais: incorporar em todas as práticas 
e processos da organização, de forma que seja pertinente, eficaz e eficiente. 
 � Recursos: alocar recursos apropriados para a gestão de riscos.
 � Estabelecimento de mecanismos de comunicação e reporte internos: 
estabelecer mecanismos de comunicação interna e reporte a fim de 
apoiar e incentivar a responsabilização e a propriedade dos riscos.
 � Estabelecimento de mecanismos de comunicação e reporte externos: 
desenvolver e implementar um plano sobre como se comunicar com as 
partes externas interessadas. 
Implementação da gestão de riscos compreende a implementação da 
estrutura e do processo de gestão de riscos: 
 � Implementação da estrutura para gerenciar riscos: definição de estraté-
gia, aplicação da política e processo de gestão de riscos aos processos, 
atendimento aos requisitos legais e regulatórios, com informação e 
comunicação às partes interessadas.
 � Implementação do processo de gestão de riscos: aplicação de plano de 
gestão de riscos em todos os níveis e funções pertinentes da organização, 
como parte integrante do processo.
Monitoramento e análise crítica da estrutura para assegurar que a gestão de 
riscos seja eficaz e continue a apoiar o desempenho organizacional, é necessário:
 � medir o desempenho da gestão de riscos utilizando indicadores, que 
devem ser analisados criticamente e de forma periódica para garantir 
sua adequação;
 � medir periodicamenteo progresso obtido, ou o desvio, em relação ao 
plano de gestão de riscos;
 � analisar criticamente e de forma periódica se a política, o plano e a 
estrutura da gestão de riscos ainda são apropriados, dado o contexto 
externo e interno das organizações;
131Abordagens da Norma AS/NZS nº 4.360/2004
 � reportar sobre os riscos, sobre o progresso do plano de gestão de riscos 
e como a política de gestão de riscos está sendo seguida; 
 � analisar criticamente a eficácia da estrutura da gestão de riscos.
Melhoria contínua da estrutura, as decisões, baseadas nos resultados do 
monitoramento e das análises críticas, devem propor melhorias na capacidade 
de gerenciar riscos da organização e em sua cultura de gestão de riscos.
Para ser efetiva, a gestão de riscos, precisa do comprometimento da alta 
administração, que é a responsável pelo estabelecimento do mandato, e do 
suporte de todos os níveis gerenciais para a implementação do processo de 
gestão e da melhoria contínua.
O processo de gestão de riscos segundo a Norma AS/NZS nº 4.360 (LEITE, 
2012) tem a representação da Figura 2.
Figura 2. Interação entre os processos da Norma AS/NZS nº 4.360.
Fonte: Aldenucci, Spinosa e Favaretto (2009).
Abordagens da Norma AS/NZS nº 4.360/2004132
A estrutura proposta possui a premissa de ser aplicável em qualquer situ-
ação de gerenciamento de riscos para qualquer tipo de organização. Envolve 
a aplicação sistemática de políticas, procedimentos e práticas de gestão nas 
atividades a seguir, sendo que algumas são compostas por subatividades:
Comunicar e consultar: consiste no desenvolvimento de planos para que 
os envolvidos e responsáveis pelo processo de gestão de riscos compreendam 
claramente os fundamentos sobre os quais as decisões são tomadas. Assegura o 
interesse das partes interessadas de que os riscos sejam identificados de forma 
adequada, que diferentes pontos de vistas sejam observados, apoio ao plano 
de tratamento de riscos e uma gestão de riscos eficaz ao longo do processo. 
Estabelecer o contexto: estabelecimento dos objetivos da organização, 
considerando os ambientes interno e externo, estabelecer o escopo e os critérios 
de risco para o processo, bem como metas, responsabilidades e metodologias 
necessárias. As principais tarefas envolvem, estratégia, organização, gestão 
de riscos, desenvolvimento de critérios e definição da estrutura.
Identificar o risco: a etapa de identificação de riscos compreende iden-
tificar a fonte, os eventos e suas causas e consequências potenciais. O que 
pode acontecer e como pode acontecer.
Analisar o risco: envolve a apreciação das causas e das fontes de risco, 
suas consequências positivas e negativas e a probabilidade com que possam 
ocorrer. Deve ser mensurada, de forma quantitativa ou qualitativa. Para isso, 
é importante determinar a probabilidade, as consequências e estimar o nível 
de risco.
Avaliar o risco: busca auxiliar na tomada de decisão, baseada na análise 
feita anteriormente. Nessa etapa se faz a comparação entre o nível de risco 
encontrado durante a análise com o definido pela empresa na etapa de esta-
belecimento do contexto e se estabelecem as prioridades. 
Tratar do risco: definem-se as opções para modificar os riscos da em-
presa. A norma destaca que se pode optar por evitar o risco (descontinuar uma 
determinada atividade), remover a fonte de risco, alterar a probabilidade de 
ocorrência, alterar suas consequências, compartilhar o risco ou, ainda, reter 
o risco. A escolha da opção de tratamento de risco deve considerar o custo 
envolvido em cada ação.
Monitorar e revisar (analisar criticamente): por fim, a etapa de monito-
ramento e análise crítica é a que fornece as respostas ao processo de gestão de 
riscos como um todo. Visa garantir o controle sobre todo o processo, analisando 
todas as informações, mudanças, acontecimentos e gerando conhecimento por 
meio de suas verificações. Os resultados desse processo devem ser registrados e 
reportados de forma apropriada, a todos os envolvidos, interna e externamente. 
133Abordagens da Norma AS/NZS nº 4.360/2004
A Norma AS/NZS nº 4.360/2004 é um dos modelos para gestão de riscos 
mais conhecidos e implementados atualmente, junto a outros, como COSO 
(Committee of Sponsoring Organizations of the Treadway Commission, 2007), 
PMI (Project Management Institute, 2014) e ISO 31000 (Associação Brasileira 
de Normas Técnicas, 2009). Apesar de possuírem e demonstrarem em seu 
contexto conjuntos de etapas diferentes, as atividades que compõem suas 
estruturas são muito semelhantes, conforme evidenciado no Quadro 1.
Fonte: Adaptado de Associação Brasileira de Normas Técnicas (2009), Committee of Sponsoring 
Organizations of the Treadway Commission (2007), Leite (2012), Project Management Institute (2014).
AS/NZS 4360 COSO PMI ISO 31000
Comunicação 
e consulta
Ambiente interno Planejamento do 
gerenciamento 
de riscos
Comunicação 
e consulta
Estabelecimento 
do contexto
Fixação de 
objetivos
Identificação 
dos riscos
Estabelecimento 
do contexto
Identificação 
do risco
Identificação 
de eventos
Análise qualitativa 
de riscos
Identificação 
do risco
Análise do risco Avaliação 
de riscos
Análise quantitativa 
de riscos
Análise do risco
Avaliação do risco Resposta ao risco Planejamento de 
respostas a riscos
Avaliação do risco
Tratamento 
do risco
Atividades de 
controle
Monitoramento e 
controle de riscos
Tratamento 
do risco
Monitoramento 
e análise crítica
Informação e 
comunicação
Monitoramento 
e análise crítica
Monitoramento
Quadro 1. Comparativo dos processos de gestão de riscos.
Entre os principais modelos de processos de gestão de riscos apresentados 
no Quadro 1, o PMI tem um foco maior na gestão de riscos de projetos, e o 
COSO e a ISO 31000, assim como a Norma AS/NZS nº 4.360, tem o foco mais 
direcionado para a gestão de riscos corporativos. Contudo, todos incentivam 
o controle sistematizado e contínuo dos riscos como forma de alavancar o 
atingimento de objetivos e a sustentabilidade.
Abordagens da Norma AS/NZS nº 4.360/2004134
Política de gestão de riscos proposta pela 
Norma AS/NZS nº 4.360/2004
Outro aspecto muito importante a ser considerado na gestão de riscos é a 
definição de uma política de gestão de riscos que estabeleça aquilo que deve 
ser feito. Estabelecer uma política de gestão de riscos é responsabilidade da 
alta administração e deve sintetizar todas as intenções e diretrizes gerais 
relacionadas à gestão de riscos (FRANCO, 2017).
A implementação de programas de gestão de riscos que sejam eficazes em 
todos os níveis depende, muito, de como a direção executiva da organização 
trabalha o envolvimento do pessoal das áreas operacionais nos objetivos da 
organização. A cultura da gestão de riscos precisa realmente tornar-se parte da 
filosofia, dos objetivos e das práticas de toda a organização, devendo ser parte 
integrante dos planos de negócios e programas de treinamento da empresa. 
A organização deve tratar a implementação da gestão de riscos como 
uma oportunidade de mudança cultural, que traz benefícios a todos. Devem 
encorajar seus colaboradores para que tenham um comportamento adequado 
no sentido de gerenciar riscos e aceitarem o desafio de administrar os seus 
próprios riscos, além de estabelecer responsabilidade e autoridade clara e 
definida para:
 � integrar a gestão de riscos aos processos da organização e garantir que 
haja uma cultura apropriada; 
 � administrar o processo de gestão de riscos dentro da estrutura 
organizacional; 
 � gerenciar as ameaças e as oportunidades específicas identificadas, bem 
como implementar as ações de tratamento que podem ser gerenciados 
por pessoal externo à organização.
A Norma AS/NZS nº 4.360/2004 enfatiza que a cultura da gestão de riscos 
deve necessariamente ser inserida na filosofia, nas práticas e nos processos 
de negócio da organização, e a diretoria ou os executivosseniores devem ser 
os responsáveis pela sua inserção (LEITE, 2012). O caminho para isso é o 
estabelecimento de uma política de gestão de risco. 
A política de gestão de risco é um documento que aprova de que forma 
será feita a abordagem para a gestão de riscos, uma vez que ela deve criar 
ligações com as outras estratégias da empresa e estar incorporada às demais 
políticas de gestão da organização.
135Abordagens da Norma AS/NZS nº 4.360/2004
As informações que devem fazer parte da política de gestão de riscos 
de uma organização devem ser claras e objetivas, de acordo com a Norma 
AS/NZS nº 4.360/2004. Para implementar uma política de gestão de risco a 
organização deve: 
a) abordar os objetivos e a base para o gerenciamento dos riscos; 
b) estabelecer as relações entre a política e os planos estratégico e opera-
cional da organização; 
c) avaliar a extensão ou gama de riscos que precisam ser gerenciados; 
d) estabelecer diretrizes sobre o que deve ser considerado risco aceitável; 
e) identificar quem são os responsáveis pelo gerenciamento dos riscos; 
f) dar o suporte e conhecimento disponíveis para auxiliar os responsáveis 
pelo gerenciamento dos riscos;
g) informar qual é o nível de documentação requerido;
h) definir quais serão os requisitos para monitorar e analisar criticamente 
o desempenho organizacional em relação à política.
Além disso, deve-se considerar que, para o gerenciamento eficaz dos riscos, 
é necessário aprovar o nível de recursos e a infraestrutura que será utilizada, 
necessários para: 
a) dar suporte e conhecimento aos responsáveis pelo gerenciamento dos 
riscos, mesmo quando forem necessários fornecedores externos;
b) adquirir o conhecimento e as habilidades necessárias para gerenciar 
os riscos;
c) incorporar o treinamento em gestão de riscos nos programas de desen-
volvimento do pessoal interno;
d) integrar os princípios da gestão de riscos aos procedimentos e às prá-
ticas existentes;
e) comunicar e dialogar com toda a organização sobre a gestão de riscos 
e sobre a filosofia da empresa;
f) garantir que os sistemas de recompensas, reconhecimento e penalidades 
do pessoal incluam a gestão de riscos;
g) garantir que os programas de análise crítica interna e de avaliação, 
como o de auditorias internas, considerem, ao avaliar o desempenho, 
a filosofia da organização em relação à gestão de riscos;
h) incorporar as questões de gestão de riscos no planejamento dos negócios;
i) coordenar a interface entre a gestão de riscos e a garantia da qualidade.
Abordagens da Norma AS/NZS nº 4.360/2004136
A gestão de riscos será mais eficaz se for integrada a outras atividades de 
gestão. Segundo Leite (2012) há maior eficiência se as atividades de gestão 
de riscos forem integradas para diferentes tipos de riscos que estão intima-
mente relacionados, ou diferentes tipos de atividades de gestão de riscos que 
abrangem o mesmo risco. Havendo essa integração, provavelmente haverá 
uma redução de custos. Nesse sentido, riscos de danos a pessoas, proprie-
dades ou ao meio ambiente envolvem comportamento humano e ambiente 
físico, há, então, superposições importantes nos controles necessários para 
gerenciar esses riscos.
A política de gestão de riscos deve ser sustentada e estimulada dentro da 
organização. É função dos gerentes ter papel ativo na organização, dar poder 
de decisão aos colaboradores e incentivá-los a gerenciar eficazmente os riscos, 
reconhecendo, premiando e divulgando a boa gestão de riscos. Também devem 
estimular o debate e a análise de resultados e, caso estes sejam inesperados, 
permitir que se aprendam com os erros, em vez de punir.
Para uma gestão eficaz, os gerentes devem estar sempre sinalizando que a 
gestão de riscos é dever de todos; que é parte integrante dos negócios e não um 
trabalho extra ou uma carga adicional; que é um processo lógico e sistemático 
e que deve se tornar a prática habitual na organização (LEITE, 2012). 
Leite (2012) menciona, ainda, que a Norma AS/NZS nº 4.360/2004 deixa 
algumas mensagens que são peças-chave para ajudar na sua integração à 
política da organização: 
 � Há riscos a serem gerenciados em todas as atividades.
 � Todos são responsáveis e devem gerenciar os riscos de suas atividades.
 � As pessoas devem ser estimuladas e apoiadas pelos seus líderes a ge-
renciar riscos. 
 � A Norma AS/NZS nº 4.360/2004 fornece uma estrutura ou abordagem 
sistemática para a tomada de decisões sobre como melhor gerenciar 
os riscos. 
 � Devem ser considerados os requisitos legais e os ambientes político, 
social e econômico ao gerenciar riscos.
 � As ações para gerenciar riscos devem estar conectadas aos planejamen-
tos e processos operacionais existentes em todos os níveis.
 � Uma gestão de riscos eficaz depende de informação com qualidade. 
137Abordagens da Norma AS/NZS nº 4.360/2004
1. Marque a alternativa correta 
com relação à Norma AS/
NZS nº 4.360/2004.
a) Sua primeira edição foi 
feita em 2004 e houveram 
mais duas edições.
b) A última versão foi 
publicada em 1999.
c) Foi idealizada no 
Brasil, pela ABNT.
d) Pioneira a nível mundial no que 
diz respeito à gestão de risco, 
a norma se tornou referência 
no processo e se tornou um 
guia para implementação 
de outras normas. 
e) A ISO 31000 serviu de 
base para a construção 
da AS/NZS. 
2. No contexto da Norma AS/NZS nº 
4.360/2004, é correto afirmar que:
a) recomenda que a gestão de 
riscos seja praticada como uma 
atividade em separado das demais.
b) aconselha que a gestão de 
riscos deve ser segregada 
e independente da 
filosofia da empresa.
c) vê os riscos como exposição 
às consequências da incerteza 
ou como potenciais desvios do 
que foi planejado ou esperado.
d) enfatiza que gestão de riscos 
e a governança corporativa 
devem ser independentes.
e) considera que os riscos sempre 
resultam em impacto negativo 
ao que foi planejado ou 
esperado pela organização.
3. A Norma AS/NZS nº 4.360/2004 
considera a gestão de riscos um 
processo formado por algumas 
etapas. Uma delas é focada no 
estabelecimento dos objetivos 
da organização, considerando 
os ambientes interno e externo, 
escopo e critérios de risco 
para o processo, bem como 
metas, responsabilidades e 
metodologias necessárias. Qual 
das seguintes é esta etapa?
a) Análise dos riscos.
b) Comunicação e consulta. 
c) Identificação dos riscos.
d) Monitoramento e análise crítica.
e) Estabelecimento do contexto.
4. A Norma AS/NZS nº 4.360/2004 
deixa algumas mensagens que 
são peças-chave para ajudar na 
integração da norma à política da 
organização. Qual das opções a 
seguir é uma mensagem da norma?
a) Os riscos existem apenas 
em algumas atividades 
organizacionais, geralmente 
aquelas relacionadas à 
atividade produtiva em si.
b) As ações para gerenciar riscos 
devem estar conectadas aos 
planejamentos e processos 
operacionais existentes 
em todos os níveis.
c) Existe apenas um responsável 
por gerenciar os riscos de 
todas as atividades.
d) As pessoas devem ser 
estimuladas e apoiadas pelos 
seus líderes a criar riscos.
e) Não há necessidade de 
considerar os requisitos legais e 
os ambientes político, social e 
econômico ao gerenciar riscos.
Abordagens da Norma AS/NZS nº 4.360/2004138
5. As informações que devem fazer 
parte da política de gestão de riscos 
de uma organização devem ser 
claras e objetivas, de acordo com a 
Norma AS/NZS nº 4.360/2004. Assim, 
para implementar uma política de 
gestão de riscos, a organização:
a) deve estabelecer as relações entre 
a política e os planos estratégico 
e operacional da organização.
b) não precisa necessariamente 
conhecer a extensão ou 
gama de riscos que precisam 
ser gerenciados. 
c) deve estabelecer as relações 
entre a política e os planos 
estratégicos da organização, 
deixando os planos operacionais 
fora desse contexto.
d) precisa considerar todos 
os riscos inaceitáveis e que 
a organização só atingiráseus objetivos se eliminar 
totalmente os riscos.
e) deve focar apenas nos 
riscos, sem se preocupar 
com quem será responsável 
pelo seu gerenciamento.
139Abordagens da Norma AS/NZS nº 4.360/2004
ALDENUCCI, M. G.; SPINOSA, L. M.; FAVARETTO, F. Mapeando a norma de gerencia-
mento de riscos AS/NZS 4360 no PMBOK. In: ENCONTRO NACIONAL DE ENGENHARIA 
DE PRODUÇÃO, 29., 2009, Salvador. Anais... Salvador: ENEGEP, 2009. Disponível em: 
<http://www.abepro.org.br/biblioteca/enegep2009_TN_STP_098_663_13545.pdf>. 
Acesso em: 31 jan. 2018.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO 31000:2009: gestão de riscos: 
princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. 
Bem-vindo ao COSO. [S.l.]: COSO, c1985-2018. Disponível em: <https://translate.google.
com.br/translate?hl=pt-BR&sl=en&u=https://www.coso.org/&prev=search>. Acesso 
em: 12 jan. 2018.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. 
Gerenciamento de riscos corporativos: estrutura integrada: sumário executivo: estrutura. 
[S.l.]: PwC, 2007.
FRANCO, F. Governança e gestão de riscos em organizações públicas. Brasília, DF: 
Mackenzie, 2017. Disponível em: <http://brasilia.mackenzie.br/apps/files/fpmb_
governanca_e_gestao_de_riscos_em_organizacoes_publicas_apostila.pdf>. Acesso 
em: 12 jan. 2018.
LEITE, T. A. S. Gestão de riscos: diretrizes para implementação da AS/NZS 4360:2004. 
[S.l.]: Biblioteca de Segurança, 2012.
PROJECT MANAGEMENT INSTITUTE. Sobre o PMI. Newtown Square: PMI, c2018. Dis-
ponível em: <https://brasil.pmi.org/brazil/AboutUS.aspx>. Acesso em: 30 jan. 2018.
PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de 
projetos: guia Pmbok. 5. ed. São Paulo: Saraiva, 2014.
TRIBUNAL DE CONTAS DA UNIÃO. Gestão de riscos: breve histórico da gestão de riscos. 
Brasília, DF: TCU, c2018. Disponível em: <http://portal.tcu.gov.br/gestao-e-governanca/
gestao-de-riscos/o-que-e-gestao-de-riscos/breve-historico-da-gestao-de-riscos.
htm>. Acesso em: 30 jan. 2018.
Abordagens da Norma AS/NZS nº 4.360/2004140
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
Conteúdo:
DICA DO PROFESSOR
A AS/NZS 4360:2004 enfatiza que a cultura da gestão de riscos deve necessariamente ser 
inserida na filosofia, nas práticas e nos processos de negócio da organização, e a diretoria ou os 
executivos seniores devem ser os responsáveis pela sua inserção, e o caminho para isso é o 
estabelecimento de uma política de gestão de riscos.
A política de gestão de riscos é um documento que aprova de que forma será feita a abordagem 
para a gestão de riscos, uma vez que ela deve criar ligações com as outras estratégias da empresa 
e estar incorporada às demais políticas de gestão da organização. Ela deve ser sustentada e 
estimulada dentro da organização. É função dos gerentes, tendo papel ativo na organização, dar 
poder de decisão aos colaboradores e incentivá-los a gerenciar eficazmente os riscos, 
reconhecendo, premiando e divulgando a boa gestão de riscos. Também, devem estimular o 
debate e a análise de resultados e, caso estes sejam inesperados, permitir que se aprendam com 
os erros, ao invés de punir.
Na Dica do Professor, você verá tópicos para uma política de gestão de riscos da norma 
AS/ZNS 4360.
Assista.
 
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) Marque a alternativa correta com relação à norma AS/NZS 4360:
A) Sua primeira edição foi feita em 2004, e houve ainda duas edições da norma.
B) A última versão foi publicada em 1999.
C) Foi idealizada no Brasil, pela ABNT.
D) Pioneira a nível mundial, no que diz respeito à gestão de riscos, a norma  tornou-se 
referência no processo e um guia para implementação de outras normas.
E) A ISO 31000 serviu de base para a construção da AS/NZS.
2) No contexto da norma AS/NZS 4360:2004, é correto afirmar que ela:
A) recomenda que a gestão de riscos seja praticada como uma atividade em separado das 
demais.
B) aconselha que a gestão de riscos deve ser segregada e independente da filosofia da 
empresa.
C) vê os riscos como exposição às consequências da incerteza ou como potenciais desvios do 
que foi planejado ou esperado.
D) enfatiza que gestão de riscos e governança corporativa devem ser independentes.
E) considera que os riscos sempre resultam em impacto negativo ao que foi planejado ou 
esperado pela organização.
3) A norma AS/NZS 4360:2004 considera a gestão de riscos como um processo formado 
por algumas etapas. Uma delas é focada no estabelecimento dos objetivos da 
organização, considerando os ambientes interno e externo, escopo e critérios de risco 
para o processo, bem como metas, responsabilidades e metodologias necessárias. 
Qual seria essa etapa?
A) Análise dos riscos
B) Comunicação e consulta
C) Identificação dos riscos
D) Monitoramento e análise crítica
E) Estabelecimento do contexto
4) AS/NZS 4360:2004 deixa algumas mensagens que são peças-chave para ajudar na 
integração da norma à política da organização. Qual das opções a seguir é mensagem 
da norma?
A) Os riscos existem apenas em algumas atividades organizacionais, geralmente aquelas 
relacionadas à atividade produtiva em si.
B) As ações para gerenciar riscos devem estar conectadas aos planejamentos e processos 
operacionais existentes em todos os níveis.
C) Existe apenas um responsável, que deve gerenciar os riscos de todas as atividades.
D) As pessoas devem ser estimuladas e apoiadas pelos seus líderes a criar riscos.
E) Não há necessidade de considerar os requisitos legais e os ambientes político, social e 
econômico, ao gerenciar riscos.
5) As informações que devem fazer parte da política de gestão de riscos de uma 
organização devem ser claras e objetivas, de acordo com a AS/NZS 4360/2004. Assim, 
para implementar uma política de gestão de riscos, a organização:
A) deve estabelecer as relações entre sua política e seus planos estratégico e operacional.
não precisa necessariamente conhecer a extensão ou gama de riscos que precisam ser B) 
gerenciados.
C) deve estabelecer as relações entre sua política e seus planos estratégicos, deixando os 
planos operacionais fora desse contexto.
D) precisa considerar todos os riscos como inaceitáveis e que ela só atingirá seus objetivos se 
eliminá-los totalmente.
E) deve focar apenas nos riscos, sem se preocupar com quem será responsável pelo 
gerenciamento dos mesmos.
NA PRÁTICA
A AS/NZS 4360 (Australian Standard for Risk Management) é uma norma australiana e 
neozelandesa para gerenciamento de riscos. Foi elaborada pela Standards Austrália e Standards 
New Zealand, por meio do comitê de gestão de riscos (OB-007). É uma norma genérica que 
fornece orientações para gerenciamento de riscos de qualquer natureza. Sua principal 
característica é avaliar os riscos com resultados positivos (ganhos potenciais) e os riscos com 
resultados negativos para, dessa forma, fornecer uma visão única no gerenciamento de riscos.
Na prática, vamos acompanhar o Júlio, que verificou os riscos na especificação de proteção 
individual (EPI) em uma marmoraria.
Acompanhe.
 
Conteúdo interativo disponível na plataforma de ensino!
 
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
CONTROLES DE GESTÃO ATRELADOS AO GERENCIAMENTO DE RISCO.
Veja uma pesquisa que verificou as características dos estudos sobre controles de gestão 
atrelados ao gerenciamento de risco: principais autores; autores e obras mais citados; redes de 
coautoria; temas estudados; e estruturas padrões empregadas.
Conteúdo interativo disponível na plataforma de ensino!
Estabelecimento de uma gestão de riscos eficaz
Conheça as a diretrizes para a implementação da AS/NZS 4360:2004.
Conteúdo interativo disponível na plataforma de ensino!
Mapeando a normade gerenciamento de riscos AS/NZS 4360 no PMBOK
Leia, neste artigo, uma pesquisa onde os aspectos críticos da norma AS/NZS 4360 foram 
identificados e mapeados no PMBOK.
Conteúdo interativo disponível na plataforma de ensino!
Gestão de riscos na administração 
pública
APRESENTAÇÃO
O gerenciamento de riscos no setor público funciona da mesma forma que no setor privado: 
visando a agregar valor à instituição por meio da diminuição ou eliminação de fatores de risco 
negativo e do aproveitamento das oportunidades que surgirem (risco positivo). 
 
Nesta Unidade de Aprendizagem, você vai estudar a definição de gestão de riscos na 
Administração Pública e a relação entre a gestão de riscos e a governança e saber quais os 
benefícios da gestão de riscos na Administração Pública.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Definir o que é gestão de riscos na Administração Pública.•
Relacionar gestão de riscos e governança.•
Enumerar os benefícios da gestão de riscos na Administração Pública.•
DESAFIO
Muitas técnicas foram criadas com o intuito de facilitar o processo de gerenciamento de riscos, 
na tentativa de unificar sua utilização no setor privado e no setor público. Nesse sentido, a 
maioria dos processos de gerenciamento de riscos nas organizações passa por cinco etapas 
básicas: identificação, avaliação, tratamento, monitoramento e comunicação. 
 
Você é um consultor contratado por um banco público para auxiliar na implementação de 
um programa de gerenciamento de riscos. Por algum motivo, a equipe do banco está tendo 
problemas com a fase de tratamento e pediu a sua ajuda para explicar as seguintes atividades: 
eliminação, exploração e aceitação. Explique, de forma concisa, quando se deve utilizar cada 
uma dessas atividades.  
INFOGRÁFICO
A governança corporativa está presente nas instituições públicas e privadas, sendo 
importante para ambos os setores, mas principalmente para o setor público, em razão da 
importância da gestão, que trabalha em prol do bem público e do bem-estar da sociedade. 
 
O Infográfico a seguir ilustra a relação entre gestão de riscos e governança. Confira.
CONTEÚDO DO LIVRO
O gerenciamento de riscos no setor público é utilizado com o propósito de agregar valor à 
instituição, na tentativa de diminuir – ou, se possível, eliminar – fatores de risco negativo e 
aproveitar as oportunidades que surgirem em decorrência de fatores de risco positivo. Os riscos 
precisam ser gerenciados, monitorados e tratados nas instituições de todas as áreas, sempre 
visando aquilo que é a essência do serviço público: o bem-estar da sociedade. 
Acompanhe um trecho da obra Gerenciamento de riscos. Leia o capítulo Gestão de riscos na 
Administração Pública, base teórica para esta Unidade de Aprendizagem, que explica a relação 
entre a gestão de riscos e governança e explicita quais são os benefícios da gestão de riscos na 
Administração Pública. 
 
Boa leitura. 
GERENCIAMENTO
DE RISCOS
Jeanine dos Santos 
Barreto 
Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147
F838g Fraporti, Simone.
 Gerenciamento de riscos / Simone Fraporti, Jeanine
 Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre : 
 SAGAH, 2018.
 166 p. ; 22,5 cm
 ISBN 978-85-9502-334-5
 1. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.
 II. Título.
CDU 658.88
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas 
Especialista em Controladoria e Finanças
Gestão de riscos na 
administração pública
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Definir a gestão de riscos na administração pública.
 � Relacionar gestão de riscos e governança.
 � Identificar os benefícios da gestão de riscos na administração pública.
Introdução
O gerenciamento de riscos funciona, no setor público, da mesma forma 
como no setor privado: visando agregar valor à instituição, por meio da 
diminuição ou da eliminação de fatores de risco negativos e do aprovei-
tamento das oportunidades que surgirem, em decorrência de fatores 
de risco positivo.
Neste capítulo, você irá estudar a definição de gestão de riscos na 
administração pública, a relação entre a gestão de riscos e a governança 
e os benefícios da gestão de riscos na administração pública.
Gestão de riscos na administração pública
No setor público, a gestão precisa de ferramentas que possam auxiliar na tomada 
de decisões, da mesma forma que no setor privado. Aspectos como riscos 
ambientais, de saúde, econômicos, ergonômicos e outros tantos precisam ser 
gerenciados e controlados nas instituições de todas as áreas da administração 
pública, uma vez que o bem-estar da sociedade é a essência do serviço público. 
É necessário, portanto tomar decisões e usar medidas corretas com relação às 
políticas e programas públicos, sendo fundamental adotar estratégicas efetivas 
de gestão de riscos (MIRANDA, 2017).
A humanidade vive, desde sempre, cercada de riscos. Os riscos são essenciais para o 
desenvolvimento do homem, pois, sem assumir riscos, não haveria inovação tecnológica 
e desenvolvimento social, por exemplo.
Atualmente, o setor público se preocupa em melhorar continuamente a 
entrega de seus serviços para a sociedade e, também, com a forma como os 
bens públicos são administrados. Por conta disso, no setor público, a gestão de 
riscos se preocupa com a qualidade do serviço público oferecido e em oferecer 
políticas públicas que sirvam para atender ao bem-estar de todos.
A imprevisibilidade está presente nos processos de todas as áreas das 
instituições, envolvendo pessoas, materiais, entregas e recursos financei-
ros. Por isso, o gerenciamento de riscos é fundamental na tentativa de ser 
proativo em relação aos imprevistos. Nesse sentido, saber como lidar com a 
concretização de um risco torna-se o principal aspecto da gestão de riscos na 
administração pública.
O setor público trabalha com os riscos iminentes por meio de deveres, que 
se tornam direitos para os cidadãos, como a educação, a saúde, a moradia e a 
segurança. A tentativa da administração pública é gerir os riscos de forma que 
se consiga diminuir os custos com atividades incertas, aumentando benefícios 
oferecidos para a sociedade (MIRANDA, 2017). 
Em quase todas as situações que acontecem na administração pública, 
uma outra dificuldade se apresenta, além dos aspectos vitais com os quais o 
servidor público trabalha, pois quando a equipe de gestão de riscos se depara 
com um risco, muitas vezes a estratégia escolhida para o caso tem muito mais 
conexão com fatores políticos do que com fatores técnicos.
Gestão de riscos na administração pública142
Exemplos, no gerenciamento de riscos no setor público, de fatores políticos que se 
sobressaem a fatores técnicos:
 � Gestores não capacitados: quando um empregado é nomeado para uma função 
de chefia não tendo capacidade para tal; ou quando um gestor demonstra não 
ter capacidade para continuar exercendo a função de chefia e, mesmo assim, não 
é retirado da função.
 � Contratos que não podem ser encerrados: quando uma empresa vencedora 
de licitação demonstrou não poder ter capacidade para cumprir o contrato 
em diversas ocasiões, mas mesmo assim permanece como parceira, pois o 
relacionamento criado não possibilita seu desligamento antes do término do 
contrato.
Um dos fundamentos para o gerenciamento de riscos é que seja um processo 
contínuo e sistemático, porque a adoção de uma gestão de riscos permanente 
tende a melhorar os processos de tomada de decisão frente aos riscos para se 
obter, consequentemente, melhores resultados.
Outra ideia básica é que haja a participação de todos os empregados da 
instituição no programa de gestão de riscos, pois a participação de pessoas 
de diferentes áreas garante uma visão global dos fatores de risco existentes 
em cada lugar detrabalho. O envolvimento de todos favorece a tomada 
de decisões estratégicas e pode contribuir para a realização dos objetivos 
organizacionais.
Muitas técnicas e ferramentas foram criadas para facilitar o processo de 
gerenciamento de riscos como um todo, inclusive na tentativa de unificar a sua 
utilização, tanto pelo setor privado como para o setor público. Nesse sentido, 
a maioria dos processos de gerenciamento de riscos organizacionais passam 
pelas cinco etapas seguintes (ESCOLA NACIONAL DE ADMINISTRAÇÃO 
PÚBLICA, 2003):
1. Identificar: a primeira fase de todo gerenciamento de riscos é a 
identificação e a definição dos fatores de risco, com um mínimo de 
detalhamento que sirva para as etapas posteriores. Existem algumas 
técnicas para a coleta de informações de fatores riscos que podem ser 
utilizadas individualmente ou quando se reúnem várias pessoas. Entre 
elas, as mais conhecidas são:
143Gestão de riscos na administração pública
 ■ Brainstorming: consiste em uma reunião, com todas as pessoas interes-
sadas, mediada por um facilitador, que vai gerar uma lista de todos os 
fatores de riscos elencados pelos participantes. Depois disso, os riscos 
anotados são reunidos em categorias e definidos com mais detalhes.
 ■ Técnica Delphi: consiste em uma reunião, com todas as pessoas 
interessadas, mediada por um facilitador, em que a meta é conseguir 
um consenso entre os participantes com relação à lista final de fatores 
de risco. O facilitador faz várias rodadas de questionários escritos 
entre os participantes, fala os fatores de risco elencados para todos, 
sem dizer quem identificou cada um deles, e todos têm a chance 
de rever seu pensamento até responder novamente ao questionário.
 ■ Entrevista: os integrantes da equipe de gestão de riscos entrevis-
tam, de forma individual, todas as pessoas que podem colaborar 
identificando fatores de riscos.
2. Avaliar: cada fator de risco deve ser avaliado quanto à probabilidade 
de se concretizar e também quanto ao impacto que pode causar, caso 
venha a acontecer.
3. Tratar: deve ser definida uma resposta para cada fator de risco, o 
que exige da equipe de gestão de riscos conhecer profundamente os 
riscos elencados. As estratégias mais conhecidas de respostas a riscos, 
principalmente quando se tratam de riscos negativos ou ameaças, são:
 ■ Eliminar: consiste na eliminação do fator de risco.
 ■ Transferir: não elimina o fator de risco, mas transfere para terceiros 
a responsabilidade pelo gerenciamento dele.
 ■ Mitigar: consiste na redução da probabilidade de concretização ou 
no volume do impacto negativo gerado pelo risco, até que se atinja 
um limite aceitável pela organização.
 ■ Aceitar: é adotada porque raramente é possível eliminar todas as 
ameaças ou todos os fatores de risco, então a equipe de gestão de riscos 
decide não fazer nenhuma alteração nos processos e ficar aguardando 
a concretização do risco. A aceitação pode ser passiva, quando não 
requer nenhuma outra ação além de documentar o fator de risco, ou 
ativa, que é a mais provável e acontece quando se estabelece alguma 
medida de contingência que será adotada caso o risco se concretize.
Já para os riscos positivos, as principais respostas são:
 � Explorar: procura eliminar a incerteza de a oportunidade não acontecer, 
garantindo que ela aconteça;
Gestão de riscos na administração pública144
 � Compartilhar: consiste em envolver um terceiro que tenha mais ca-
pacidade de explorar a oportunidade;
 � Melhorar: consiste em aumentar a probabilidade de concretização e/ou 
os impactos positivos de uma oportunidade, identificando os principais 
impulsionadores dela.
4. Monitorar: é fundamental que exista um processo de monitoramento 
contínuo, reavaliando os fatores de risco e monitorando as respostas 
dadas.
5. Comunicar: essa etapa não existe sozinha, ela deve acontecer em 
conjunto com cada uma das etapas anteriores, pois é fundamental para o 
processo de tomada de decisões que resulta da gestão efetiva de riscos.
Na Figura 1, você pode observar uma ilustração sobre este ciclo da gestão 
de riscos.
Figura 1. Ciclo básico da gestão de riscos.
Fonte: Escola Nacional de Administração Pública (2003, p. 19).
O risco não significa necessariamente um prejuízo, um perigo ou algo ruim, 
mas, certamente, significa incerteza, não saber o que acontecerá ao certo. 
145Gestão de riscos na administração pública
Essa percepção da incerteza e a vontade de entender como agir no momento 
em que algo incerto se concretiza é o grande propósito do gerenciamento de 
riscos atualmente, principalmente no setor público. 
Quanto mais uma instituição souber responder à concretização dos riscos, 
mais madura ela pode ser considerada. Nem sempre um risco se torna uma 
ameaça, por vezes, ele pode ser uma oportunidade. Mesmo assim, sem saber o 
que fazer diante da possibilidade de algo positivo, a chance será desperdiçada 
e nada de bom acontecerá.
Gestão de riscos x governança
A governança está presente em organizações públicas e privadas, mas se mostra 
ainda mais necessária no setor público, devido as suas características. No 
setor privado, a pressão por resultados e o poder dos clientes fomentam a boa 
gestão das organizações, ou seja, as empresas precisam ser competitivas para 
lidar com concorrentes e atrair ou manter os clientes. Já no setor público, essas 
questões são mais indiretas e a governança se constitui como um importante 
mecanismo de incentivo à boa gestão. Dessa forma, como uma gestão efetiva 
envolve o gerenciamento de riscos, você pode considerar que a governança 
colabora para que a gestão de riscos seja mais eficiente e eficaz.
Acesse o link ou código a seguir para saber mais sobre 
governança corporativa.
https://goo.gl/cDwgM5
O gerenciamento de riscos é parte fundamental da governança, e faz parte 
das responsabilidades da alta administração das instituições. É o instrumento 
de apoio à tomada de decisão que tem o propósito de melhorar o desempe-
nho da organização por meio da identificação de oportunidade de ganhos e 
também da diminuição da probabilidade de concretização e do impacto de 
Gestão de riscos na administração pública146
riscos negativos, ultrapassando as barreiras das atividades desempenhadas de 
forma regular pela administração pública (INSTITUTO BRASILEIRO DE 
GOVERNANÇA CORPORATIVA, 2007). 
As atividades da equipe de gestão de riscos devem favorecer a longevidade 
da organização, que é um dos principais propósitos da governança e que 
pretende atender aos objetivos estratégicos e estatutários. Para isso, é muito 
importante que as instituições mantenham uma estrutura de governança 
atuante, que ultrapasse as barreiras da formalidade e seja composta de pelo 
menos um conselho administrativo, um conselho deliberativo e um conselho 
consultivo, ou outra nomenclatura para os órgãos que a organização prefira 
adotar.
Com relação ao gerenciamento de riscos, é fundamental que o conselho 
administrativo tenha em mãos uma identificação prévia dos principais fa-
tores de risco aos quais a sociedade está exposta, a sua probabilidade de se 
concretizar, o tamanho do impacto que vão gerar e, também, quais serão as 
medidas e as ações adotadas para sua prevenção ou mitigação. De posse da 
listagem de fatores de riscos que podem afetar o negócio da organização, é 
essencial que se adote uma atitude proativa com relação aos fatores de risco e 
à sua concretização iminente (ESCOLA NACIONAL DE ADMINISTRAÇÃO 
PÚBLICA, 2003).
As diretrizes do modelo de gerenciamento de riscos devem ser estabele-
cidas pelo conselho administrativo, mas as ações devem ser tomadas pelos 
gestores, a fim de possibilitar, da forma mais segura possível, o atingimento 
das metas organizacionais.
É importante lembrar que a atividade de identificação de fatores de riscos 
pode resultar também na identificação de oportunidades. Por esse motivo, 
é preciso envolver nessa atividade pessoas capacitadas e com visão global 
dos negócios institucionais,para que possam reconhecer, entre uma série 
de fatores de riscos, aquelas ameaças que terão impacto negativo e poderão 
acarretar prejuízos ou, também, as oportunidades, que terão impacto positivo 
e poderão agregar valor, melhorar a imagem e beneficiar a instituição de 
alguma forma.
Em vista disso, entende-se que a expressão que define o gerenciamento 
de riscos é a antecipação. Uma das ferramentas mais conhecidas de auxílio à 
gestão institucional para antever os problemas é o ciclo PDCA, palavra formada 
pela inicial das palavras em inglês Plan, Do, Check e Act, que significam 
Planejar, Fazer, Verificar e Agir, em português (PROJECT MANAGEMENT 
INSTITUTE, 2014).
147Gestão de riscos na administração pública
O ciclo PDCA, como você pode observar na Figura 2, é um método de 
gestão iterativo, formado por quatro passos que são executados em forma de 
ciclo. É utilizado para o controle e a melhoria dos processos institucionais, 
mas também é largamente usado para o controle de riscos. Ele é iterativo, 
porque se baseia na repetição que é aplicada de forma sucessiva nos processos, 
buscando, a cada ciclo, uma melhoria continuada que garanta o alcance das 
metas estipuladas e a sobrevivência da instituição.
Figura 2. Etapas do ciclo PDCA.
Fonte: TIME Consultoria (2017).
O PDCA pode ser utilizado em qualquer ramo de atividade, para qualquer 
porte de instituição, desde que o desejo seja de melhorar a gestão dia após 
dia. Com a sua aplicação, os processos da instituição tendem a se tornar mais 
ágeis, mais claros e objetivos, e a entregar resultados de mais qualidade, mas 
ele exige planejamento, padronização de procedimentos e documentação para 
que funcione efetivamente. As etapas do PDCA são as apresentadas a seguir 
(PROJECT MANAGEMENT INSTITUTE, 2014).
 � Planejar: é a etapa que traduz o gerenciamento de riscos. O planeja-
mento deve sempre vir antes de qualquer tipo de atividade de execução 
para que seja possível se antecipar a erros, prevenir cenários negativos, 
Gestão de riscos na administração pública148
preparar-se para aproveitar oportunidades e elaborar respostas aos 
fatores de risco que se concretizarem. O planejamento deve ser revisto 
sempre que for identificada a concretização de um fator de risco, visando 
analisar o cenário atual para poder antever situações novas.
 � Fazer: tomando como referência o planejamento que foi feito e as 
possíveis consequências da execução de cada processo, nessa etapa as 
atividades são executadas. Caso algum fator de risco se concretize, é 
o momento de colocar em prática as respostas aos riscos, elaboradas 
na fase do planejamento.
 � Verificar: um bom planejamento e uma execução perfeita de atividades 
não garante o sucesso de um processo. Por isso, a ação de verificar é 
muito importante, pois consiste no monitoramento das atividades, com 
o objetivo de verificar sua conformidade com o que foi planejado e 
executado. É nesse momento que se verifica se o resultado estipulado 
conseguiu ser entregue, e se a resposta ao risco funcionou de forma 
efetiva depois de aplicada.
 � Agir: envolve postura de proatividade e prevenção com relação às neces-
sidades de mudança quanto à forma de encarar os riscos concretizados, 
para que se possa iniciar outro ciclo pelo planejamento.
 Somente pela antecipação aos fatores de risco e o estabelecimento de 
respostas para cada um deles é que será possível ter um gerenciamento de 
riscos efetivo. O gerenciamento de riscos deve identificar e ter uma resposta 
para cada evento que possa acontecer e que venha a afetar de alguma forma 
os objetivos estratégicos ou a imagem da instituição.
Não há um padrão para a forma de implementar o gerenciamento de riscos 
na administração pública, pois isso depende da área de atuação, do porte, das 
especificidades e das características de cada instituição, cabendo à gestão 
decidir a melhor maneira de efetivar a gestão de riscos. Essa liberalidade 
precisa existir por não ser possível, por exemplo, obrigar uma instituição 
de pequeno porte a gerir seus fatores de riscos da mesma forma que uma 
instituição de grande porte.
O importante é que a instituição decida introduzir a prática de tratar seus 
fatores de risco de forma crítica, aberta e transparente, fazendo a identificação, 
o tratamento e estimando os impactos de maneira integrada entre todos os 
componentes da instituição. O gerenciamento de riscos configura um processo 
de implantação demorada, cujos resultados mais significativos demoram a 
parecer, sendo necessário um esforço de aperfeiçoamento contínuo. Mesmo 
149Gestão de riscos na administração pública
assim, certamente ele trará muitos benefícios para a instituição depois de 
efetivado.
Benefícios da gestão de riscos na administração 
pública
O gerenciamento de riscos é parte integrante das boas práticas administrativas, 
seja no setor privado, ou no setor público. Aprender a gerenciar os riscos de 
forma eficiente e eficaz vai permitir que a instituição melhore os resultados 
que apresenta, por meio da identificação, da análise e do monitoramento de 
uma infinidade de fatores de riscos que podem trazer impactos negativos. 
Para isso, os impactos negativos precisam ser evitados, controlados, ou até 
mesmo transformados em oportunidades, o que vai favorecer o atingimento 
dos objetivos e das metas institucionais.
A coragem de assumir e enfrentar os riscos é o que diferencia as organi-
zações, podendo levá-las ao sucesso ou, ao fracasso, dependendo do tipo de 
resposta dada aos riscos concretizados. Os riscos podem e devem ser geridos 
de forma a facilitar a tomada de decisão, com o propósito de cumprir prazos, 
entregar resultados e alcançar os objetivos organizacionais (ESCOLA NA-
CIONAL DE ADMINISTRAÇÃO PÚBLICA, 2014).
A aplicação do gerenciamento de riscos nas instituições necessita da adoção 
de um modelo de gerenciamento de riscos corporativos, possibilitando aos 
gestores da instituição que trabalhem com a incerteza de modo eficiente e 
eficaz, na tentativa de alinhar o desempenho esperado, o retorno obtido, e os 
riscos associados a cada processo.
Executar o gerenciamento de riscos de maneira organizada e estruturada 
servirá para motivar e envolver as pessoas, além de fornecer estímulo para 
a identificação das melhores oportunidades para a melhoria contínua dos 
processos, por meio da inovação, conseguida muitas vezes quando se enfrenta 
um risco. 
Além disso, servirá de auxílio para esclarecer incertezas pela utilização 
de métodos sistêmicos para a identificação, avaliação, tratamento e moni-
toramento dos fatores de risco, sempre mantendo uma comunicação efetiva 
entre todos os envolvidos.
A implantação de um modelo de gestão de riscos bem estruturado e sistema-
tizado vai trazer, como principais benefícios para a instituição, independente-
mente de seu porte, estrutura ou área de atuação (INSTITUTO BRASILEIRO 
DE GOVERNANÇA CORPORATIVA, 2007):
Gestão de riscos na administração pública150
 � preservação do valor atual e/ou aumento do valor da instituição, pela 
redução da probabilidade de concretização e do impacto resultante de 
eventos negativos, combinada com a diminuição dos custos resultantes 
da falta da percepção de riscos;
 � promoção de maior transparência nas relações, por meio da comuni-
cação e da informação, a todos os interessados e, principalmente, à 
sociedade, sobre os riscos aos quais a instituição está sujeita, quais as 
medidas adotadas para a sua mitigação ou eliminação, e quais foram 
os resultados da aplicação delas;
 � melhoria nos padrões de governança, por meio da divulgação do método 
de gestão de riscos adotado, combinada com a cultura institucional;
 � uniformidade de conceitos em todos os níveis institucionais, da alta 
gestão, passando pelos servidores administrativos, até os servidores 
da operação.
Além dos benefícios diretos elencados, com a implantação de um geren-
ciamento de riscos institucionais é possível perceber vários outros aspectos 
positivos para a organizaçãocomo um todo (INSTITUTO BRASILEIRO DE 
GOVERNANÇA CORPORATIVA, 2007):
 � desenho claro e objetivo dos processos que serão utilizados para fazer a 
identificação, o monitoramento e a mitigação ou eliminação dos fatores 
de riscos mais relevantes;
 � aperfeiçoamento das ferramentas ou controles internos utilizados para 
fazer a medição, o monitoramento e a gestão dos fatores de riscos;
 � economia de recursos financeiros;
 � redução de surpresas vindas dos acontecimentos internos e externos 
à instituição;
 � melhoria da comunicação e da relação entre todas as partes interessadas, 
internas ou externas;
 � identificação e priorização dos riscos considerados mais relevantes;
 � definição de uma metodologia consistente para fazer a mensuração e 
a priorização de todos os fatores de riscos identificados;
 � definição e implantação de um modelo de governança capaz de fazer 
a gestão da exposição aos fatores de riscos, traçando processos ou 
políticas internas e definindo responsáveis;
 � identificação das pessoas competentes para fazer a antecipação dos 
riscos mais relevantes, com capacidade para executar a sua mitigação 
depois de uma análise de custo-benefício;
151Gestão de riscos na administração pública
 � melhoria do entendimento da posição da instituição em comparação 
com as suas concorrentes do mesmo setor;
 � melhoria da imagem dos gestores perante os empregados;
 � aproveitamento das oportunidades decorrentes de riscos positivos;
 � melhoria em planejamento, desempenho, eficiência e eficácia dos re-
sultados apresentados pela instituição;
 � bem-estar de todos os envolvidos, desde os empregados até as pessoas 
da sociedade, que vão usufruir dos bons serviços públicos prestados;
 � tomada de decisão baseada em informações consistentes e verdadeiras;
 � melhoria da imagem da instituição perante a sociedade;
 � promoção da transparência, para todas as partes interessadas, de todo 
e qualquer fator de risco que possa valorizar ou prejudicar a instituição 
de alguma forma.
O gerenciamento de riscos aumenta de forma considerável o controle de uma 
instituição, o que aumenta a possibilidade de os objetivos institucionais serem 
atingidos, de haver uma melhoria na execução das atividades dos processos 
e na qualidade dos resultados oferecidos, e de existirem formas predefinidas 
de mitigação de imprevistos e consequente prejuízo à sociedade, principal 
cliente do setor público.
Apesar de todos os benefícios apresentados, como toda e qualquer atividade 
de gestão que é adotada, pode haver aumento na carga laboral de servidores 
que, porventura, já estejam sobrecarregados. A partir do momento em que 
a instituição toma a gestão de riscos como uma obrigatoriedade, pode haver 
também a necessidade de novas funções, novos cargos, novos departamentos, 
novos níveis de hierarquia, gratificações por desempenho, divisão do trabalho 
existente, redesenho de processos e muitos outros aspectos. Mesmo que o 
gerenciamento de riscos traga alguns problemas por um lado, por outro, ele 
trará benefícios que certamente terão um grande potencial para superar os 
aspectos ruins. 
Portanto, o gerenciamento de riscos institucionais é o processo que pre-
tende preservar e agregar valor a uma instituição. Ele contribui de maneira 
fundamental para a realização dos seus objetivos estratégicos e, também, 
para que as metas de desempenho sejam atingidas, indo além de um conjunto 
de atividades, procedimentos ou políticas que devem simplesmente ser 
executadas por obediência à legislação, prática comum das instituições do 
setor público. Na verdade, é um instrumento que favorece a adaptação da 
instituição aos preceitos legislativos e de regulação, que são fatores críticos 
para a sua continuidade.
Gestão de riscos na administração pública152
1. Quais as principais etapas 
do gerenciamento de 
riscos organizacionais?
a) Identificação, avaliação, 
tratamento, monitoramento, 
probabilidade.
b) Identificação, avaliação, tratamento, 
monitoramento, comunicação.
c) Identificação, avaliação, 
treinamento, monitoramento, 
comunicação.
d) Identificação, avaliação, 
tratamento, nivelamento, 
comunicação.
e) Identificação, eliminação, 
tratamento, monitoramento, 
comunicação.
2. Assinale a alternativa que contém os 
tipos mais conhecidos e utilizados 
de respostas aos riscos negativos:
a) Compartilhamento, 
transferência, mitigação.
b) Aceitação, melhoria, eliminação.
c) Exploração, compartilhamento, 
melhoria.
d) Eliminação, compartilhamento, 
exploração.
e) Eliminação, transferência, 
mitigação, aceitação.
3. Quais são as etapas do ciclo PDCA, 
uma das ferramentas mais conhecidas 
no auxílio da gestão institucional no 
sentido de antever os problemas?
a) Planejar, fazer, verificar, agir.
b) Prevenir, elaborar, 
monitorar, reagir.
c) Planejar, refazer, controlar, 
comunicar.
d) Preparar, entender, 
responder, motivar.
e) Identificar, planejar, 
tratar, comunicar.
4. Assinale a alternativa que melhor 
preenche a frase abaixo: 
Somente por meio _____ aos fatores 
de risco e estabelecendo _____ para 
cada um deles é que será possível 
ter _____ efetivo(a). 
a) da resposta; fatores; uma 
governança corporativa.
b) do tratamento; comunicações; 
um recrutamento de pessoal.
c) da antecipação; respostas; um 
gerenciamento de riscos.
d) da identificação; matrizes; 
um ciclo PDCA.
e) da proatividade; governança; 
um monitoramento 
probabilidade versus risco.
5. Assinale a alternativa que 
contém benefícios da gestão 
de riscos no setor público:
a) Conceitos sobre riscos 
diferenciados por área; tomada 
de decisão mais elaborada e, 
por isso, mais demorada.
b) Eliminação da necessidade de 
comunicação entre as áreas; 
todos sabem os conceitos de 
risco de maneira uniforme.
c) Desaparecimento da 
probabilidade de riscos 
negativos; tomada de decisão 
rápida, por ter que decidir 
o que fazer quando o risco 
ocorre, sem planejamento.
d) Aumento da transparência e 
da comunicação entre todos; 
tomada de decisão mais assertiva.
e) Desaparecimento do impacto 
negativo das ameaças; diminuição 
da comunicação entre os 
níveis hierárquicos; redução 
do nível de comunicação.
153Gestão de riscos na administração pública
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Gerência de projetos: teoria e 
prática. Brasília, DF: ENAP, 2014.
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Uma base para o desenvolvimento 
de estratégias de aprendizagem para a gestão de riscos no serviço público. Brasília, DF: 
ENAP, 2003.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de orientação para 
gerenciamento de riscos corporativos. São Paulo: IBGC, 2007.
MIRANDA, R. F. Implementando a gestão de riscos no setor público. Belo Horizonte: 
Fórum, 2017.
PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de 
projetos: guia Pmbok. 5. ed. São Paulo: Saraiva, 2014.
TIME CONSULTORIA. Conceito do ciclo PDCA. [S.l.], 2017. Disponível em: <http://www.
timerh.com.br/blog/conceito-do-ciclo-pdca/>. Acesso em: 17 jan. 2018.
Gestão de riscos na administração pública154
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
Conteúdo:
DICA DO PROFESSOR
Um gerenciamento efetivo de riscos permite que a instituição melhore os seus resultados e 
preserve o seu valor e a sua imagem, além de ter muitos outros benefícios. Assim, ela 
diminui os prejuízos à sociedade, que é o cliente do serviço público. 
 
No vídeo a seguir, você vai conhecer os benefícios da gestão de riscos na Administração 
Pública. Assista.
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) Quais as principais etapas do gerenciamento de riscos organizacionais?
A) Identificação, avaliação, tratamento, monitoramento e probabilidade.
B) Identificação, avaliação, tratamento, monitoramento e comunicação.
C) Identificação,avaliação, treinamento, monitoramento e comunicação.
D) Identificação, avaliação, tratamento, nivelamento e comunicação.
E) Identificação, eliminação, tratamento, monitoramento e comunicação.
2) Assinale a alternativa que contém os tipos mais conhecidos e utilizados de respostas 
aos riscos negativos.
A) Compartilhamento, transferência e mitigação.
B) Aceitação, melhoria e eliminação.
C) Exploração, compartilhamento e melhoria.
D) Eliminação, compartilhamento e exploração.
E) Eliminação, transferência, mitigação e aceitação.
3) Quais são as etapas do ciclo PDCA, uma das ferramentas mais conhecidas no auxílio 
da gestão institucional no sentido de antever os problemas?
A) Planejar, fazer, verificar e agir.
B) Prevenir, elaborar, monitorar e reagir.
C) Planejar, refazer, controlar e comunicar.
D) Preparar, entender, responder e motivar.
E) Identificar, planejar, tratar e comunicar.
4) Assinale a alternativa que melhor completa as lacunas: "Somente por meio _____ aos 
fatores de risco e estabelecendo _____ para cada um deles é que será possível ter um 
gerenciamento de riscos efetivo".
A) da resposta; fatores.
B) do tratamento; comunicações.
C) da antecipação; respostas.
D) da identificação; matrizes.
E) da proatividade; governança.
5) Assinale a alternativa que contém um benefício da gestão de riscos no setor público.
A) Tomada de decisão mais elaborada e, por isso, mais demorada.
B) Eliminação da necessidade de comunicação entre as áreas.
C) Desaparecimento da probabilidade de riscos negativos.
D) Aumento da transparência e da comunicação entre todos.
E) Desaparecimento do impacto negativo das ameaças.
NA PRÁTICA
Pode-se pensar, erroneamente, que um município pequeno não tem necessidade de 
gerenciamento de riscos. Errado. O porte do município não é motivo para não colocar a 
gestão de riscos em prática, pois qualquer prefeitura, grande ou pequena, pode se beneficiar 
dela.
Veja a seguir uma situação prática dos benefícios da gestão de riscos na Administração Pública.
Conteúdo interativo disponível na plataforma de ensino!
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
CGU e Planejamento destacam avanços da Gestão de Riscos no Governo Federal
Leia a notícia a seguir para saber mais sobre a gestão de riscos no governo federal brasileiro.
Conteúdo interativo disponível na plataforma de ensino!
Ministério da Transparência institui Política de Gestão de Riscos
Leia a matéria a seguir para saber mais sobre a política de gestão de riscos implementada pelo 
Ministério da Transparência.
Conteúdo interativo disponível na plataforma de ensino!
Governança, Gestão de Riscos e Conformidade: PETROBRAS e ELETROBRAS, antes e 
depois da operação lava jato
Leia a tese de mestrado a seguir para conhecer as mudanças ocorridas na gestão de riscos da 
Petrobras e da Eletrobras após a Operação Lava Jato.
Conteúdo interativo disponível na plataforma de ensino!
ISO 31000
APRESENTAÇÃO
A Norma Brasileira ABNT NBR ISO 31000, publicada em 2009, veio para fornecer princípios 
e diretrizes genéricas para auxiliar as organizações na gestão de riscos. Ao contrário de 
outras normas, essa é uma norma de gestão, não sendo destinada a nenhum tipo de certificação.
A NBR ISO 31000 segue a mesma lógica da AS/NZS 4360, não definindo um modelo de 
sistema de gestão de riscos, e sim os elementos do processo de gerenciamento de riscos. A ISO 
31000 não é específica para nenhum ramo ou atividade, podendo ser utilizada por qualquer tipo 
de organização, aplicada para qualquer tipo de risco e servir de base de consulta ao longo da 
vida da organização, norteando a estruturação de estratégias, decisões, processos, entre outras 
atividades, que devem ser elaboradas de acordo com as particularidades de cada organização.
Nesta Unidade de Aprendizagem, você irá estudar os termos, definições, princípios e estrutura 
do processo de gestão de riscos, segundo a ISO 31000. 
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
Enumerar os termos e definições da ISO 31000.•
Listar os princípios da ISO 31000.•
Discutir a estrutura do processo de gestão de riscos segundo a ISO 31000.•
DESAFIO
A ISO 31000 oferece orientações genéricas para a gestão de riscos, determinando princípios, um 
framework de trabalho e um processo para a gestão dos diversos tipos de risco, em todas as 
organizações. Ela não obriga a utilização de uma abordagem única e rígida, mas enfatiza a 
aplicação dos princípios e instruções dentro da estrutura e as necessidades específicas da 
organização.
Todas as atividades de uma organização envolvem riscos, e todas as organizações estão 
enfrentando uma série de riscos que podem afetar o alcance dos seus objetivos. A gestão de 
riscos auxilia a tomada de decisão, identificando as incertezas e seus efeitos frente aos objetivos, 
avaliando a necessidade de ações de mitigação e tratamento.
Imagine que você é o gerente de uma empresa e deseja implementar a gestão de riscos, mas para 
isso precisa convencer o dono da empresa, por meio de um relatório elencando os seguintes 
pontos:
A. Liste os princípios propostos pela ISO 31000 e explique rapidamente cada um deles.
B. Sinalize aqueles que julga o(s) mais apropriado(s) para utilizar como argumento(s) de 
convencimento para o dono da empresa. Justifique a sua escolha.
INFOGRÁFICO
A NBR ISO 31000 define a estrutura da gestão de riscos como um conjunto de componentes 
que fornece os fundamentos e os arranjos organizacionais para a concepção, implementação, 
monitoramento, análise crítica e melhoria contínua da gestão de riscos em toda a organização. 
Os fundamentos incluem a política, os objetivos, os mandatos e o comprometimento para o 
gerenciamento de riscos. Os arranjos organizacionais incluem os planos, relacionamentos, 
responsabilidades, recursos, processos e atividades. A estrutura segue um modelo PDCA 
(método iterativo de gestão de quatro passos), com um importante acréscimo: o chamado 
mandato e comprometimento. No Infográfico a seguir, você verá a estrutura da gestão de riscos 
proposta na Norma NBR ISO 31000. Confira!
CONTEÚDO DO LIVRO
A ISO 31000 foi elaborada a partir da necessidade de aprimorar e estabelecer uma padronização 
na terminologia e conceitos utilizados em gestão de riscos pelas organizações, sendo baseada na 
primeira norma mundial que abordou o tema gestão de riscos empresariais, a norma AS/NZS 
4360:2004. O intuito da norma é atender às necessidades de uma ampla gama de partes 
interessadas, com a finalidade de assegurar o correto gerenciamento dos riscos. Sendo assim, 
vamos começar relacionando os principais termos e definições utilizados na norma.
Acompanhe mais sobre essa abordagem no capítulo ISO 31000, do livro Gerenciamento de 
Riscos.
Boa leitura.
GERENCIAMENTO
DE RISCOS
Simone Fraporti 
Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147
F838g Fraporti, Simone.
 Gerenciamento de riscos / Simone Fraporti, Jeanine
 Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre : 
 SAGAH, 2018.
 166 p. ; 22,5 cm
 ISBN 978-85-9502-334-5
 1. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.
 II. Título.
CDU 658.88
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas 
Especialista em Controladoria e Finanças
ISO 31000
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
 � Identificar os termos e as definições da ISO 31000.
 � Listar os princípios da ISO 31000.
 � Discutir a estrutura do processo de gestão de riscos segundo a ISO 
31000. 
Introdução
A Norma Brasileira da Associação Brasileira de Normas Técnicas 
(NBR-ABNT) da Organização Internacional de Normalização (ISO) 31000, 
publicada em 2009, veio para fornecer princípios e diretrizes genéricas 
para auxiliar as organizações na gestãode riscos.
Ao contrário de muitas outras normas, a ISO 31000 não é específica 
para nenhum ramo ou atividade, podendo ser utilizada por qualquer 
tipo de organização, aplicada para qualquer tipo de risco e servir de 
base de consulta ao longo da vida da organização, norteando a es-
truturação de estratégias, decisões, processos, entre outras atividades 
que devem ser elaboradas de acordo com as particularidades de cada 
organização.
Neste capítulo, você irá estudar termos, definições, princípios e estru-
tura do processo de gestão de riscos segundo a ISO 31000.
ISO 31000 – termos e definições
A ABNT, órgão privado e sem fins-lucrativos que se destina a padronizar as 
técnicas de produção feitas no país, publicou a ABNT NBR ISO 31000 em 
2009, com orientações genéricas sobre a gestão formal de risco, de forma que 
possa ser adequada aos mais variados contextos organizacionais e aplicada 
para qualquer tipo de risco. Seu principal objetivo é servir de base de consulta 
ao longo da vida da organização, norteando a estruturação de estratégias, 
decisões, processos, entre outras atividades, que devem ser elaboradas sempre 
observando as particularidades de cada organização (ASSOCIAÇÃO BRA-
SILEIRA DE NORMAS TÉCNICAS, 2009). 
A ISO 31000 foi elaborada a partir da necessidade de aprimorar e estabelecer 
uma padronização na terminologia e nos conceitos utilizados em gestão de 
riscos pelas organizações, foi baseada na primeira norma mundial que abordou 
o tema gestão de riscos empresariais, a Norma AS NZS nº 4.360/2004. 
O intuito da norma é atender às necessidades de uma ampla variedade de 
partes interessadas, com a finalidade de assegurar o correto gerenciamento dos 
riscos. Assim, vamos começar relacionando os principais termos e definições 
utilizados na norma. A ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NOR-
MAS TÉCNICAS, 2009) faz referência a vários termos que são pertinentes à 
gestão de riscos e traz suas definições, como você pode acompanhar a seguir.
Risco: efeito da incerteza nos objetivos.
Gestão de riscos: atividades coordenadas para dirigir e controlar uma 
organização no que se refere ao risco.
Estrutura da gestão de riscos: conjunto de componentes que fornecem os 
fundamentos e os arranjos organizacionais para concepção, implementação, 
monitoramento, análise crítica e melhoria contínua da gestão de riscos por 
toda a organização.
Política de gestão de riscos: declaração das intenções e diretrizes gerais 
de uma organização relacionadas à gestão de riscos.
Atitude perante o risco: abordagem da organização para avaliar e even-
tualmente buscar, manter, assumir ou afastar-se do risco.
Apetite pelo risco: quantidade e tipo de riscos que uma organização está 
preparada para buscar, manter ou assumir.
Aversão ao risco: atitude de se afastar dos riscos.
Plano de gestão de riscos: plano da estrutura da gestão de riscos, es-
pecificando a abordagem, os componentes de gestão e os recursos a serem 
aplicados para gerenciá-los.
Proprietário do risco: pessoa ou entidade com a responsabilidade e a 
autoridade para gerenciar o risco.
Processo de gestão de riscos: aplicação sistemática de políticas, proce-
dimentos e práticas de gestão para as atividades de comunicação, consulta, 
estabelecimento do contexto, identificação, análise, avaliação, tratamento, 
monitoramento e análise crítica dos riscos.
Estabelecimento do contexto: definição dos parâmetros externos e internos 
a serem considerados ao se efetuar o gerenciamento de riscos, e estabelecimento 
do escopo e dos critérios de risco para a política de sua gestão.
ISO 31000156
Contexto externo: ambiente fora da organização, no qual fatores externos 
impactam os objetivos da organização.
Contexto interno: ambiente interno no qual a organização busca atingir 
seus objetivos.
Comunicação e consulta: processos contínuos e interativos que uma 
organização conduz para fornecer, compartilhar ou obter informações, com 
relação ao gerenciamento de riscos.
Parte interessada: pessoa ou organização que pode afetar, ser afetada, 
ou perceber-se afetada por uma decisão ou atividade.
Processo de avaliação de riscos: processo global de identificação de 
riscos, análise de riscos e avaliação dos riscos.
Identificação dos riscos: processo de busca, reconhecimento e descrição 
de riscos.
Fonte de risco: elemento que, individualmente ou combinado, tem o po-
tencial intrínseco para dar origem ao risco, pode ser tangível ou intangível.
Evento: ocorrência ou alteração em um conjunto específico de circunstâncias.
Consequência: resultado de um evento que afeta os objetivos.
Probabilidade: chance de algo acontecer.
Perfil de risco: descrição de um conjunto qualquer de riscos.
Análise de riscos: processo pelo qual se busca compreender a natureza 
do risco e determinar o seu nível.
Critérios de risco: termos de referência contra a qual o significado de 
um risco é avaliado.
Nível de risco: magnitude de um risco, expressa em termos da combinação 
das consequências e de suas probabilidades.
Avaliação de riscos: processo de comparação dos resultados da análise de 
riscos com os critérios de risco, para determinar se o risco e/ou sua magnitude 
é aceitável ou tolerável.
Tratamento de riscos: processo para modificar o risco.
Controle: medida que está modificando o risco.
Risco residual: risco remanescente após o tratamento do risco.
Monitoramento: verificação, supervisão, observação crítica ou identifica-
ção da situação, executadas de forma contínua, a fim de identificar mudanças 
no nível de desempenho requerido ou esperado.
Análise crítica: atividade realizada para determinar adequação, suficiência 
e eficácia do assunto em questão para atingir os objetivos estabelecidos.
O propósito fundamental da ISO 31000 foi consolidar diferentes conceitos 
e terminologias e apresentação de diretrizes e princípios para a implementação 
de estruturas de gerenciamento de riscos aplicáveis às organizações, inde-
157ISO 31000
pendentemente de seu tamanho, segmento ou área de atuação (INSTITUTO 
BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2017).
Princípios da ISO 31000
Princípios, além de terem o significado de origem, também podem ser consi-
derados a base de sustentação de uma norma. São ideias genéricas, das quais 
podem ser extraídas concepções e intenções para a criação de outras normas. 
A ISO 31000/2009 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNI-
CAS, 2009) apresenta alguns princípios importantes para a gestão de riscos 
que julga convenientes de serem adotados ou adaptados em todos os níveis 
da organização, para uma gestão eficaz, observe os itens a seguir. 
a) Gestão de riscos cria e protege valor: a gestão de riscos contribui 
para a realização demonstrável dos objetivos e para a melhoria do 
desempenho referente, por exemplo, à segurança e saúde das pessoas, 
à conformidade legal e regulatória, à aceitação pública, à proteção do 
meio ambiente, à qualidade do produto, ao gerenciamento de projetos, 
à eficiência nas operações, à governança e à reputação.
b) Gestão de riscos é parte integrante de todos os processos orga-
nizacionais: faz parte das responsabilidades da administração e é 
parte integrante de todos os processos organizacionais, incluindo o 
planejamento estratégico e todos os processos de gestão de projetos e 
gestão de mudanças.
c) Gestão de riscos é parte da tomada de decisões: auxilia os tomadores 
de decisão a fazer escolhas conscientes, priorizar ações e distinguir 
entre formas alternativas de ação.
d) Gestão de riscos aborda explicitamente a incerteza: considera a 
incerteza, a natureza dessa incerteza e como ela pode ser tratada.
e) Gestão de riscos é sistemática, estruturada e oportuna: contribui 
para a eficiência e para os resultados consistentes, comparáveis e 
confiáveis.
f) Gestão de riscos baseia-se nas melhores informações disponíveis: 
as entradas para o processo de gerenciar riscos são baseadas em 
fontes de informação, como dados históricos, experiências, retroali-
mentação das partes interessadas, observações,previsões e opiniões 
de especialistas.
ISO 31000158
g) Gestão de riscos é feita sob medida: está alinhada com o contexto 
interno e externo da organização e com o perfil do risco.
h) Gestão de riscos considera fatores humanos e culturais: reco-
nhece capacidades, percepções e intenções do pessoal interno e 
externo que podem facilitar ou dificultar a realização dos objetivos 
da organização.
i) Gestão de riscos é transparente e inclusiva: o envolvimento apropriado 
e oportuno de partes interessadas e, em particular, dos tomadores de 
decisão em todos os níveis da organização assegura que a gestão de 
riscos permaneça pertinente e atualizada.
j) Gestão de riscos é dinâmica, iterativa e capaz de reagir a mudan-
ças: o envolvimento também permite que as partes interessadas sejam 
devidamente representadas e tenham suas opiniões consideradas na 
determinação dos critérios de risco.
k) Gestão de riscos facilita a melhoria contínua da organização: con-
vém que as organizações desenvolvam e implementem estratégias para 
melhorar a sua maturidade na gestão de riscos juntamente a todos os 
demais aspectos da sua organização.
O objetivo principal da ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE 
NORMAS TÉCNICAS, 2009), ao descrever esses princípios e orientações 
genéricas sobre gestão de riscos, é proporcionar subsídios concretos às or-
ganizações, facilitando o desenvolvimento de planos de gestão de riscos, 
adaptados a sua realidade.
Estrutura do processo de gestão de riscos 
segundo a ISO 31000
O processo de gestão de riscos deve ser considerado e tratado como parte 
integrante da gestão, incorporado na cultura e nas práticas em todos os 
níveis e funções pertinentes da organização, como parte de suas práticas 
e processos.
A estrutura do processo de gestão de riscos conforme a ISO 31000 (AS-
SOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) é baseado nas 
atividades de descritas nos itens 5.2 a 5.6 da norma, conforme apresentadas 
na Figura 1.
159ISO 31000
Figura 1. Processo de gestão de risco.
Fonte: Associação Brasileira de Normas Técnicas (2009).
Comunicação e consulta
Tanto a intenção de comunicar e consultar de maneira eficaz como os recursos 
disponíveis para tal, requerem que isso seja considerado e expresso de maneira 
explícita, quando a estrutura for projetada. 
Consultar as partes interessadas, tanto externas como internas é funda-
mental e deverá ocorrer em todas as fases (estabelecimento dos critérios 
de risco, identificação, avaliação e tratamento de riscos) ou em ocorrências 
de sinistros. 
É necessário que a organização tenha técnicas e ferramentas adequadas 
para comunicação e consulta. Softwares podem ser uma ótima plataforma 
de comunicação e gestão do conhecimento. Tanto a intenção de comunicar e 
consultar de maneira eficaz como os recursos disponíveis para tal requerem 
que isso seja considerado e expresso de maneira explícita, quando a estrutura 
for projetada.
ISO 31000160
Estabelecimento do contexto 
A definição dos critérios para gestão de riscos, o escopo da gestão, as áreas e 
os setores envolvidos, devem ser divididos em contexto interno e externo. No 
contexto interno, serão consideradas estrutura organizacional, responsabilida-
des, processos, sistemas de informação internos e diálogo e relações com as 
partes interessadas internas. No contexto externo, questões como o ambiente 
legal, social, cultural, político, financeiro, tecnológico, econômico, entre 
outros devem ser avaliados, assim como a relação com as partes interessadas 
externas, a sua percepção e seus valores.
Avaliação de riscos
O processo de avaliação de riscos é o processo que engloba a identificação, a 
análise e a avaliação de riscos.
Identificação de riscos 
A organização deve identificar fontes de risco, áreas de impactos, eventos e suas 
causas e consequências potenciais. O objetivo é gerar uma lista de riscos que 
possam impactar de alguma forma a realização dos objetivos. É importante total 
atenção e esforço nessa análise para que todos os riscos sejam identificados. 
A tendência é que as organizações, com o tempo, passem a incrementar essa 
lista com novas fontes de risco, e o processo deve melhorar continuamente. 
Contudo, é conveniente que pessoas com um conhecimento adequado sejam 
envolvidas na fase de identificação dos riscos.
Análise de riscos 
A análise de riscos fornece uma compreensão sobre os riscos da organização. 
Envolve a apreciação das causas e as fontes de risco, suas consequências 
positivas e negativas, e também a probabilidade de que essas consequências 
possam ocorrer. São analisados todos os riscos identificados na etapa anterior, 
constatando quais são as consequências e probabilidade dos riscos.
Avaliação de riscos 
A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base 
nos resultados da análise de riscos, quais riscos necessitam de tratamento e 
161ISO 31000
a prioridade para a implementação do tratamento. É nesta fase que se define 
se um risco deve ou não ser tratado e como será a prioridade.
Tratamento de riscos 
O tratamento de riscos envolve a seleção de uma ou mais opções para modi-
ficar os riscos e a implementação dessas opções. Uma vez implementado, o 
tratamento fornece novos controles ou modifica os existentes. São opções de 
tratamento de riscos:
 � evitar o risco – não iniciando ou descontinuar a atividade que dá origem 
ao risco;
 � remover a fonte de risco;
 � alterar a probabilidade;
 � alterar as consequências;
 � compartilhar o risco com outra parte ou partes; e
 � reter o risco por uma decisão consciente e bem embasada.
Monitoramento e análise crítica  
A melhoria contínua deve acontecer sempre, ao longo de todo o processo 
de gestão de riscos, pois os critérios de riscos poderão ser alterados, novas 
ocorrências poderão incrementar as listas de riscos e oportunidades poderão 
ser consideradas. O contexto interno e externo também pode sofrer alterações, 
e a organização precisa aprender com seus sucessos e falhas. 
Os elementos “comunicação e consulta” e “monitoramento e análise crí-
tica” são considerados de ação contínua do processo de gestão de riscos. A 
comunicação e consulta implica no envolvimento das partes interessadas, 
internas e externas, considerando seus pontos de vista e conhecendo seus 
objetivos por meio de envolvimento planejado. Já o monitoramento e análise 
crítica preveem a tomada de ação no momento em que surgirem novos riscos 
que mudem os riscos existentes, ameaçando os objetivos organizacionais ou 
os ambientes interno e externo (PURDY, 2010 apud ROSA; TOLEDO, 2015).
O objetivo da estrutura do processo de gestão de risco apresentado na ISO 
31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) não 
é propriamente estabelecer ou fixar um fluxograma da gestão de riscos, mas 
é o de mostrar o relacionamento que existe entre as atividades da norma que 
definem esse processo.
ISO 31000162
Preda (2013 apud ROSA; TOLEDO, 2015), recomenda observar alguns 
passos importantes para implementar a ISO 31000: 
 � conquistar o apoio e a adesão da direção para que a norma seja imple-
mentada, com todos os recursos necessários; 
 � formar um comitê para trabalhar na implementação, com o responsável 
sendo alguém indicado pela alta direção, e com pessoas com bom 
conhecimento sobre processos organizacionais e boa comunicação 
oral e escrita; 
 � estabelecer e descrever o plano de implementação, com as especialidades 
e funções necessárias; 
 � prover treinamento e suporte técnico; 
 � organizar atividades de conscientização, divulgando o objetivo da 
implementação da norma, suas vantagens, seu funcionamento, funções 
e responsabilidades; 
 � garantir que o processo baseado na norma esteja alinhado aos processos 
da organização; 
 � desenvolver documentos de gestão de riscos (política, plano, processo, 
instruções de trabalho); 
 � obter aprovação da diretoria para toda documentação implementada; 
 � publicar, informar e obter feedback dos envolvidos; 
 � implementar o processode gestão de riscos (podendo realizar período 
de teste); 
 � realizar auditoria interna; 
 � realizar análise crítica pela diretoria.
Diante de todo o contexto apresentado, você pode compreender que estamos 
diante de uma crescente indissociabilidade entre a gestão de riscos e as ativida-
des organizacionais, pois, cada vez mais, se confirma que as organizações que 
possuem processos de gerenciamento de riscos eficazes têm mais possibilidades 
de ter sucesso nos objetivos traçados e garantir a sua sobrevivência no mercado. 
A ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 
2009) traz recomendações que podem ser seguidas na sua totalidade ou em 
parte, dependendo das características da organização. A aplicação dos seus 
princípios e diretrizes apresenta passos que direcionam as atividades para a 
eficiência operacional, que melhoram a governança corporativa e aumentam 
a confiança das partes interessadas. Integrar as boas práticas aos projetos e 
operações diárias, estabelecendo uma estrutura baseada nas orientações da 
ISO 31000 é o grande desafio das organizações (ROSA; TOLEDO, 2015).
163ISO 31000
1. A ISO 31000 (ASSOCIAÇÃO 
BRASILEIRA DE NORMAS TÉCNICAS, 
2009) faz referência a vários 
termos que são pertinentes à 
gestão de riscos. A abordagem 
da organização para avaliar 
e eventualmente buscar, 
manter, assumir ou afastar o 
risco é a definição de: 
a) gestão de riscos.
b) fonte de riscos. 
c) aversão ao risco.
d) atitude perante o risco.
e) apetite pelo risco.
2. Os princípios podem ser 
considerados como base de 
sustentação de uma norma. A ISO 
31000 (ASSOCIAÇÃO BRASILEIRA 
DE NORMAS TÉCNICAS, 2009) 
apresenta alguns princípios 
importantes para a gestão de 
riscos. Quais das definições a 
seguir diz respeito ao princípio de 
“criar e proteger valor”? 
a) Está alinhada com o contexto 
interno e externo da organização 
e com o perfil do risco.
b) A gestão de riscos contribui 
para a realização demonstrável 
dos objetivos e para a 
melhoria do desempenho.
c) As organizações devem 
desenvolver e implementar 
estratégias para melhorar a sua 
maturidade na gestão de riscos, 
juntamente a todos os demais 
aspectos da sua organização.
d) Auxilia os tomadores de decisão 
a fazer escolhas conscientes, 
priorizar ações e distinguir entre 
formas alternativas de ação. 
e) Considera a incerteza, a 
natureza dessa incerteza e 
como ela pode ser tratada.
3. O conjunto de componentes 
que fornecem os fundamentos e 
os arranjos organizacionais para 
a concepção, implementação, 
monitoramento, análise 
crítica e melhoria contínua 
da gestão de riscos por a 
organização, segundo a ISO 
31000 (ASSOCIAÇÃO BRASILEIRA 
DE NORMAS TÉCNICAS, 
2009), corresponde a(o)?
a) Estrutura e gestão de riscos.
b) Política de gestão de riscos.
c) Plano de gestão de riscos.
d) Processo de gestão de riscos.
e) Processo de avaliação de riscos.
4. Segundo a ISO 31000 
(ASSOCIAÇÃO BRASILEIRA DE 
NORMAS TÉCNICAS, 2009), 
convém que o processo de gestão 
de riscos seja considerado e 
tratado como ______________ 
da gestão, ___________ na 
cultura e nas práticas em _______ 
níveis e funções da organização. 
Qual das alternativas a seguir 
completa corretamente a frase?
a) Algo à parte; sem interferir; todos.
b) Algo à parte; incorporado; todos. 
c) Parte integrante; apartado; todos.
d) Parte integrante; 
incorporado; alguns. 
e) Parte integrante; 
incorporado; todos.
ISO 31000164
5. No que diz respeito ao processo 
de gestão de riscos proposto 
pela ISO 31000 (ASSOCIAÇÃO 
BRASILEIRA DE NORMAS TÉCNICAS, 
2009), a etapa específica para 
auxiliar na tomada de decisões 
sobre quais riscos necessitam 
de tratamento e a prioridade 
para a implementação do 
tratamento, é denominada: 
a) identificação dos riscos.
b) tratamento de riscos.
c) avaliação de riscos.
d) análise de riscos.
e) estabelecimento do 
contexto interno. 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO 31000:2009: gestão de riscos: 
princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Gerenciamento de riscos 
corporativos: evolução em governança e estratégia. São Paulo: IBGC, 2017. (Série 
Cadernos de Governança Corporativa, 19).
ROSA, G. M.; TOLEDO, J. C. Gestão de riscos e a norma ISO 31000: importância e 
impasses rumo a um consenso. In: CONGRESSO BRASILEIRO DE ENGENHARIA DE 
PRODUÇÃO, 5., 2015, Ponta Grossa. Anais... Ponta Grossa: CONBREPRO, 2015.
165ISO 31000
Encerra aqui o trecho do livro disponibilizado para 
esta Unidade de Aprendizagem. Na Biblioteca Virtual 
da Instituição, você encontra a obra na íntegra.
 
Conteúdo:
DICA DO PROFESSOR
A Norma ISO 31000 recomenda às organizações a desenvolver, programar e melhorar 
continuamente um sistema de gestão de risco como uma componente integral do seu sistema de 
gestão. Nesse sentido, a norma pode ser adaptada por todo tipo de organização, qualquer que 
seja o setor de atividade em que está inserida, e pode ser aplicada a uma ampla gama de 
atividades, processos, funções, projetos, produtos, serviços, ativos, operações e decisões. Trata-
se, portanto, de uma norma abrangente, que tem como principal objetivo ajudar os responsáveis 
no desenvolvimento de políticas de gestão de riscos das organizações a assegurar que os riscos 
sejam eficazmente geridos. Nesta Dica do Professor você verá algumas abordagens da Norma 
ISO 31000. Assista!
Conteúdo interativo disponível na plataforma de ensino!
 
EXERCÍCIOS
1) A Norma ISO 31000 faz referência a vários termos que são pertinentes à gestão de 
riscos. A abordagem da organização para avaliar e, eventualmente buscar, manter, 
assumir ou afastar-se do risco é a definição de:
A) Gestão de riscos.
B) Fonte de riscos.
C) Aversão ao risco.
D) Atitude perante o risco.
E) Apetite pelo risco.
2) Os princípios podem ser considerados como sendo base de sustentação de uma 
norma. A Norma ISO 31000 apresenta alguns princípios importantes para a gestão 
de riscos. Quais das definições abaixo diz respeito ao princípio de "criar e proteger 
valor"?
A) Está alinhada com o contexto interno e externo da organização e com o perfil do risco.
B) A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria 
do desempenho.
C) Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua 
maturidade na gestão de riscos, junto com os demais aspectos da sua organização.
D) Auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir 
entre formas alternativas de ação.
E) Leva em consideração a incerteza, a natureza dessa incerteza e como ela pode ser tratada.
3) É o conjunto de componentes que fornecem os fundamentos e os arranjos 
organizacionais para a concepção, implementação, monitoramento, análise crítica e 
melhoria contínua da gestão de riscos por meio de toda a organização. Segundo a ISO 
31000, essa definição corresponde a qual alternativa?
A) Estrutura de gestão de riscos.
B) Política de gestão de riscos.
C) Plano de gestão de riscos.
D) Processo de gestão de riscos.
E) Processo de avaliação de riscos.
4) Segundo a ISO 31000, convém que o processo de gestão de riscos seja considerado e 
tratado como ______________ da gestão, ___________ na cultura e nas práticas em 
_______ níveis e funções da organização. Qual das alternativas abaixo completa 
corretamente a frase?
A) algo à parte - sem interferir - todos.
B) algo à parte - incorporado - todos.
C) parte integrante - apartado - todos.
D) parte integrante - incorporado - alguns.
E) parte integrante - incorporado - todos.
5) No que diz respeito ao processo de gestão de riscos proposto pela ISO 31000, a etapa 
específica de auxiliar na tomada de decisões, sobre quais riscos necessitam de 
tratamento e a prioridade para a implementação do tratamento, denomina-se:
A) Identificação dos riscos.
B) Tratamento de riscos.
C) Avaliação de riscos.D) Análise de riscos.
E) Estabelecimento do contexto interno.
NA PRÁTICA
A Norma ISO 31000 recomenda às organizações a desenvolver, implementar e melhorar 
continuamente um sistema de gestão de risco com a finalidade de integrar o processo de gestão 
de riscos no governo, na estratégia, na gestão, nos processos e na cultura de toda a organização.
Como todas as atividades de uma organização envolvem algum nível de risco, a organização 
precisa manter uma gestão que analise adequadamente aqueles riscos relacionados ao seu 
negócio e que são relevantes. Essa análise deve ser feita de forma sistemática e com base nos 
contextos externo e interno, com princípios bem estabelecidos.
A partir desses princípios, a organização monta uma estrutura para implementar a gestão de 
riscos, definindo um processo que identifique riscos, analise riscos, avalie riscos e trate riscos. O 
processo deve prever ainda o monitoramento e análise crítica, bem como estabelecer uma 
comunicação adequada em todas as direções.
Neste Na Prática, você verá um exemplo das atividades integrantes do processo de gestão de 
riscos - ISO 31000. Acompanhe!
- Jaime e sua equipe puderam repetir a travessia ao longo de vários dias e em diferentes épocas. 
Esses dados lhes auxiliariam a entender que a mudança de contexto (tempo, quantidade de 
carros) afeta diretamente a eficácia da melhoria e aumenta a probabilidade de que eles não 
alcançassem seus objetivos (evitar acidentes/assaltos). 
- A experiência lhes ensinou que atravessar a avenida em determinados momentos do dia é 
muito difícil, pois há muitos carros. 
- Para limitar o risco devem rever e melhorar o seu processo contínuo, usando a passarela nos 
momentos de grande movimento.   
-  Jaime e sua equipe continuam a analisar a eficácia dos processos contínuos.
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do 
professor:
Análise da implantação do processo de gestão de riscos com base na ISO 31000: aplicação 
em uma empresa de energia
O artigo a seguir apresenta os resultados de uma pesquisa que teve como objetivo analisar a 
implantação do processo de gestão de riscos com base na ISO 31000.
Conteúdo interativo disponível na plataforma de ensino!
Gerenciar Riscos com a Norma NBR ISO 31000
No site a seguir você verá como gerenciar riscos por meio da Norma ISO 31000.
Conteúdo interativo disponível na plataforma de ensino!
Interpretação da ISO 31000:2009 - Gestão de Riscos
O vídeo dá uma abrangência geral sobre a interpretação da ISO 31000:2009, mais 
especificamente na gestão de riscos.
Conteúdo interativo disponível na plataforma de ensino!