Apostila do Aluno_Gestão de Riscos nas Contratações Públicas

Prévia do material em texto

EIXO TEMÁTICO
Logística e Compras Públicas
APOSTILA DO CURSO
Gestão de Riscos nas 
Contratações Públicas
 Ficha catalográfica elaborada pela equipe da Biblioteca Graciliano Ramos da Enap 
_______________________________________________________________________ 
 C977 Curso de gestão de riscos nas contratações públicas – apostila do aluno 
/ redação de Edmar Gomes de Azevedo Júnior. -- Brasília: Enap, 
2020. 
55 p. : il. -- 
Inclui bibliografia. 
1. Contrato Público. 2. Gestão de Risco. 3. Licitação. 4.
Capacitação – Apostila. I. Edmar Gomes de Azevedo Júnior (redação). 
CDU 351.712 
_______________________________________________________________________ 
 Bibliotecária: Tatiane de Oliveira Dias – CRB1/2230 
Fundação Escola Nacional de Administração Pública 
Presidente 
Diogo G. R. Costa 
Diretor de Educação Continuada 
Paulo Marques 
Coordenadora-Geral de Educação Técnico-Gerencial – CGETG 
Suzana Neiva S. Ghazale 
Núcleo Pedagógico – CGETG 
Iara da Paixão Corrêa Teixeira 
Jader de Sousa Nunes 
Patricia Lucinari 
Rachel de Queiroz Nobre 
Assessoria de Comunicação 
Vanessa Akiko Maeji Ishikawa 
Projeto gráfico, capa e editoração eletrônica 
Ana Carla Gualberto Cardoso 
Revisão 
Adriana Braga, Luiz Matos e Renata Mourão 
 
3
 
 
 
 
 
 
 
 
 
 
 
 
Sumário 
 
 
INTRODUÇÃO ................................................................................................................................. 5 
RISCOS: DEFINIÇÕES, PILARES, GESTÃO, TIPOS, PROCESSO DE GESTÃO DE RISCOS .................... 10 
NORMAS INTERNACIONAIS SOBRE GESTÃO DE RISCOS .............................................................. 19 
COSO-ERM (ENTERPRISE RISK MANAGEMENT) ........................................................................... 19 
ISO 31000:2018 ........................................................................................................................... 22 
GOVERNANÇA CORPORATIVA ..................................................................................................... 26 
PRINCÍPIOS DA GOVERNANÇA CORPORTIVA ............................................................................... 31 
PLANO DE GERENCIAMENTO DE RISCO – PGR ............................................................................ 37 
ETAPA 1 – IDENTIFICAÇÃO DOS RISCOS ....................................................................................... 38 
ETAPA 2 – ANÁLISE DOS RISCOS .................................................................................................. 40 
ETAPA 3 – AVALIAÇÃO DOS RISCOS ............................................................................................. 41 
ETAPA 4 – TRATAMENTO DOS RISCOS ......................................................................................... 42 
REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................................... 48 
 
 
 
 
4
 
 
 
 
 
 
 
OBJETIVOS INSTRUCIONAIS 
a) reconhecer a relação da Gestão de Riscos com as contratações púbicas; b) 
identificar as vantagens e desafios da implantação da Gestão de Riscos nas 
contratações públicas. 
 
PRINCIPAIS TÓPICOS 
Contextualização do risco e sua metodologia de estudo; apresentação de 
casos reais em que a Gestão de Riscos foi negligenciada, trazendo suas 
causas, os impactos gerados e as providências tomadas pelos gestores, tanto 
no gerenciamento de crise quanto na mitigação de futuros riscos; 
apresentação de exemplos de perdas operacionais, suas causas e seus 
respectivos impactos financeiros; pilares da gestão de riscos: probabilidade e 
impacto; o que é Gestão de Riscos, tipos de riscos e o processo de gestão de 
riscos nas contratações públicas. 
 
 
Parte I 
 
5
 
 
INTRODUÇÃO 
 
Estima-se que as contratações públicas no Brasil representam 13,8% 
do Produto Interno Bruto ("Mensurando o mercado de compras 
governamentais brasileiro" de Cássio Garcia Ribeiro e Edmundo Inácio 
Júnior, publicado no Caderno de Finanças Públicas, n. 14, p. 265/287, 
dez. 2014). Sendo assim, temos que a licitação constitui significativo instrumento de 
que dispõe a administração pública para exigir que as empresas que pretendam 
contratar com o Poder Público cumpram requisitos de eficiência, eficácia e efetividade, 
desde a produção até a distribuição de bens, assim como na prestação de serviços, e 
na realização de obras de engenharia. 
Dessa forma, é preciso avançar com a efetivação da licitação como instrumento 
de gestão, sem nunca descuidar da livre e isonômica participação dos interessados, da 
preocupação com a qualidade da despesa pública e com a vantajosidade das propostas 
para a administração pública. 
Tecnicamente falando, as contratações públicas devem ser implementadas a 
partir de três passos básicos. O primeiro passo visa a identificar a necessidade da 
contratação e a possibilidade de reuso/redimensionamento ou aquisição pelo processo 
de desfazimento de bens. Busca-se, com isso, a mitigação de riscos no tocante aos 
critérios de eficiência utilizados na aquisição de bens ou serviços. Será que essa 
contratação pública é realmente necessária ou seria possível reutilizar os bens ora 
existentes? Ou, ainda, adquirir esses produtos através de doações advindas de outros 
órgãos públicos? 
Já o segundo passo indica que o planejamento da contratação deve gerenciar 
os riscos quanto à escolha do bem ou serviço por meio de parâmetros sustentáveis. 
Esses parâmetros precisam ser definidos por diretrizes de sustentabilidade, conforme 
art. 4º do Decreto nº 9.178/2017: 
 
 
6
 
 
Art. 4º Para os fins do disposto no art. 2º, são considerados critérios e 
práticas sustentáveis, entre outros: 
I – Baixo impacto sobre recursos naturais como flora, fauna, ar, solo e água; 
II – Preferência para materiais, tecnologias e matérias-primas de origem 
local; 
III – Maior eficiência na utilização de recursos naturais como água e energia; 
IV – Maior geração de empregos, preferencialmente com mão de obra local; 
V – Maior vida útil e menor custo de manutenção do bem e da obra; 
VI – Uso de inovações que reduzam a pressão sobre recursos naturais; 
VII - Origem sustentável dos recursos naturais utilizados nos bens, nos 
serviços e nas obras; e 
VIII - Utilização de produtos florestais madeireiros e não madeireiros 
originários de manejo florestal sustentável ou de reflorestamento. 
 
No terceiro e último passo, o gestor público deve buscar o equilíbrio entre os 
três princípios norteadores da licitação pública: sustentabilidade, economicidade e 
competitividade. Entretanto, a sustentabilidade pode, de modo justificado, se 
sobrepor aos outros dois princípios. Ressalte-se que, nesses casos, a justificativa do 
gestor é necessária. Ele pode, por exemplo, optar por um produto mais caro do que o 
similar, desde que isso faça parte de uma medida de gestão de riscos mais ampla, que 
no final reduz o custo em outros produtos ou no mesmo, em razão da economia 
gerada no processo. Além disso, ao escolher produtos e serviços com características 
sustentáveis, os responsáveis pelo setor de licitações fomentam o surgimento de 
novos mercados que sejam necessários à administração pública em ações ligadas à 
sustentabilidade. 
É sabido que o mundo se encontra diante de um cenário de rara complexidade, 
onde fenômenos econômicos e sociais de largo espectro, tal qual a globalização da 
economia e a generalização do uso da tecnologia da informação, são grandes 
responsáveis pela reestruturação não só do ambiente organizacional público e privado, 
mas também do novo modo de vida das pessoas. 
Fazer com que a organização mantenha e aprimore suas competências, 
gerando riquezas e seja eficiente num ambiente cada vez mais restritivo não é tarefa 
das mais simples. Não basta, apenas, ter as pessoas certas nas posições correlatas no 
organograma, nem profissionais habilidosos sendo motivados cotidianamente. Paraque haja continuidade do negócio, faz-se necessário que a organização seja 
 
7
 
responsável com seus recursos humanos, seus recursos financeiros e sua imagem. E, 
como de praxe, é tênue a relação entre a elaboração dos objetivos, a formulação das 
estratégias, a implementação das ações organizacionais e a utilização dos seus 
recursos de maneira equilibrada. 
Portanto, uma organização pública que utiliza ferramentas garantidoras de 
ações estudadas e planejadas estará cada vez mais comprometida com seus gestores, 
funcionários, parceiros e com a sociedade em que atua, focando esforços não apenas 
na maximização dos resultados entregues à população, mas também na redução dos 
riscos existentes ou que possam se manifestar no futuro, seja no aspecto ambiental, 
social ou econômico. 
Para que uma instituição seja reconhecida como exemplo de excelência em 
gestão, é necessário identificar os riscos que possivelmente a afetam, e quais são seus 
impactos sobre a organização e o ambiente em que atua. Afinal, os riscos permeiam 
todos os níveis das atividades dos órgãos públicos e, se não forem gerenciados 
adequadamente, poderão resultar em perdas que comprometerão o seu 
desenvolvimento e, consequentemente, a consecução dos seus objetivos. 
Devido à popularização dos riscos organizacionais, muitas obras surgiram a fim 
de conceituá-los, por isso, existe uma gama de compreensões sobre o tema. O 
dicionário Houaiss (2001) define o risco como “a probabilidade de insucesso, de 
malogro de determinada coisa, em função de acontecimento eventual, incerto, cuja 
ocorrência não depende exclusivamente da vontade dos interessados”. Para Brasiliano 
(2010), o risco é uma condição que cria ou aumenta o potencial de perdas. Este 
conceito foca o risco sob o aspecto negativo de seus impactos. Assim, risco é a 
possibilidade de perda decorrente de um determinado evento. Segundo Cocurullo 
(2003), um dos conceitos aplicáveis a risco encontra-se na existência de situações que 
possam impedir o alcance dos objetivos corporativos ou a inexistência de situações 
consideradas necessárias para se chegar a tais objetivos. Com isso, a visão do autor 
não limita o risco ao campo econômico, pois, no mundo corporativo, os objetivos são 
estabelecidos em diversos aspectos e devem ser alcançados por todas as áreas da 
organização. 
 
8
 
Assim, tem-se que o risco é toda inconformidade com os objetivos 
anteriormente traçados pela administração. De acordo com esses autores, o risco está 
ligado a eventualidades no ambiente organizacional com consequências altamente 
negativas em suas estratégias, sejam elas financeiras ou não financeiras. Desse modo, 
o gerenciamento de riscos torna-se perfeitamente aplicável à consecução das 
aquisições públicas, através da identificação, análise e mitigação das ameaças, 
assegurando, com isso, a proteção ao patrimônio público, ao bem-estar social e ao 
meio ambiente. 
 
Caso 1 - Acidente com o ônibus espacial Challenger 
 
O Challenger foi o terceiro de uma frota de cinco ônibus espaciais 
construídos pela NASA. Em 1986, o Challenger se envolveu em um 
acidente que vitimou os sete astronautas que estavam a bordo, explodindo em pleno 
ar, 73 segundos após o seu lançamento. O acidente aconteceu após seis adiamentos 
dos lançamentos, devido a problemas técnicos e instabilidades climáticas. Após tantos 
atrasos e indefinições quanto ao dia exato do início da missão, decidiu-se pelo 
lançamento do ônibus espacial em 28 de janeiro de 1986. Porém, na manhã do dia 28, 
verificou-se que a temperatura no Centro Espacial Kennedy estava muito baixa, não 
sendo ideal para o início da missão. De acordo com a equipe de engenheiros da NASA, 
as baixas temperaturas poderiam alterar o funcionamento dos anéis de vedação dos 
tanques de combustível da nave, trazendo sérios riscos à segurança do ônibus espacial. 
O fato foi relatado aos superiores, responsáveis pelo programa espacial, que 
negligenciaram o alerta e o lançamento seguiu adiante. Por conta das baixas 
temperaturas, os anéis de vedação se retraíram, causando vazamento de combustível 
e a consequente explosão da nave. Além das sete mortes, a tragédia trouxe diversos 
impactos negativos à NASA, tais como o atraso do projeto em 32 meses, a denúncia da 
NASA ao Congresso norte americano por negligência, milhões de dólares de prejuízo 
etc. Em resposta ao desastre, as políticas de segurança e gestão de riscos dos Estados 
Unidos passaram por avaliações e reformulações em seus processos. 
 
 
9
 
Caso 2 – Assalto ao Banco Central 
 
O furto ao Banco Central aconteceu na representação regional da 
instituição em Fortaleza/CE, entre os dias 6 e 7 de agosto de 2005. Os 
assaltantes escavaram um túnel de 80 metros de comprimento, ligando o local 
utilizado pela quadrilha à caixa forte do BC, com características de uma verdadeira 
obra de engenharia. No evento, foram subtraídos 164 milhões de reais, tornando-se, 
assim, o maior assalto a banco do Brasil e o segundo maior do mundo. 
Após os graves impactos negativos trazidos pela concretização do risco de 
assalto à caixa forte, como o dano financeiro e a fragilização da imagem institucional 
perante a sociedade, o BC promoveu uma série de mudanças em sua estrutura 
organizacional relacionadas à gestão de riscos, segurança e continuidade de negócios. 
Essas ações envolveram a modelagem de processos internos, a readequação da 
infraestrutura dos edifícios-sede e a contratação, treinamento e desenvolvimento de 
servidores em áreas específicas. 
Além dos casos acima, pode-se verificar algumas outras situações em que a 
gestão de riscos não foi adotada da forma adequada, trazendo grandes prejuízos 
financeiros, como no caso do Banco do Brasil, que foi penalizado pelo CADE por exigir, 
de forma ilícita (risco legal), exclusividade em contratos de crédito consignado, e da 
Caixa Econômica Federal, que sofreu perdas financeiras imensas devido a fraudes nos 
contratos de crédito imobiliário (risco operacional). 
 
1
0
 
 
RISCOS: DEFINIÇÕES, PILARES, GESTÃO, TIPOS, PROCESSO DE 
GESTÃO DE RISCOS 
 
DEFINIÇÕES 
No âmbito organizacional, o risco pode ser subdividido em dois tipos 
clássicos (dualidade do risco): risco estratégico e risco operacional. 
 
 
 
 
 
 
 
 
 
 
 
 
 Fonte: Banco Central do Brasil 
 
Os riscos estratégicos foram definidos como os riscos internos ou externos, que 
podem ocorrer tanto na definição como na implementação da estratégia e com 
potencial para alterar significativamente a posição competitiva da organização 
(Resolução BCB nº 3380/2006). Esses riscos encontram-se intrinsicamente ligados à 
missão e visão organizacionais, sendo de responsabilidade da alta direção, que deverá 
tomar as decisões necessárias no que se refere ao gerenciamento de riscos. Com isso, 
a entrega dos produtos e/ou serviços aos cidadãos acaba sendo prejudicada, além de 
comprometer o desenvolvimento organizacional, caso o risco não seja mitigado. Dessa 
forma, os impactos gerados provavelmente prejudicarão o atingimento dos objetivos 
institucionais e, consequentemente, a sobrevivência do órgão. No que tange às 
 
1
1
 
aquisições públicas, os riscos estratégicos internos podem ser refletidos, por exemplo, 
nas compras realizadas com custo acima do praticado pelo mercado, como também 
aquisições desnecessárias ao atingimento dos objetivos estratégicos, impactando 
diretamente no orçamento do órgão, implicando em desperdício de dinheiro público e 
ineficiência da gestão. No caso dos riscos estratégicos externos, tem-se como exemplo 
o risco de contingenciamento orçamentário, que poderá trazer mudanças significativas 
para as compras públicas, que terão de ser priorizadas de acordo com o planejamento 
estratégico, tendo em vista a limitação dos recursos disponíveis. 
Já o risco operacional é estabelecido como a possibilidade de ocorrência de 
perdas resultantes de falha,deficiência ou inadequação de processos internos, pessoas 
e sistemas, ou eventos externos, incluindo o risco legal (Resolução BCB nº 3380/2006). 
Esse tipo de risco está relacionado aos processos organizacionais executados pelos 
colaboradores responsáveis pelas atividades cotidianas das instituições, como é o caso 
das licitações públicas. O risco operacional está presente no dia a dia dos setores de 
licitações e contratos e precisam ser gerenciados de forma a criar ações de defesa 
quanto a possíveis ameaças. Os impactos trazidos por esses riscos referem-se a 
processos de trabalho mal elaborados ou inexistentes, recursos humanos escassos ou 
sem capacitação, sistemas de tecnologia da informação inadequados às necessidades 
dos usuários ou com infraestrutura precária, além do contexto externo instável, como 
crises econômicas e políticas, que podem trazer alterações legais e organizacionais, 
tais como redução de pessoal, extinção de departamentos e órgãos, remoção de 
servidores, restrição orçamentária etc. Por isso, esses riscos precisam ser 
acompanhados de forma ininterrupta, desde o planejamento da aquisição até a 
execução do contrato, objetivando a melhoria contínua dos processos e práticas 
ligados às compras públicas. 
 
PILARES 
Diariamente, as pessoas deparam-se com inúmeros riscos e, 
inconscientemente, realizam a análise e fazem o gerenciamento 
destes riscos. Esse gerenciamento é baseado em dois pilares 
fundamentais para a existência de qualquer risco, quais sejam: probabilidade e 
 
1
2
 
impacto. A probabilidade nada mais é do que a possibilidade de materialização de 
determinado risco. Por exemplo, qual seria a chance de um banhista ser atacado por 
um tubarão durante um mergulho na praia de Boa Viagem, em Recife/PE? Seria uma 
probabilidade alta, média ou baixa? Por sua vez, o impacto se refere ao grau de 
prejuízo causado pela materialização do risco, podendo ser de natureza financeira, 
reputacional, ambiental, humana, dentre outras. No caso do ataque de tubarão, o 
impacto poderia ser leve, médio, grave ou gravíssimo, dependendo do tipo de sequela 
sofrida pelo banhista. A medida que deve ser tomada para que a probabilidade de 
acontecimento seja reduzida e, consequentemente, o impacto não se efetive, é 
chamada de mitigação. A ação de mitigação do risco deve considerar a relação 
probabilidade versus impacto, adotando-se medidas que reduzam a possibilidade de 
acontecimento, como também o grau de impacto. Ao se refletir sobre o caso do 
ataque de tubarão, o ideal seria a mitigação total do risco, evitando-se o mergulho. 
Assim, a probabilidade de ataque seria nula e, logicamente, o impacto também. 
 
 
 
 
 
 
 
 
 
 
 
 
 
Fonte: blogdafloresta.com.br Fonte: anda.jor.br 
 
 
 
 
 
1
3
 
 
GESTÃO DE RISCOS 
Na análise específica das aquisições públicas, a gestão de riscos 
assume a função de proteção dos recursos humanos, materiais e da 
imagem organizacional referentes aos processos de contratações 
públicas, através da mitigação dos riscos, conforme seja financeiramente mais viável, 
evitando perdas. Sendo assim, ao gerir os riscos de um processo de contratação 
pública, procura-se garantir que os agentes públicos se resguardem quanto a possíveis 
falhas ou vulnerabilidades, seja no planejamento do bem ou serviço a ser adquirido, 
seja na execução e fiscalização do contrato administrativo. Outro ponto importante 
que deve ser observado é a salvaguarda dos recursos materiais, que serão mais bem 
aplicados através de uma gestão de riscos bem elaborada, em que se defina a real 
necessidade de determinada aquisição ou contratação de serviço, garantindo uma 
melhor utilização do dinheiro público. Tão importante quanto a proteção de recursos 
humanos e materiais é a preservação da imagem da instituição pública. A partir do 
momento que um ente público passa a gerir seus riscos de forma proativa e contínua, 
os processos organizacionais tornam-se cada vez mais eficazes, eficientes e efetivos. 
Essas três qualidades transformam positivamente a instituição pública, deixando-a 
mais confiável, respeitada e madura perante a sociedade e a administração pública. 
Dentre os benefícios trazidos pela gestão de riscos nas contratações públicas, 
pode-se destacar quatro pontos que agregam valor à organização como um todo. O 
primeiro ponto é a proatividade na identificação e estudo de ameaças, que permite 
que a instituição se antecipe aos possíveis gargalos que venham impactar 
negativamente seus processos de trabalho. O segundo ponto se refere à transparência 
nas decisões de alocação de recursos: à medida que a gestão de riscos acontece, as 
causas dos problemas são apresentadas claramente e os planos de ação passam a ser 
elaborados de forma mais criteriosa e consciente, inclusive quanto à gestão 
orçamentária. Já o terceiro ponto tem como foco a preparação da organização para 
enfrentar as surpresas em um ambiente de contínua mudança. É sabido que a 
globalização, ao mesmo tempo que integra os quatro cantos do mundo, também 
impõe desafios às pessoas e organizações. Dessa forma, a gestão de riscos é aplicada 
 
1
4
 
no intuito de se aproveitar o que o mundo globalizado tem a oferecer, como inovação 
tecnológica, produtos e serviços sustentáveis, equipamentos mais eficientes. Porém, 
também serve para antecipar ameaças trazidas por esse contexto global, como 
escassez de recursos, crises econômicas, ataques cibernéticos etc. Por fim, o quarto 
ponto trata da melhoria dos padrões de governança corporativa. O tópico sobre 
governança será aprofundado mais adiante, porém, é importante entender que o 
gerenciamento de riscos faz com que a organização seja mais transparente em suas 
ações, trate seus stakeholders com igualdade e respeito, fomente a responsabilidade 
corporativa e estabeleça regras para a prestação de contas dos gestores públicos, 
tornando a administração pública mais eficiente, equilibrada, íntegra e comprometida 
com o atendimento do bem comum. 
 
TIPOS DE RISCOS 
De acordo com a doutrina, os riscos podem ser classificados em cinco 
tipos, que vão sendo diferenciados a partir da elevação do grau de 
criticidade dentro de determinado processo organizacional. O 
primeiro tipo de risco é chamado de Aceitável. Esse risco se refere a situações que não 
necessitam de medidas específicas para serem tratados, pois são parte integrante do 
processo. São os riscos inerentes à existência do trabalho. Como exemplo, pode-se 
citar o risco de o pregoeiro adoecer e não comparecer ao certame licitatório, 
provocando o adiamento de sua abertura. O risco Tolerável é o segundo tipo a ser 
estudado. Nesse caso, ações preventivas ainda não precisam ser adotadas. No entanto, 
devem ser consideradas soluções mais rentáveis ou melhorias que não impliquem uma 
carga econômica importante, como realização de um up grade no sistema de 
informática ou a troca dos computadores por modelos mais modernos. Partindo para o 
terceiro risco, tem-se o tipo Moderado, que, ao ser identificado, demanda um esforço 
para sua mitigação em uma determinada data limite (deadline). Ainda pensando em 
sistemas informatizados, tem-se como exemplo a necessidade de atualização da 
licença do sistema operacional utilizado pela instituição pública, que, se não for 
concretizada, deixará os computadores indisponíveis para utilização. Com um grau de 
criticidade mais elevado, o risco Importante é o quarto tipo a ser analisado. Nesse 
 
1
5
 
contexto, as atividades não devem ser iniciadas até que se tenha reduzido o risco. 
Podem ser necessários recursos consideráveis para se controlar a ameaça. Seria o 
caso, por exemplo, da necessidade de transferência de dados atravésde uma rede 
criptografada. Se a criptografia não tem como ser garantida, não há que se falar em 
transferência de dados até que uma solução seja encontrada. Por fim, o risco 
Intolerável é aquele que não tem como ser mitigado, mesmo utilizando recursos 
ilimitados e, assim, a atividade deve ser eliminada do processo. Para exemplificar tal 
situação, pode-se prospectar um cenário de contingência orçamentária em que não 
seria possível honrar o pagamento de determinada compra pública. Ora, se não há 
recursos financeiros disponíveis, também não há como prosseguir com um 
procedimento licitatório lícito, e o correto a se fazer é interromper o processo de 
aquisição o quanto antes. 
 Apesar da academia definir categoricamente esses cinco tipos de riscos, a 
Instrução Normativa no 05, de 2017 do Ministério do Planejamento – IN 05/2017 – 
MPDG, em seu art. 25, inciso III, diz que o risco a ser tratado é aquele considerado 
Inaceitável. Então, percebe-se que a IN 05/2017 equiparou o risco Inaceitável ao tipo 
de risco classificado como Importante pela doutrina. 
 
PROCESSO DE GESTÃO DE RISCOS 
Após entender o conceito de gestão de riscos e os tipos de riscos 
existentes, é hora de mergulhar no processo de gestão de riscos. As 
teorias administrativas definem Processo como uma série contínua de 
etapas que seguem uma sequência lógica e entregam um produto ou serviço ao final 
de cada ciclo. Pois bem, no processo de gestão de riscos não é diferente, sendo 
formado por quatro etapas básicas, conforme indicado abaixo: 
1) Identificação dos Riscos; 
2) Análise dos Riscos; 
3) Avaliação dos Riscos; 
4) Tratamento dos Riscos. 
 
 
1
6
 
Sendo assim, o processo de gerenciamento de riscos é a sistemática aplicação 
da política de gestão de riscos, que, por sua vez, define procedimentos e práticas das 
atividades de comunicação, identificação, análise, avaliação, tratamento, 
monitoramento e revisão dos riscos, como se pode observar na ilustração a seguir: 
 
 
 
 
 
 
 
 
 
Fonte: researchgate.net 
 
 
O fluxo continuado do processo de gerenciamento de riscos precisa estar 
alicerçado em uma sólida estrutura de governança corporativa. Portanto, é 
imprescindível que todas as pessoas da organização, nos níveis estratégico, tático e 
operacional possuam o entendimento sobre os conceitos de risco e se comprometam 
a aplicá-los em suas atividades laborais. Para que isso aconteça da melhor maneira, os 
processos organizacionais precisam estar bem modelados em todas as áreas, inclusive 
no setor de compras públicas. Com os recursos humanos capacitados e os processos 
de trabalho ajustados, resta implementar uma infraestrutura tecnológica que dê 
suporte às necessidades do serviço, como uma boa rede de internet, sistemas de TI 
integrados, computadores com bom desempenho, rede de energia elétrica 
estabilizada etc. Com esses requisitos atendidos, as ferramentas de gerenciamento de 
riscos poderão ser aplicadas de forma precisa e os resultados adequadamente 
alcançados. 
O grande desafio para a implementação da gestão de riscos nas organizações, 
sejam elas públicas ou privadas, é a quebra de paradigma, com a transição de uma 
visão tradicional, em que se busca a todo custo evitar o risco, para uma visão 
emergente em que o objetivo não é evitar o risco, mas sim otimizá-lo. Em um cenário 
 
1
7
 
global de constante mudança, a exposição ao risco deixa de ser plenamente conhecida, 
exigindo que os gestores monitorem as ameaças em tempo real. O ambiente 
organizacional não é mais tão seguro e mensurável. Isso exige medidas de 
mapeamento e monitoramento que envolvam toda a companhia e façam com que ela 
administre os riscos proativamente. 
Nesse contexto, verifica-se que as ameaças às instituições se originam das mais 
variadas fontes, podendo ser ameaças humanas (roubo, fraude, terrorismo, 
negligência, imperícia), ameaças tecnológicas (invasão de sistemas, falta de energia 
elétrica), como também ameaças legais (não cumprimento de leis, inovação 
legislativa). Por conta disso, é fundamental que os gestores e agentes públicos 
responsáveis pelas contratações públicas estejam preparados para identificar fontes 
de perigo em suas rotinas, tomando as seguintes providências iniciais: 
a. Conhecer seu local de trabalho e observar suas fragilidades; 
b. Consultar os colegas de trabalho sobre os problemas que lhes tenham surgido; 
c. Analisar sistematicamente o que se passa realmente no seu local de trabalho; 
d. Analisar as operações não rotineiras e intermitentes. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
1
8
 
 
 
 
 
 
 
 
OBJETIVOS INSTRUCIONAIS 
a) Conhecer as principais normas internacionais que regulamentam a gestão 
de riscos no mundo, COSO-ERM e ISO 31.000, seus princípios, processos, 
estrutura e benefícios; b) Compreender o caso do Banco Central, 
entendendo como se deu a implantação da Gestão de Riscos na autarquia 
federal; c) Conhecer os conceitos de Governança Corporativa, seus 
princípios, objetivos, sistema de funcionamento e sua relação com a gestão 
de riscos. 
 
PRINCIPAIS TÓPICOS 
Normas de referência para a gestão de riscos; Norma COSO Enterprise Risk 
Management – COSO-ERM (2004 e 2017), conceitos, filosofia, estrutura e 
benefícios; ISO 31000:2018, conceitos, princípios, estrutura, processos e 
benefícios; Governança Corporativa: conceitos, princípios, objetivos, relação 
entre a prática da Governança e a Gestão de Riscos. 
 
 
 
 
 
 
 
 
 
Parte II 
 
1
9
 
 
NORMAS INTERNACIONAIS SOBRE GESTÃO DE RISCOS 
De acordo com Brasiliano (2009), a norma é um documento 
estabelecido pelo consenso de especialistas das mais diversas áreas e 
segmentos do mercado sobre determinado tema, que precisa ser 
aprovado por um organismo reconhecido nacional ou mundialmente, e que tenha 
como competência institucional a manutenção e atualização de normas técnicas, seja 
numa perspectiva regional ou global. A norma fornece regras, diretrizes ou 
características para atividades ou seus resultados, visando ao atingimento de um grau 
de excelência nos processos organizacionais inseridos em certo contexto. 
Historicamente, as normas surgiram por conta da necessidade de se dar mais 
qualidade aos serviços prestados pelo Exército dos Estados Unidos. A norma da 
qualidade do exército americano sofreu várias atualizações, até que em 1987, foi 
lançada a ISO 9001, norma internacional da qualidade. Quanto às normas que tratam 
da gestão de riscos, a COSO-ERM (Enterprise Risk Management) e a ISO 31000 são as 
mais utilizadas em todo o mundo na orientação e regulação das ações tomadas pelos 
gestores de riscos. Devido ao seu nível de alcance, passaram a ser conhecidas como 
“normas guarda-chuva”, dando suporte aos demais documentos que também tratam 
do tema, e sendo aplicadas aos mais diversos tipos de riscos, tais como o risco 
financeiro, operacional, de projetos, da saúde do trabalhador, ao meio ambiente, à 
segurança da informação, da segurança empresarial, entre outros. 
 
COSO-ERM (ENTERPRISE RISK MANAGEMENT) 
O COSO (Committee of Sponsoring Organizations of the Treadway 
Commission) é uma organização privada americana, criada na década 
de 80, que tem por objetivo prevenir fraudes nos processos 
organizacionais. O primeiro objeto de estudo do comitê foram os controles internos 
das empresas com foco na melhoria dos relatórios financeiros, principalmente pela 
aplicação dos valores éticos nas práticas institucionais. Em 2004, o COSO publicou 
o Enterprise Risk Management - integrated framework, que foi projetado com o 
 
2
0
 
objetivo de orientar as organizações no estabelecimento de um processo de gestão de 
riscos corporativos e na aplicação de boas práticas sobre o tema (Portal TCU). A nova 
versão, COSO ERM – Integrating with Strategy and Performance, editada em 2017, 
destaca a importância de considerar os riscos tanto noprocesso de estabelecimento 
da estratégia quanto na melhoria da performance (Portal TCU). Percebe-se, portanto, 
que a evolução da norma COSO trouxe a reboque uma preocupação não apenas com a 
aplicação das boas práticas na execução do trabalho, mas também com o 
planejamento estratégico das organizações. Esse entendimento se insere 
perfeitamente no âmbito das aquisições públicas, tendo em vista que a IN 05/2017 
dispõe que a gestão de riscos deve estar presente em todas as fases das contratações, 
do planejamento ao encerramento do contrato administrativo. 
 A partir do momento que a norma COSO-ERM passa a dar maior relevância ao 
planejamento institucional, ela passa a estabelecer quatro tópicos que precisam ser 
supervisionados continuamente pela alta gestão organizacional: 
• A filosofia de risco da entidade e o apetite ao risco da entidade; 
• O portfólio de risco da entidade e a sua relação quanto ao apetite ao risco da 
entidade; 
• Os riscos mais significativos e a resposta adequada a esses riscos; 
• A eficácia do gerenciamento dos riscos corporativos. 
 
A filosofia de risco refere-se ao entendimento da organização quanto ao tema 
risco. Procura-se verificar o quão madura é a instituição em relação ao conhecimento 
dos riscos a que está exposta e suas respectivas ações mitigadoras. Será que 
determinada instituição pública possui uma relação atualizada das ameaças que 
podem impactar negativamente o seu desenvolvimento? Caso possua, existem planos 
de ação definidos para o tratamento de cada ameaça encontrada? Será que a gestão 
de riscos está presente na cultura organizacional? Essas são as questões que precisam 
ser levantadas para que se entenda a filosofia de risco presente em cada ente da 
administração pública. Por sua vez, o apetite ao risco define um limite para que a 
organização passe a atuar na mitigação daquela ameaça. Quanto mais avessa ao risco, 
menor será o apetite da instituição a qualquer situação que possa comprometer seu 
 
2
1
 
desempenho, seu corpo funcional e sua imagem. Um exemplo claro de apetite ao risco 
pode ser percebido ao se analisar o perfil de dois investidores financeiros. Aquele com 
menor apetite ao risco irá procurar opções de investimento mais seguras, mesmo que 
proporcionem retornos bem menos significativos, enquanto o investidor com maior 
apetite ao risco irá se expor mais, aumentando a probabilidade de sofrer um maior 
impacto negativo, porém com benefícios mais atraentes. Na administração pública, 
observa-se, de um modo geral, grande aversão ao risco, afinal, os recursos geridos 
pertencem ao contribuinte e necessitam ser bem alocados. Além disso, a extensa 
legislação vigente procura controlar toda e qualquer ação governamental em prol de 
uma gestão pública de excelência, tanto em relação aos seus valores éticos quanto aos 
resultados alcançados. 
É através de uma filosofia de risco bem definida que a instituição pública irá 
definir o seu apetite ao risco e, consequentemente, iniciar um processo de 
gerenciamento de riscos mais sólido. O primeiro passo, então, é identificar os riscos 
que possivelmente possam atingi-la, criando um portfólio de riscos, que precisará ser 
revisado e alimentado ininterruptamente. Ao se estabelecer a relação de riscos 
organizacionais, os gestores necessitam definir quais são os riscos de maior relevância, 
associando cada um deles a ações mitigadoras adequadas aos seus tratamentos. Assim 
que os planos de ação forem colocados em prática, a gestão pública estará preparada 
para alcançar níveis de eficácia mais elevados, atingindo, então, os objetivos 
anteriormente planejados. 
Seguindo esse raciocínio, a COSO-ERM diz que o gerenciamento de riscos 
corporativos é um processo, construído pela diretoria da entidade, sua alta gestão, e 
demais funcionários, aplicado no cenário estratégico e em toda a empresa, projetado 
para identificar eventos com potencial de afetar a entidade, e gerir o risco dentro do 
apetite de risco, para fornecer uma garantia razoável em relação à realização dos 
objetivos. 
 
 
2
2
 
ISO 31000:2018 
Em 2009, a ISO 31000 surgiu com o objetivo de criar um padrão 
internacional para a gestão de riscos corporativos, tendo sido 
publicada no Brasil sob o nome ABNT NBR ISO 31000:2009 Gestão de 
riscos – Princípios e diretrizes (Portal TCU). Em 2018, a ISO 31000 foi 
revisada e seu conteúdo foi totalmente substituído pela nova versão, incluindo as 
etapas relativas às atividades de comunicação e consulta, ao estabelecimento do 
contexto, tratamento dos riscos (identificar, analisar e avaliar os riscos), uma etapa 
relativa ao monitoramento e, por fim, registro e relato dos riscos. 
A ISO 31000:2018 está balizada em três pilares de sustentação, que são seus 
princípios, estrutura e processos. 
São 9 os princípios trazidos pela ISO 31000:2018, tendo como princípio central 
a criação e proteção de valor, como se pode observar na Figura abaixo: 
 
 PRINCÍPIOS 
 
 
 
 
 
 
 
 
 
 
 
Fonte: Projeto de revisão ABNT NBR ISO 31000:2018 
 
 
 
 
 
2
3
 
Ao lançar mão da gestão de riscos de acordo com os princípios traçados pela 
norma 31000, a organização tende a criar valor organizacional, ou seja, tende a fazer 
com que os seus recursos humanos se tornem mais capacitados e produtivos, seus 
processos fiquem mais robustos e condizentes com as demandas organizacionais e sua 
infraestrutura dê o suporte necessário à produção de produtos e serviços de 
qualidade. Para que isso realmente aconteça, é necessário que a gestão de riscos se 
torne parte integrante de todos os processos organizacionais, como também seja uma 
ferramenta de apoio a todas as tomadas de decisão, garantindo maior assertividade 
aos gestores. Com a prospecção de cenários advinda da gestão de riscos, o ente 
público abordará explicitamente as incertezas ambientais e estará mais bem 
preparado para enfrentá-las num mundo de contínua mudança. Todas essas ações 
precisam funcionar de maneira sistemática, estruturada e oportuna, em que as 
atividades estejam interligadas, com as etapas bem definidas e sendo aplicadas nos 
momentos ideais. Para que os riscos sejam corretamente geridos, é fundamental que o 
levantamento de dados seja preciso e criterioso, pois, assim, as decisões serão 
tomadas levando em consideração as melhores informações possíveis, o que elevará o 
seu grau de acerto. Cada risco precisa ser tratado de maneira específica, de acordo 
com o contexto em que está inserido. Esse trabalho exige que as pessoas 
compreendam a importância da gestão de riscos e percebam que o risco é parte 
integrante da cultura organizacional, devendo ser identificado, analisado e tratado 
com transparência e interatividade. Todos esses princípios reunidos e aplicados 
corretamente fazem com que se estabeleça um padrão de melhoria contínua na 
administração pública de um modo geral e, pontualmente, nas compras públicas. 
Como visto, torna-se imprescindível que os princípios elencados pela ISO 31000 
sejam realmente aplicados para que a instituição atinja seus objetivos com maior nível 
de qualidade. A aplicação desses princípios depende de uma estrutura formal 
estabelecida pela alta gestão, demonstrando que há o comprometimento da diretoria 
com a concepção e implementação da gestão de riscos e que esse processo deve ser 
avaliado e melhorado continuamente por todos os colaboradores. 
 
 
 
2
4
 
 
ESTRUTURA 
 
 
 
 
 
 
 
 
 
 
 
 Fonte: Projeto de revisão ABNT NBR ISO 31000:2018 
 
 
O processo de gestão de riscos, conforme definido pela ISO 31000, segue as 
etapas clássicas de identificação, análise, avaliação e tratamento dos riscos, conforme 
indica a ilustração a seguir: 
 
 PROCESSO 
 
 
 
 
 
 
 
 
 
 
Fonte: Projeto de revisãoABNT NBR ISO 31000:2018 
 
2
5
 
Além das quatro etapas anteriormente citadas, o ciclo do processo de gestão 
de riscos determina que o primeiro passo se dá com o estabelecimento do contexto 
em que a organização está inserida: trata-se de um ente público ou privado? Sendo um 
ente público, pertence a que esfera de governo? O risco a ser analisado é estratégico 
ou operacional? Essas e outras perguntas precisam ser feitas para se definir em que 
situação o risco está inserido. Outro ponto de bastante relevância refere-se à 
comunicação e consulta. De acordo com a NBR ISO 31000:2018, essa etapa visa a 
reunir diferentes áreas de especialização para que contribuam com a gestão de riscos, 
assegurar que diferentes pontos de vista sejam considerados nos estudos dos riscos, 
fornecer informações suficientes para a tomada de decisão, e também construir um 
senso de inclusão entre os participantes possivelmente afetados pelos riscos 
organizacionais. Quanto ao monitoramento e análise crítica, busca-se assegurar que 
todas as etapas foram bem executadas e que, dessa forma, os resultados serão 
alcançados. Essa etapa deve ser executada durante todo o processo de gestão de 
riscos, pois assim as inconsistências podem ser ajustadas de imediato e o curso das 
ações redirecionado. Após todas as medidas serem tomadas, faz-se necessário 
documentar o processo de gestão de riscos e seus resultados para que, além de servir 
como fonte de pesquisa, demonstrem os resultados alcançados. A ISO 31000 diz que o 
relato é parte integrante da governança corporativa, ajuda a melhorar o diálogo entre 
os stakeholders e também auxilia a alta direção a cumprir suas responsabilidades. 
A ISO 31000:2018 elenca os seguintes benefícios, que nada mais são do que 
reflexo de sua correta implementação: 
➢ Redução de surpresas; 
➢ Melhoria da identificação de oportunidades e ameaças; 
➢ Melhoria do planejamento, desempenho e eficácia; 
➢ Economia e eficiência; 
➢ Melhoria das relações com as partes interessadas; 
➢ Melhoria das informações para a tomada de decisões; 
➢ Melhoria no processo de prevenção de perdas; 
➢ Atendimento aos documentos normativos; 
➢ Melhoria dos controles; 
 
2
6
 
➢ Tomada de decisão baseada em riscos; 
➢ Melhoria do processo de aprendizagem organizacional; 
➢ Aumento da resiliência da organização; 
➢ Encorajamento para uma gestão proativa; 
➢ Melhoria na governança corporativa. 
 
 
GOVERNANÇA CORPORATIVA 
A Governança Corporativa é o conjunto de práticas que tem a 
finalidade de otimizar o desempenho de uma companhia ao proteger 
todas as partes interessadas (investidores, empregados e credores, 
entre outros), facilitando o acesso ao capital (CVM, 2002). Conforme o Instituto 
Brasileiro de Governança Corporativa (IBGC), os princípios e práticas da boa 
Governança Corporativa aplicam-se a qualquer tipo de organização, 
independentemente do porte, natureza jurídica ou tipo de controle, adaptável a 
outros tipos de organizações, como, por exemplo, os órgãos governamentais. No 
Brasil, mas especificamente no setor público brasileiro, a governança começou a ser 
implementada em 1995, com o surgimento da Administração Pública Gerencial ou 
Nova Gestão Pública (New Public Management-NPM). Entre outras ações, essa 
abordagem introduziu a governança na gestão pública federal com o objetivo 
primordial de reduzir custos, garantindo maior eficiência à máquina pública, através de 
medidas como a terceirização de mão de obra, privatizações, contratos de gestão e 
parcerias público-privadas. Tudo isso associado aos princípios basilares da Governança 
Corporativa: transparência, equidade, responsabilidade corporativa e prestação de 
contas. 
Para que a real importância da governança seja assimilada e sua relação com a 
gestão de riscos nas contratações públicas seja compreendida, é preciso que algumas 
perguntas iniciais sejam respondidas. 
 
 
 
 
2
7
 
O QUE ESPERAMOS QUE AS PESSOAS FAÇAM NAS EMPRESAS? 
Quando uma empresa, seja pública ou privada, realiza um processo de 
recrutamento e seleção, ela busca pessoas que possuam 
determinadas competências técnicas, como também certas 
características comportamentais. Isso se deve à necessidade de que esses 
colaboradores tomem as melhores decisões possíveis para o negócio e que cumpram 
as regras estabelecidas pelos regulamentos internos e pela legislação vigente, além do 
respeito aos princípios éticos. É sabido que as melhores decisões são aquelas que 
agregam maior valor para a organização, dentre um conjunto de opções disponíveis, 
deixando-a mais eficiente, competitiva e acreditada. 
Como já visto anteriormente, para que os gestores e agentes públicos possam 
ser assertivos em suas escolhas, faz-se necessário que as informações obtidas sejam 
precisas e reflitam a realidade do contexto organizacional e do ambiente em que a 
organização encontra-se inserida. As decisões precisam ser inteligentes e baseadas em 
diagnósticos confiáveis. 
 
POR QUE AS PESSOAS, MUITAS VEZES, NÃO TOMAM AS MELHORES 
DECISÕES EM SUA ATUAÇÃO COMO GESTORES, CONSELHEIROS OU 
EXECUTIVOS? 
Há vários motivos para que as pessoas não tomem as decisões mais 
acertadas no ambiente de trabalho. Um desses motivos é o conflito de 
interesses entre acionistas e gestores, conhecido como Conflito de Agência. Nessa 
situação, existe um confronto entre os objetivos organizacionais e os objetivos 
individuais dos gestores. Geralmente, quando os gestores são remunerados em função 
do desempenho obtido, suas ações tendem a priorizar resultados de curto prazo, que 
proporcionem ganhos financeiros como participação nos lucros e bônus salariais, em 
detrimento aos resultados organizacionais de longo prazo. 
Outro motivo bastante comum que leva os executivos a tomarem decisões 
equivocadas é a falta de conhecimento sobre as atividades a serem desempenhadas. 
Muitas vezes, os gestores são promovidos rapidamente e alcançam cargos que exigem 
competências ainda não desenvolvidas por eles. Esse conceito é nomeado como 
Princípio de Peter ou Princípio da Incompetência, e tem como consequência as falhas 
 
2
8
 
nas tomadas de decisão, o não atingimento dos objetivos organizacionais e o 
consequente desligamento do colaborador responsável. 
Para finalizar essa questão, os gestores também acabam escolhendo soluções 
inadequadas por acreditarem fielmente que sabem o que estão fazendo, mas, na 
realidade, não sabem. Esses vieses cognitivos distorcidos acabam causando uma 
miopia gerencial, levando o gestor a enxergar as demandas de forma inapropriada, 
que, por sua vez, levam a decisões insatisfatórias e prejudiciais aos anseios 
institucionais. 
 
COMO SE INSERE A GOVERNANÇA CORPORATIVA DE ACORDO COM 
A VISÃO TRADICIONAL? 
A visão tradicional define a governança como sendo um conjunto de 
mecanismos de incentivo e controle, internos ou externos, que visam 
a fazer com que as pessoas tomem as melhores decisões para a organização, sempre 
cumprindo as regras e regulamentos estabelecidos por seus processos e políticas, 
conduta tipicamente associada ao modelo burocrático da administração. Nesse 
prisma, os mecanismos de incentivo são estabelecidos com foco na remuneração, 
avaliação de desempenho, meritocracia etc., o que traz resultados justos aos gestores, 
tendo em vista que suas recompensas estão atreladas ao sucesso de suas ações. Ao 
mesmo tempo em que os executivos e demais colaboradores executam suas tarefas, a 
organização adota medidas de controle que garantam o monitoramento dos processos 
e a adoção de possíveis ajustes. Entre os mecanismos de controle mais empregados, 
pode-se citar a gestão de riscos, a auditoria interna, o Compliance, a elaboração de 
relatórios periódicos e a supervisão do conselho de administração. 
 
O QUE ESTÁ POR TRÁS DA VISÃO TRADICIONAL SOBRE 
GOVERNANÇA CORPORATIVA? 
A ideia ortodoxa de que o indivíduo trabalha baseado apenas em 
incentivos epunições está presente na visão tradicional da 
governança. Mesmo com a evolução das teorias administrativas a respeito dos fatores 
motivacionais nas organizações, esse paradigma continua presente na mentalidade 
 
2
9
 
dos gestores. Atrelada aos incentivos está a concepção de que os colaboradores só 
adotam um comportamento ético e comprometido com a organização por conta do 
receio de possíveis retaliações e punições. Isso acaba por acarretar um clima 
organizacional desfavorável ao bom desempenho, criando um ambiente competitivo, 
desgastante, com alto índice de absenteísmo e difícil de ser administrado no longo 
prazo. 
 
A MERA IMPLANTAÇÃO DE MECANISMOS DE INCENTIVO E 
CONTROLE É SUFICIENTE PARA GARANTIR QUE AS INSTITUIÇÕES 
SEJAM BEM GOVERNADAS AO LONGO DO TEMPO? 
Na realidade, os mecanismos de incentivo e controle funcionam como 
balizadores das ações organizacionais, mas não garantem que as 
organizações serão à prova de fraudes e desvios funcionais. Conforme abordado no 
início deste curso, pode-se perceber diversos colapsos acontecidos com empresas que, 
aparentemente, possuíam bons mecanismos de governança corporativa. A grande 
questão é que muitas instituições utilizam a governança apenas como uma lista de 
itens a serem cumpridos diariamente, focando apenas nos processos e esquecendo 
dos resultados efetivos. Em situações assim, a preocupação dos colaboradores está 
apenas em cumprir as etapas de determinada atividade, direcionando os esforços para 
os meios e deixando os fins em segundo plano. 
 
ENTÃO, O QUE FALTA PARA ASSEGURAR QUE AS INSTITUIÇÕES 
SEJAM BEM GOVERNADAS? 
As organizações são formadas por pessoas e para pessoas. Por 
conseguinte, para que as instituições sejam bem governadas, faz-se 
necessário valorizar o fator humano, afinal, são os colaboradores que dão vida às 
empresas e contribuem para o crescimento e desenvolnvimento institucional. Sendo 
assim, o trabalho de conscientização das pessoas quanto ao comprometimento com a 
instituição, com os processos, com os valores, precisa ser realizado continuamente, 
demonstrando que elas são a peça chave para o alcance dos objetivos traçados, e que 
esses objetivos organizacionais estão alinhados aos objetivos pessoais de cada um. A 
 
3
0
 
direção da organização precisa compreender as motivações psicológicas que levam as 
pessoas a cumprir e descumprir regras e procedimentos. É importante que a alta 
administração patrocine as inovações e modelos de gestão implantados na 
organização, como a gestão de riscos, dando sustentabilidade e credibilidade ao 
trabalho desenvolvido pelo corpo funcional. Uma ferramenta administrativa 
extremamente útil é a gestão de desempenho, em que metas individuais são traçadas 
em comum acordo entre a chefia e subordinados, prazos são definidos e os resultados 
monitorados pontualmente. Aliada à gestão de desempenho, está a gestão por 
competências, que serve para identificar os conhecimentos, habilidades e atitudes dos 
gestores e demais colaboradores, no intuito de alocar os profissionais em posições 
estratégicas, de acordo com suas capacidades técnicas e comportamentais. A gestão 
por competências, além de servir como ferramenta para alcance de resultados, 
também serve como ferramenta motivacional, já que os profissionais serão 
aproveitados em funções correlatas às suas formações acadêmicas e em áreas de seu 
interesse. 
 
CONCLUSÃO - O que significa uma empresa bem governada? 
Do ponto de vista interno, são as organizações cujas decisões são 
tomadas visando à orientação para o longo prazo, alinhadas ao 
planejamento estratégico, e nas quais as pessoas estão motivadas, 
cumprem as regras porque acreditam nelas e se comportam de forma ética, 
preservando os valores institucionais. 
Do ponto de vista externo, são as organizações que adotam a gestão 
transparente – aumentando o conforto dos stakeholders – e asseguram aos gestores a 
capacidade de tomar decisões de forma assertiva e legítima, embasadas em 
informações precisas e confiáveis. 
Trata-se de um contexto multidimensional, cujo atendimento pleno depende 
do contexto social criado por suas lideranças, da efetividade dos mecanismos de 
incentivo e controle (ferramentas administrativas) e das melhores práticas adotadas 
por seus gestores e colaboradores. 
 
3
1
 
 
PRINCÍPIOS DA GOVERNANÇA CORPORTIVA 
A Governança Corporativa é alicerçada por quatro princípios básicos: 
1) Transparência: orienta a disponibilizar para os stakeholders as 
informações que sejam de seu interesse. Essas informações não 
devem se restringir ao desempenho econômico-financeiro, contemplando também os 
demais fatores (inclusive intangíveis, como a imagem) que norteiam a ação gerencial e 
que conduzem à preservação e à otimização do valor da organização. Além do mais, a 
prática de informar o que se passa na organização gera um clima de confiança interna 
e externa. 
2) Equidade: refere-se ao tratamento justo e isonômico de todas as partes 
interessadas (stakeholders), levando em consideração seus direitos, deveres, 
necessidades, interesses e expectativas. Esse princípio procura fomentar a igualdade 
dentro da organização para que todos os seus integrantes, sejam do alto escalão ou do 
chão de fábrica, tenham o direito de expressar suas opiniões a respeito do que eles 
entendem ser o melhor para a instituição e para seu corpo funcional. 
3) Prestação de contas: os agentes de governança devem prestar contas de sua 
atuação de modo claro, conciso, compreensível e tempestivo. Eles devem assumir 
integralmente as consequências de seus atos e omissões, atuando com diligência e 
responsabilidade no âmbito dos seus papéis. 
4) Responsabilidade corporativa: os gestores e colaboradores devem zelar pela 
viabilidade econômico-financeira das organizações, afinal, a sobrevivência 
organizacional e seu desenvolvimento beneficia a todos, acionistas, executivos e 
demais empregados. Para que essa viabilidade seja garantida, os agentes de 
governança devem reduzir as externalidades negativas de seus negócios e aumentar as 
externalidades positivas, investindo fortemente nos diversos capitais (financeiro, 
manufaturado, intelectual, humano, social, ambiental etc.) 
 
 Além desses quatro princípios norteadores, existem mais seis princípios que 
complementam as boas práticas da governança. São eles: 
 
3
2
 
5) Avaliação de desempenho: indica a necessidade de avaliar regularmente e 
formalmente o desempenho dos gestores e colaboradores. A avaliação deve atribuir 
remuneração em montante adequado e vinculada ao desempenho, bem como 
recompensas e sanções justas, fomentando a meritocracia. 
6) Processo decisório: é importante que se implemente um processo decisório que 
contemple visões diferentes na tomada de decisões, evitando a concentração de 
poder, como também trazendo experiências distintas que enriqueçam o debate e 
propiciem um leque maior de soluções para as demandas apresentadas. Deve haver 
mecanismos para tratar de conflitos de interesse e resolução de disputas, como 
ferramentas administrativas que apontem objetivamente as melhores alternativas 
para cada caso. O Gráfico de Causa e Efeito (Ishikawa) e a análise SWOT são exemplos 
dessas ferramentas. 
7) Formalidades e controles: conscientização de que a informalidade é um inimigo da 
boa governança. É necessário desenhar processos, criar padrões de execução e 
estabelecer regras a serem cumpridas, em que os controles sejam feitos através da 
gestão de riscos, auditorias e Compliance. 
8) Ética na liderança: os membros da cúpula devem se comportar com integridade e 
elevado padrão de conduta, até porque a melhor forma de liderar se dá através do 
exemplo. É imprescindível que se promova incessantemente os valores da 
organização, com ações de aculturamento e valorização do comportamento ético. O 
endomarketing é uma ótima ferramenta para a promoção dos valores organizacionais.9) Colaboração: criação de um contexto organizacional que fomente a cooperação 
entre os colaboradores e gestores, evitando competição excessiva e rivalidades 
internas. Os interesses dos colaboradores devem estar alinhados aos interesses 
organizacionais, o que favorece o atingimento dos objetivos organizacionais de longo 
prazo. 
10) Diversidade: é preciso que as organizações criem políticas concretas para ampliar a 
diversidade (de gênero, etnia, formações acadêmicas etc.), fomentem o respeito às 
diferenças individuais do ser humano, bem como punam atitudes discriminatórias no 
ambiente de trabalho. 
 
 
3
3
 
Ao tratar da governança pela perspectiva do setor público, percebe-se que há 
um ajuste da nomenclatura de alguns princípios para que estes se adaptem à realidade 
da governança pública. O princípio da equidade passa a se chamar princípio da justiça, 
em que todos são iguais perante a lei e devem ser tratados como tal. Já o princípio das 
formalidades e controles passa a ser conhecido como princípio do cumprimento das 
leis, exigindo que os agentes públicos só façam o que a lei permitir, dentro de um 
arcabouço formal, em que suas ações passam por auditorias de controle interno e 
externo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Visando ao atendimento do bem comum, os princípios da governança pública 
se desdobram, seguindo o ciclo indicado na Figura abaixo: 
 
 
 
 
 
 
 
 
3
4
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Sabe-se que o bom desempenho empresarial está diretamente ligado ao 
fornecimento de bens e serviços que atendam às necessidades de seus clientes. No 
âmbito público não é diferente. O atingimento dos objetivos da administração pública 
está intrinsicamente relacionado ao atendimento dos anseios dos cidadãos, que são os 
verdadeiros “acionistas” das instituições públicas. Assim sendo, a governança assume 
papéis bem específicos tanto para a gestão pública quanto para os cidadãos, conforme 
descrito a seguir. 
 
Para a gestão pública: 
• A governança deve tornar explícito o papel de cada ator, definindo os seus 
objetivos, responsabilidades, modelos de decisão, rotinas, entre outros; 
• Deve haver uma visão administrativa, responsável pela definição dos objetivos 
(eficácia) e suas precondições, como a qualidade, eficiência, conformidade com os 
regulamentos e leis relevantes, e o controle financeiro. 
 
Fonte: forum.ibgp.net.br 
 
3
5
 
Para os cidadãos: 
• Que as organizações sejam transparentes e responsáveis por suas atividades; 
• Que demonstrem que os recursos públicos estão sendo usados apropriadamente; 
• Que indique o que está sendo alcançado com a aplicação dos recursos públicos. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Fonte: portal.tcu.gov.br 
 
3
6
 
 
 
 
 
 
 
 
OBJETIVOS INSTRUCIONAIS 
Conhecer e aplicar as principais ferramentas administrativas utilizadas na 
identificação, análise, avaliação e mitigação dos riscos por meio da utilização 
do Plano de Gerenciamento de Risco – PGR. 
 
PRINCIPAIS TÓPICOS 
Identificação dos riscos por meio das ferramentas “Séries Históricas” e 
“Brainstorming”; análise dos riscos através da ferramenta “Matriz de 
Vulnerabilidades”; avaliação dos riscos através da ferramenta “Matriz de 
Priorização”; mitigação dos riscos através das ferramentas “Diagrama de 
Ishikawa”, “Análise SWOT”, “Planilha 5W2H” e do Mapa de Riscos – 
Instrução Normativa nº 05/2017 – MPDG. 
 
 
 
 
 
 
 
 
 
 
 
 
Parte III 
 
3
7
 
 
 
 
PLANO DE GERENCIAMENTO DE RISCO – PGR 
Após o estudo aprofundado dos conceitos da gestão de riscos, inicia-
se a fase de implementação de tudo que foi compreendido até o 
momento. Isso se dá através do Plano de Gerenciamento de Risco 
(PGR), que é formado por um conjunto de ferramentas administrativas que funcionam 
de forma integrada, e tem por objetivo identificar os riscos organizacionais presentes 
em cada contexto e dissecá-los em cada detalhe, fornecendo, assim, as informações 
mais precisas possíveis ao tomador de decisão. De posse desse estudo, o gestor 
poderá adotar planos de ação mitigadores dos riscos, fundamentando suas escolhas 
com maior grau de certeza e alcançando resultados mais efetivos. O Plano de 
Gerenciamento de Risco adota o passo a passo indicado pela doutrina, seguindo as 
etapas de identificação, análise, avaliação e mitigação dos riscos. Concluído esse ciclo, 
os responsáveis pela gestão de riscos devem monitorar os resultados e atuar nos 
ajustes necessários, mantendo o PGR continuamente atualizado. 
 
 
 
 
 
 
 
 
 
 
 Fonte: suportegerencial.com.br 
 
 
 
 
3
8
 
 
 
ETAPA 1 – IDENTIFICAÇÃO DOS RISCOS 
O processo de gestão de riscos se inicia com a etapa de identificação 
dos riscos que podem vir a impactar negativamente os processos 
organizacionais de determinada instituição. A identificação dos riscos 
é bastante subjetiva, por isso ela requer a participação das equipes envolvidas nas 
atividades que serão estudadas. A abordagem utilizada nessa etapa utiliza quatro 
ferramentas: 
• Checklist; 
• Brainstorming; 
• Julgamentos sobre experiências anteriores; 
• Análise de cenários. 
 
O checklist ou lista de verificação é uma ferramenta que deve ser utilizada 
individualmente. Cada integrante da equipe que irá trabalhar gerindo riscos precisa 
criar sua própria lista de possíveis ameaças, identificando-as de acordo com seu 
entendimento sobre o processo que está sendo trabalhado e suas peculiaridades. O 
checklist é elaborado de forma bastante subjetiva. 
Após a conclusão do checklist, a equipe de gestão de riscos deve se reunir e 
lançar mão de mais uma ferramenta administrativa, o brainstorming ou tempestade 
de ideias, que nada mais é do que uma reunião em que os participantes elencam suas 
sugestões e debatem sobre elas com os demais integrantes do grupo, elegendo quais 
ideias serão levadas adiante. Para garantir uma maior diversidade de opiniões, é 
fundamental que as pessoas envolvidas possuam competências e vivências distintas. 
Inicialmente, nenhuma ideia é descartada, mesmo que pareça absurda. O grupo é 
responsável por deliberar sobre quais ideias serão mantidas ou não, até que se chegue 
em um consenso e que se coloque a relação final de ideias no papel, processo 
conhecido como brainwriting. 
Para dar suporte à elaboração tanto do checklist quanto do brainstorming, 
utilizam-se duas ferramentas que ajudam o gestor na identificação da origem dos 
 
3
9
 
prováveis riscos. A primeira delas é conhecida como Séries Históricas. Essa ferramenta 
toma por base acontecimentos passados, experiências anteriores vividas ou 
conhecidas pelos integrantes da equipe de gestão de riscos. Por conta disso, os 
registros de situações que prejudicaram o adequado andamento de processos 
organizacionais, como o das aquisições públicas, são tão importantes e precisam ser 
identificados e lançados pela equipe de planejamento das licitações públicas e pelos 
fiscais durante a execução dos contratos administrativos. Já pensando em ocorrências 
futuras, os gestores de riscos podem utilizar a ferramenta Prospecção de Cenários, que 
consiste em analisar a conjuntura atual e tentar relacionar prováveis situações de risco 
que possam vir a se concretizar, gerando impactos gravosos aos processos de trabalho 
e, consequentemente, às organizações. 
Segue, abaixo, modelo de planilha que pode ser utilizada na etapa de 
identificação dos riscos: 
 
 
 
 
 
 
 
 
 
 
4
0
 
ETAPA 2 – ANÁLISE DOS RISCOS 
A análise dos riscos tem por objetivo entender mais detalhadamente 
cada risco identificado. Ela gera as informações necessárias para os 
gestores decidirem como o risco será tratado, baseando-se na 
estratégia mais adequada e no melhor custo-benefício. A análise subdivide-se em 
análise qualitativa e análise quantitativa dos riscos. 
A análise qualitativa dosriscos descreve os potenciais impactos (efeitos) e a 
probabilidade de acontecerem. Deve-se observar como o risco é entendido por 
aqueles que integram as equipes de trabalho responsáveis por analisá-los. Nunca é 
demais repetir que a gestão de riscos é extremamente subjetiva e, por isso, precisa ser 
moldada de acordo com cada situação apresentada. A ferramenta utilizada na análise 
qualitativa é conhecida como Matriz de Risco ou Matriz de Vulnerabilidade. É uma 
ferramenta visual que possibilita identificar de imediato quais riscos devem receber 
maior atenção, facilitando a análise situacional e atraindo a atenção das equipes para 
o processo. Essa matriz é composta por uma coluna, referente à probabilidade de 
acontecimento, que possui uma gradação que vai da probabilidade rara até a quase 
certa, e por uma linha, referente ao impacto que os riscos podem gerar, possuindo um 
nível de criticidade que vai do impacto mais leve ao mais severo. Ao cruzar essas duas 
informações, probabilidade versus impacto, encontra-se o quadrante específico para 
cada risco, sendo possível definir quais são os mais relevantes para o processo 
organizacional, como no caso das compras públicas. 
Segue, abaixo, modelo da Matriz de Vulnerabilidade que pode ser usado na 
análise qualitativa dos riscos: 
 
 
 
 
 
 
 
 Fonte: siteware.com.br 
 
4
1
 
Por outro lado, a análise quantitativa dos riscos utiliza valores numéricos para 
definir os prováveis impactos monetários negativos que os riscos identificados podem 
gerar para a organização. Os gestores precisam definir se financeiramente é mais 
interessante investir na mitigação do risco ou se é mais vantajoso suportar o prejuízo, 
caso ele venha a ocorrer. Por exemplo, será que vale a pena investir um milhão de 
reais para proteger um possível prejuízo de cem mil reais caso o risco se concretize ou 
seria melhor aceitar esse risco? A análise quantitativa é aplicada para encontrar essa 
resposta e direcionar a tomada de decisão no caso concreto. 
 
ETAPA 3 – AVALIAÇÃO DOS RISCOS 
A avaliação dos riscos tem por objetivo tomar decisões baseadas no 
que foi observado na análise dos riscos, determinando quais desses 
riscos precisam ser priorizados e tratados. Para que se chegue a uma 
conclusão, utiliza-se a ferramenta Matriz de Priorização, que mostra de forma clara a 
influência do esforço empreendido versus o benefício alcançado. Através dessa 
ferramenta, o gestor decide em que momento cada risco deve ser tratado, 
estabelecendo um ranking de prioridade para as ações de mitigação. Quanto menor o 
esforço e maior o benefício, melhor ranqueado ficará o risco avaliado, ficando, então, 
como a primeiro da lista a receber o devido tratamento. 
Segue, abaixo, modelo da Matriz de Priorização que pode ser usado na 
avaliação dos riscos: 
 
 
 
 
 
 
 
 
 
 
Fonte: imasters.com.br 
 
4
2
 
ETAPA 4 – TRATAMENTO DOS RISCOS 
O tratamento do risco é o processo utilizado para modificar o nível do 
risco. Normalmente, o tratamento modifica a probabilidade ou os 
impactos do risco. Pode, ainda, eliminar a fonte do risco, dividir ou 
transferir o risco para outrem, como no caso dos seguros. Após concluídas as etapas de 
identificação, análise (qualitativa e quantitativa) e avaliação dos riscos, o gestor deve 
fazer um estudo aprofundado dos riscos que serão tratados, identificando suas causas 
e buscando os recursos organizacionais, sejam financeiros, humanos, estruturais, 
necessários à sua mitigação. Nessa etapa, utilizam-se três ferramentas clássicas da 
administração de empresas: o Diagrama de Causa e Efeito, a Análise SWOT e o Plano 
de Ação 5W2H. 
O Diagrama de Causa e Efeito, também conhecido como Espinha de Peixe ou 
Diagrama de Ishikawa, é utilizado para a identificação de direcionadores, as causas, 
que potencialmente levam ao efeito indesejável, o risco. Essa é uma ferramenta 
analítica que parte de um problema de interesse e possibilita a ocorrência de um 
brainstorming no sentido de identificar as causas possíveis para o problema 
encontrado. A formatação padrão do Diagrama de Ishikawa é estabelecido por seis 
tipos diferentes de causas raiz, seguindo a metodologia 6M: 
• Método: toda a causa que envolve os processos de trabalho; 
• Material: toda causa que envolve a matéria-prima utilizada no trabalho; 
• Mão de obra: toda causa que envolve ações dos recursos humanos; 
• Máquina: toda causa envolvendo a infraestrutura organizacional; 
• Medida: toda causa que envolve os instrumentos de medida, indicadores; 
• Meio ambiente: toda causa que envolve tanto o ambiente interno (organizacional) 
quanto externo. 
 
 De posse dos riscos selecionados, monta-se uma espinha de peixe para cada 
um deles, proporcionando uma melhor visualização das ações a serem tomadas 
quanto às causas elencadas, obtendo o Gráfico a seguir: 
 
 
 
4
3
 
 
 
Fonte: pt.wikipedia.org 
 
A análise SWOT ou FOFA (sigla em português) é uma ferramenta utilizada na 
elaboração do planejamento estratégico das organizações para auxiliar na 
identificação de suas forças (strenghts), fraquezas (weaknesses), oportunidades 
(opportunities) e ameaças (threats), de acordo com o contexto em que está sendo 
analisada, seja em seu ambiente interno ou externo, conforme esquematizado a 
seguir: 
• Strenghts - pontos fortes: vantagens internas da organização; 
• Weaknesses - pontos fracos: desvantagens internas da organização; 
• Opportunities - oportunidades: aspectos positivos da organização fora das suas 
instalações ou área de influência; 
• Threats - ameaças: aspectos negativos da organização fora das suas instalações ou 
área de influência. 
 
De acordo com Dess (2018), a matriz SWOT destina-se a especificar os objetivos 
e riscos associados aos negócios, e identificar os fatores internos e externos que são 
favoráveis e desfavoráveis para alcançar esses objetivos, aproveitando as 
oportunidades e mitigando as ameaças. Durante a elaboração da análise SWOT é 
recomendável que os integrantes da equipe de gestão de riscos perguntem e 
 
4
4
 
respondam questões para gerar informações significativas a respeito de cada 
categoria, de maneira a tornar a ferramenta útil e identificar a vantagem competitiva 
(forças associadas a oportunidades) e as fragilidades (fraquezas associadas a ameaças) 
da instituição em que trabalham. 
Segue, abaixo, modelo da Matriz SWOT, que pode ser usada como ferramenta 
de mitigação dos riscos: 
 
Fonte: www.cursodeecommerce.com.br 
 
O Plano de Ação 5W2H é uma ferramenta de gestão organizacional e trata-se 
de um relatório definido por linhas, cada uma delas encabeçada por uma palavra em 
inglês, constituindo um questionário esclarecedor sobre as atividades que precisam ser 
desenvolvidas no tratamento dos riscos. Ao ser montada, a tabela estabelecerá o que 
será feito, quem serão os responsáveis, em que prazo, em que setor da organização, 
além dos motivos pelos quais essa atividade deve ser feita. Também será definido o 
método para a realização da atividade e o seu custo de execução. 
A seguir, um modelo de tabela para implementação do Plano de Ação 5W2H 
com o objetivo de mitigar os riscos ora identificados, analisados e avaliados durante as 
três primeiras etapas da gestão de riscos: 
 
4
5
 
 
Risco Insira o nome do risco. 
Grau de probabilidade 
atribuído ao risco 
Indique o grau de probabilidade de acontecimento atribuído ao 
risco (raro, baixo, médio, alto, quase certo). 
Grau de impacto 
atribuído ao risco 
Indique o grau de impacto atribuído ao risco (sem impacto, leve, 
médio, grave, gravíssimo). 
Nível de priorização 
atribuída ao plano 
Indique o grau de priorização atribuído ao risco (1, 2, 3 ou 4). 
What (o quê?) O que será proposto no plano de ação? 
Why (por quê?) Por que será necessário um plano de ação? 
Who (quem fará?) Quem será o responsável pela implementação? 
When (quando será?) Quando será o períodode implementação? Data inicial e final. 
Where (onde será?) Onde o plano de ação será implementado? 
How (como será?) Que método será utilizado na implementação? 
How much (quanto?) Haverá custo? Caso afirmativo, quanto custará? 
 
Tratando-se de aquisições públicas, é necessário, em complemento a tudo que 
foi aplicado até o momento no estudo da gestão de riscos, seguir as orientações da 
Instrução Normativa nº 05/2017 – MPDG, no que tange à aplicação do Mapa de Riscos, 
conforme determinado em seu artigo 26, parágrafo primeiro: 
 
“Art. 26. O Gerenciamento de Riscos materializa-se no documento Mapa de 
Riscos. 
§ 1º O Mapa de Riscos deve ser atualizado e juntado aos autos do processo de 
contratação, pelo menos: 
I - ao final da elaboração dos Estudos Preliminares; 
II - ao final da elaboração do Termo de Referência ou Projeto Básico; 
III - após a fase de Seleção do Fornecedor; e 
IV - após eventos relevantes, durante a gestão do contrato pelos servidores 
responsáveis pela fiscalização. 
§ 2º Para elaboração do Mapa de Riscos poderá ser observado o modelo 
constante do Anexo IV”. 
 
4
6
 
 
ANEXO IV 
IN 05/2017-MPDG 
MAPA DE RISCOS 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
4
7
 
Conclui-se, portanto, que a gestão de riscos nas contratações públicas é 
materializada por uma combinação de técnicas administrativas, definição de políticas, 
aplicação de normas legais e participação integral dos gestores e colaboradores, que 
contribuem com suas experiências e conhecimentos na construção desses estudos, em 
prol do desenvolvimento das organizações públicas e o consequente atingimento do 
bem comum. A participação das pessoas em cada uma das etapas da gestão de riscos, 
como também nas fases de controle de resultados e ajuste das rotinas, é fundamental 
para o que os objetivos sejam alcançados sem maiores percalços, tendo seus riscos 
minimizados ao máximo. O fomento à disseminação da cultura organizacional voltada 
ao gerenciamento de riscos é tarefa da alta administração, que precisa declarar seu 
comprometimento com a ideia e criar eventos que internalizem o tema Risco às 
rotinas de trabalho das instituições pelas quais são responsáveis. Por outro lado, as 
equipes precisam apoiar e confiar nas competências de seus líderes, aderindo a essa 
nova perspectiva de gestão com proatividade e dedicação. 
Só assim os riscos serão efetivamente identificados e tratados continuamente, 
elevando o nível de qualidade das decisões tomadas, adotando ações planejadas 
minuciosamente e transformando a administração pública em um centro de excelência 
na aplicação dos seus recursos. Ao se alcançar esse estágio de amadurecimento, as 
organizações públicas estarão prontas para atender às demandas da coletividade com 
presteza e efetividade. 
 
 
 
4
8
 
 
REFERÊNCIAS BIBLIOGRÁFICAS 
 
ESAF. Caderno de Finanças Públicas, n. 14, p. 265/287, 2014. 
 
HOUAISS, Antônio. Grande Dicionário Houaiss da Língua Portuguesa. 1.ed. Rio de 
Janeiro: Objetiva, 2001. 
 
BRASILIANO, Antônio Celso Ribeiro. Gestão e Análise de Riscos Corporativos. 
São Paulo: Sicurezza, 2010. 
 
BRASILIANO, Antônio Celso Ribeiro. Resposta aos riscos corporativos – método 
brasiliano. São Paulo: Sicurezza, 2009. 
 
PORTAL CVM. Recomendações da CVM sobre Governança Corporativa. 
Disponível em:http://www.cvm.gov.br/export/sites/cvm/decisoes/anexos/0001/3935.pdf. 
Acesso em 12 de janeiro de 2020. 
 
PORTAL IBGC. O que é Governança Corporativa. Disponível em: 
https://www.ibgc.org.br/conhecimento/governanca-corporativa. Acesso em 14 de 
janeiro de 2020. 
 
BARALDI, Paulo. Gerenciamento de riscos empresariais: a gestão de 
oportunidades, a avaliação de riscos e a criação de controles internos nas 
decisões empresariais. 2. ed. Rio de Janeiro: Elsevier, 2005. 
 
BRASIL. Lei nº 8.666, de 21 de Junho de 1993. Disponível em: 
http://www.planalto.gov.br/ccivil_03/leis/l8666cons.htm. Acesso em: 10 de janeiro de 
2019. 
 
BRASIL (2006). Banco Central do Brasil. Resolução CMN 3.380. Disponível em: 
<http://www5.bcb.gov.br/normativos/detalhamentocorreio.asp?N=106196825&C=&AS
S=RESOLUCAO+3.380> Acesso em 05 de janeiro de 2020. 
 
BIDERMAN, R., Betiol, L., Macedo, L., & Monzoni, M. (2008). Guia de compras 
públicas sustentáveis – uso do poder de compra do governo para a promoção 
do desenvolvimento sustentável. Rio de Janeiro: FGV. 
http://www.cvm.gov.br/export/sites/cvm/decisoes/anexos/0001/3935.pdf
https://www.ibgc.org.br/conhecimento/governanca-corporativa
http://www.planalto.gov.br/ccivil_03/leis/l8666cons.htm
 
4
9
 
 
BOGONI, Nadia Mar and Fernandes, Francisco Carlos. Gestão de risco nas 
atividades de investimento dos Regimes Próprios de Previdência Social (RPPS) 
dos municípios do Estado do Rio Grande do Sul. REAd. Rev. eletrôn. adm. (Porto 
Alegre), Abr 2011, vol.17, no.1, p.117-148. ISSN 1413-2311. 
 
BRASILIANO, Antônio Celso Ribeiro. Manual de planejamento: gestão de riscos 
corporativos. São Paulo: Sicurezza, 2006. 
 
BURLÁ, Leonardo Andrade de Almeida and Gonçalves, Edson Daniel Lopes. Gestão 
de risco e os impactos da instrução normativa CVM nº 550: análise 
empírica. Rev. contab. finanç., Ago 2010, vol.21, no.53, p.1-21. ISSN 1519-7077. 
 
CALDAS, Eduardo de Lima and Nonato, Raquel Sobral. Compras 
públicas: estratégia e instrumento para a gestão do desenvolvimento 
local. Interações (Campo Grande), Jun 2014, vol.15, no.1, p.161-172. ISSN 1518-
7012. 
 
COCURULLO, Antônio. Gestão de riscos corporativos: riscos alinhados com 
algumas ferramentas de gestão. São Paulo: Scortecci, 2003. 
 
DE PAULO, Wanderlei de Lima et al. Riscos e controles internos: uma 
metodologia de mensuração dos níveis de controle de riscos empresariais. Rev. 
contab. finanç., Abr 2007, vol.18, no.43, p.49-60. ISSN 1519-7077. 
Instrução Normativa nº 05, de 26 de maio de 2017. Disponível em: 
<http://comprasgovernamentais.gov.br> Acesso em: 11 de janeiro de 2020. 
 
KIMURA, Herbert and Perera, Luiz Carlos Jacob. Modelo de otimização da gestão 
de risco em empresas não financeiras. Rev. contab. finanç., Abr 2005, vol.16, 
no.37, p.59-72. ISSN 1519-7077. 
 
LOPES, Alexsandro Broedel, Carvalho, L. Nelson and Teixeira, Aridelmo José 
Campanharo. A abordagem de Shimpi para gestão de riscos. Rev. contab. finanç., 
Dez 2003, vol.14, no.33, p.7-15. ISSN 1519-7077. 
 
NOGUEIRA, Fernando Rocha, Oliveira, Vanessa Elias de and Canil, Katia Políticas 
públicas regionais para gestão de riscos: o processo de implementação no ABC, 
SP. Ambient. soc., Dez 2014, vol.17, no.4, p.177-194. ISSN 1414-753X. 
 
 
5
0
 
Dess, Gregory. Strategic Management. Estados Unidos: McGraw-Hill. 2018. ISBN 
9781259927621. 
 
PORTAL TCU. Modelos de referência de gestão corporativa de riscos. Disponível 
em: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-
riscos/politica-de-gestao-de-riscos/modelos-de-referencia.htm. Acesso em 10 de 
janeiro de 2020. 
 
 
https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-gestao-de-riscos/modelos-de-referencia.htm
https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-gestao-de-riscos/modelos-de-referencia.htm