UNIVERSIDADE FEDERAL DO CEARÁ

SECRETARIA DE GOVERNANÇA

Tutorial para
preenchimento da planilha
de gerenciamento de riscos

2022
 Preenchimento da planilha de gerenciamento de riscos dos processos
organizacionais

TUTORIAL

ETAPA 1. FIXAÇÃO DE OBJETIVOS

A gestão de riscos visa levantar e tratar eventos que possam comprometer o alcance dos
objetivos definidos pela Instituição. Dessa forma, a Etapa 1 do processo de gerenciamento
de riscos consiste em examinar minuciosamente o objeto de análise (objetivo estratégico
ou processo organizacional) à luz de seus ambientes interno e externo, identificando e
detalhando os seus objetivos específicos. (PGR, 2020, p. 32).

Processo: Preencher com o nome do processo que está sendo gerenciado os riscos.
Objetivo do Processo:
● Objetivo Geral: Deve ser preenchido com a descrição do objetivo geral do processo.
● Objetivo Específico: Devem utilizados os objetivos relacionados a RESULTADOS
PARA A SOCIEDADE, EXCELÊNCIA NO ENSINO, NA PESQUISA E NA
EXTENSÃO e EXCELÊNCIA NA GESTÃO, constantes do Mapa Estratégico, da
UFC. Pode ser indicado mais de um objetivo.
Figura 1. Exemplos de objetivo geral e específicos.

ETAPA 2. IDENTIFICAÇÃO DE EVENTOS

Nesta etapa, a equipe técnica designada deve construir uma lista abrangente de eventos
de risco que possam comprometer o alcance dos objetivos gerais e específicos
estabelecidos. (PGR, 2020, p. 32-34).

● Evento de risco: evento que pode evitar, atrasar, prejudicar ou impedir o cumprimento
dos objetivos identificados na Etapa 1 (Fixação de Objetivos);
● Tipo do risco: indica se o evento de risco é uma oportunidade ou uma ameaça;
● Categoria do Risco: diz respeito à origem dos fatores que influenciam o evento de
risco, de acordo com a Política de Gestão de Riscos da UFC (PGR, 2020 Quadro 7);
 Quadro 7 - Categorias de Risco.

CATEGORIA DESCRIÇÃO

Estratégico Eventos que ameacem diretamente os objetivos estratégicos

organizacionais, afetando o alcance da sua visão e a
sustentabilidade da instituição no longo prazo
Financeiros/ Eventos que podem comprometer a capacidade da UFC de
Orçamentários contar com os recursos orçamentários e financeiros necessários
à realização de suas atividades, ou eventos que possam
comprometer a própria execução orçamentária
Operacionais Eventos que podem comprometer as atividades da UFC,
normalmente associados a falhas, deficiência ou inadequação de
processos internos, de pessoas, de infraestrutura e de sistemas
Legal / de Eventos derivados de alterações legislativas ou normativas que
Conformidade podem comprometer as atividades da UFC
Imagem/ Eventos que podem comprometer a confiança da sociedade (ou
Reputação de parceiros, de clientes ou de fornecedores) em relação à
capacidade da UFC em cumprir sua missão institucional;
Integridade Eventos relacionados à corrupção, fraudes, irregularidades e/ou
desvios éticos e de conduta que podem comprometer os valores
e padrões preconizados pela UFC
Fonte: Elaboração própria, 2020 (dados extraídos da Política de Gestão de Riscos da UFC).

● Causas do risco: fatores que desencadeiam a ocorrência do evento de risco;

● Consequências do risco: possíveis efeitos da ocorrência do evento de risco.

Figura 2. Exemplo de identificação de riscos.

Identificação dos Riscos

Evento de
Tipo de Causas Consequências
Processo Fase Risco Categoria
Risco (descrever) (descrever)
(indicar)
Desinteresse,
Unidade não falta de Unidade não ter
Monitoramento de
Fase realizar o servidor, seus processos
Riscos dos Processos Ameaça Estratégico
inicial gerenciamento excesso de com os riscos
Prioritários
dos seus riscos demandas do gerenciados
setor
ETAPA 3. AVALIAÇÃO DE RISCOS

Nesta etapa, a equipe técnica designada para atuar na gestão de risco da unidade deve
avaliar os riscos para cada um dos eventos identificados na etapa anterior. Essa avaliação
deverá ser realizada considerando os critérios de probabilidade e de impacto. (PGR, 2020,
p.34).

● Probabilidade: chance de ocorrência de um determinado evento de risco;

● Escala de Probabilidade: critérios que serão utilizados para o julgamento da
probabilidade de ocorrência do evento (PGR, 2020 Quadro 8);

Quadro 8 – Escala de Probabilidade.

PROBABI- DESCRIÇÃO
Peso
LIDADE (sem considerar os controles internos existentes)
Improvável. Em situações excepcionais, o evento
Muito baixa poderá até ocorrer, mas nada nas circunstâncias 1
indica essa possibilidade.
Rara. De forma inesperada ou casual, o evento
Baixa poderá ocorrer, pois as circunstâncias pouco 2
indicam essa possibilidade
Possível. De alguma forma, o evento poderá
Média ocorrer, pois as circunstâncias indicam 5
moderadamente essa possibilidade.
Provável. De forma até esperada, o evento poderá
Alta ocorrer, pois as circunstâncias indicam fortemente 8
essa possibilidade.
Praticamente certo. De forma inequívoca, o evento
Muito alta ocorrerá. As circunstâncias indicam claramente 10
essa possibilidade.
Fonte: Metodologia de Gestão de Riscos – Escala de Probabilidade (CGU, 2018).

● Impacto: avaliação da magnitude da ocorrência do evento perante os objetivos

estratégicos da organização;
● Escala de Impacto: critérios que serão utilizados para o julgamento do impacto de
ocorrência do evento (PGR, 2020 Quadro 9);
Quadro 9 – Escala de Impacto.
DESCRIÇÃO DO IMPACTO NOS OBJETIVOS,
IMPACTO PESO
CASO O EVENTO OCORRA
Muito baixo Mínimo impacto nos objetivos (estratégicos, 1
operacionais, de informação / comunicação /
divulgação ou de conformidade)
Baixo Pequeno impacto nos objetivos (idem). 2
Médio Moderado impacto nos objetivos (idem), porém 5
recuperável.
Alto Significativo impacto nos objetivos (idem), de difícil 8
reversão.
Muito alto Catastrófico impacto nos objetivos (idem), de forma 10
irreversível.
Fonte: Metodologia de Gestão de Riscos – Escala de Impacto (CGU, 2018).

● Risco Inerente: pontuação resultante da multiplicação da probabilidade pelo impacto a

um evento de risco, excluindo-se qualquer mecanismo de controle;

Risco Inerente = Probabilidade X Impacto

● Classificação de Risco: faixas de classificação utilizadas para o julgamento do nível de

risco de cada evento (PGR, 2020 Quadro 10);

Quadro 10 – Classificação de Risco.

CLASSIFICAÇÃO FAIXA
Risco Baixo – RB 0 – 9,99
Risco Médio – RM 10 – 39,99

Risco Alto – RA 40 – 79,99

Risco Extremo – RE 80 – 100
Fonte: Metodologia de Gestão de Riscos – Classificação do Risco (CGU, 2018)
 ● Matriz de Risco: matriz de possíveis resultados da combinação das escalas de
probabilidade e de impacto (PGR, 2020, Quadro 11);

Quadro 11 – Matriz de Risco.

IMPACTO
Muito
Baixo Médio Alto Muito Alto
baixo
2 5 8 10
1

Muito
1 2 5 8 10
Baixo
RB RB RB RB RM
1
P
R Baixo 2 4 10 16 20
O 2 RB RB RM RM RM
B
A
B
Médio 5 10 25 40 50
I
5 RB RM RM RA RA
L
I
D
A Alto 8 16 40 64 80
D 8 RB RM RA RA RE
E
Muito
10 20 50 80 100
Alto
RM RM RA RE RE
10
Fonte: Metodologia de Gestão de Riscos – Matriz de Riscos (CGU, 2018)

● Controles Internos: mecanismos que reduzem ou podem reduzir a probabilidade de

sua ocorrência ou de seu impacto. Os controles preventivos atuam sobre possíveis
causas do risco, com o objetivo de prevenir sua ocorrência (ex. requisitos; checklists;
capacitação de servidores, etc.). Os controles de atenuação e recuperação são executados
após a ocorrência do risco com o intuito de diminuir o impacto de suas consequências.
(ex. plano de contingência; tomada de contas especiais; procedimento apuratório, etc.);
 ● Fator de Avaliação dos Controles: pontuação atribuída a partir do julgamento da
efetividade dos controles existentes de acordo com os critérios estabelecidos (PGR,
2020, Quadro 12);

Quadro 12 – Fatores de Avaliação dos Controles Internos Existentes.

FATOR DE
AVALIAÇÃO
NÍVEL DESCRIÇÃO
DOS
CONTROLES
Controles inexistentes, mal desenhados ou mal
Inexistente 1
implantados, isto é, não funcionais.
Controles têm abordagens ad hoc, tendem a ser
aplicados caso a caso, a responsabilidade é
Fraco 0,8
individual, havendo elevado grau de confiança
no conhecimento das pessoas.

Controles implementados mitigam alguns

aspectos do risco, mas não contemplam todos
Mediano os aspectos relevantes do risco devido a 0,6
deficiências no desenho ou nas ferramentas
utilizadas.

Controles implementados e sustentados por

ferramentas adequadas e embora passíveis de
Satisfatório 0,4
aperfeiçoamento, mitigam o risco
satisfatoriamente.
Controles implementados podem ser
Forte considerados a “melhor prática”, mitigando 0,2
todos os aspectos relevantes do risco.
Fonte: Metodologia de Gestão de Riscos – Níveis de Avaliação dos Controles Internos Existentes (CGU, 2018).

● Risco Residual: pontuação resultante da multiplicação do risco inerente pelo fator de

avaliação dos controles. Para cada evento identificado, a equipe técnica designada deve
calcular o nível de risco, a partir dos critérios de probabilidade e de impacto;

Risco Residual
=
Risco Inerente X Fator de Avaliação dos Controles
 Figura 3. Exemplo de avaliação de riscos, controles e risco residual.

ETAPA 4. RESPOSTA AOS RISCOS

Nesta etapa, devem ser considerados os valores dos níveis de riscos residuais calculados
na etapa anterior para identificar quais riscos serão priorizados para tratamento e o tipo
de resposta aplicável a cada caso. (PGR, 2020, p. 38-39).

● O quadro 13, (PGR, 2020), mostra, por classificação, quais ações devem ser
adotadas em relação ao risco e suas exceções.

Quadro 13 – Diretrizes de priorização dos riscos a serem tratados.

Fonte: Adaptado de Metodologia de Gestão de Riscos – Atitude perante o risco para cada classificação (CGU, 2018).
 ● Para cada risco priorizado deve ser selecionada uma opção de tratamento. Essa escolha
depende do nível de risco e dos custos associados à implementação dos controles,
conforme quadro 14 (PGR, 2020).

Quadro 14 – Opções de Tratamento de Risco.

OPÇÃO DE
DESCRIÇÃO
TRATAMENTO
Um risco normalmente é aceito quando seu nível está nas faixas de apetite a risco.
Aceitar Nessa situação, nenhum novo controle precisa ser implementado para mitigar o
risco.
Um risco normalmente é mitigado quando é classificado como “Alto” ou
“Extremo”. A implementação de controles, neste caso, apresenta um
custo/benefício adequado.
Mitigar
Mitigar o risco significa implementar controles que possam diminuir as causas
ou as consequências dos riscos, identificadas nas etapas de Identificação e
Avaliação de Riscos.
Um risco normalmente é compartilhado quando é classificado como “Alto” ou
“Extremo”, mas a implementação de controles não apresenta um custo/benefício
Compartilhar adequado.
Pode-se identificar outra unidade que tenha mais robustez para tratá-lo ou
compartilhar o risco por meio de terceirização ou apólice de seguro, por exemplo.
Um risco normalmente é evitado quando é classificado como “Alto” ou
“Extremo”, mas a implementação de controles apresenta um custo muito
elevado, inviabilizando sua mitigação, ou não há entidades (internas ou externas)
Evitar
dispostas a compartilhar o risco com a UFC.
Caso essa opção incorra na interrupção do processo organizacional, a decisão
deve ser aprovada pelo Comitê de Governança, ou Câmara associada.
Fonte: Adaptado de Metodologia de Gestão de Riscos – Opções de Tratamento do risco (CGU, 2018).

Figura 4. Exemplo de resposta aos Riscos.

ETAPA 5. ATIVIDADES DE CONTROLES INTERNOS

Se a opção de tratamento do risco for MITIGAR, COMPARTILHAR ou EVITAR, devem

ser definidas medidas de tratamento para esse risco. Essas medidas devem ser capazes de
diminuir os níveis de probabilidade (plano de tratamento) e/ou de impacto do risco (plano
de contingência) a um nível dentro ou mais próximo possível das faixas de risco “baixo”
ou “médio”). (PGR, 2020 p. 41).

O Plano de Tratamento é um planejamento de ações para a implementação das medidas

preventivas. Ele deve conter:
● Responsável pela implementação das medidas de tratamento, devendo indicar um
servidor ou o cargo cujo designado seja automaticamente associado ao Plano de
Tratamento;
● Ações preventivas: medidas que visam diminuir a probabilidade de ocorrência do
evento;
● Monitoramento: periodicidade e/ou mecanismos adotados para verificar a
implementação das ações;
● Data prevista para o início da implementação;
● Data prevista para o término da implementação.

Figura 5. Exemplo de plano de tratamento.

Ainda nesta etapa, está prevista a elaboração do Plano de Contingência, que se trata de uma
definição prévia das ações que serão tomadas caso um risco venha a se concretizar. Ele deve
conter:
● Gatilho: situação que determina o início das ações de contingência;
● Responsável: indicação do gestor que deve ser imediatamente comunicado em caso de
ocorrência do risco para que possa demandar a execução das ações de contingência.
● Ações de contingência: ações imediatas que devem ser executadas em caso de
ocorrência do evento, com o objetivo de atenuar seu impacto (consequências).
Figura 6. Exemplo de plano de contingência.

Observação: Destacamos que todas as explicações e conceitos se encontram

detalhadamente no Plano de Gestão de Riscos (PGR), desta Universidade, em caso de
dúvidas consultar o referido plano.