Gestão de Riscos
METODOLOGIA DE GESTÃO DE RISCOS
1. APRESENTAÇÃO
1.1. Este documento trata do contexto organizacional para oportunizar o processo de implantação do gerenciamento de riscos no âmbito do Ministério do Turismo (MTur), fortalecendo a estrutura de governança da Pasta.
1.2. Assim, o presente instrumento é composto pelos fundamentos, a estrutura e a metodologia de gestão de riscos selecionada e validada para aplicabilidade no MTur, com o objetivo de orientar as unidades setoriais do órgão a implementá-la, em conformidade com a sua Política de Gestão de Riscos instituída por meio da Resolução CGRC/MTUR nº 1, de 7 de março de 2022.
2. INTRODUÇÃO
2.1. As temáticas de governança, integridade, riscos e controles internos configuram um status de extrema relevância estratégica e normativa na condução da Administração Pública Federal (APF) e seus respectivos órgãos e entidades integrantes, uma vez que sistematizam as boas práticas, técnicas e ferramentas necessárias para o aprimoramento e a melhoria contínua dos processos organizacionais, com o fito de: i) aumentar os resultados e o valor gerados para a sociedade; ii) subsidiar a tomada de decisão dos gestores do Ministério do Turismo; e iii) diminuir e tratar as ocorrências de riscos que possam comprometer o alcance dos objetivos estratégicos almejados pela Pasta.
2.2. Nesse contexto, a gestão de riscos corresponde a um processo dinâmico de melhoria contínua dos processos e das entregas do órgão, abarcando um conjunto de atividades de identificação, análise, avaliação, tratamento e monitoramentos de potenciais eventos de riscos que possam impactar nos resultados organizacionais.
2.3. Para corroborar a implementação efetiva do gerenciamento de riscos no âmbito do MTur, a qual consta como temática sob a responsabilidade conjunta de todas as unidades setoriais da Pasta, faz-se mister a aplicação da metodologia específica selecionada para o órgão, para sistematizar os procedimentos e as técnicas devidas de gestão dos riscos, de forma integrada e alinhada com a estratégia da Pasta.
2.4. Informa-se, diante disso, que esta metodologia foi elaborada pela Subsecretaria de Gestão Estratégica (SGE), em parceria da Assessoria Especial de Controle Interno (AECI), e posteriormente foi aprovada no âmbito do Comitê de Governança, Riscos e Controles do Ministério do Turismo. Tais unidades são as responsáveis pela coordenação, supervisão e monitoramento da implantação da gestão de riscos no âmbito do Ministério do Turismo, respectivamente, conforme disposto nos §§ 5º e 6º do art. 3º da Portaria MTur nº 753, de 10 de novembro de 2020, alterada pela Portaria MTur nº 27, de 23 de agosto de 2021.
2.5. A testagem desta metodologia ocorreu por meio de um projeto-piloto realizado no âmbito de uma unidade setorial, sendo aprovada posteriormente pelo Comitê de Governança, Riscos e Controles (CGRC) do MTur, haja vista o seu resultado positivo.
2.6. Para a base metodológica utilizou-se o Referencial Básico de Gestão de Riscos do Tribunal de Contas da União (TCU) e a Norma ABNT NBR ISO 31000, dos quais empregaram-se ferramentas administrativas especificadas para a realidade organizacional do MTur, que são fundamentadas pelos referenciais metodológicos em tela, conferindo uma maior segurança e efetividade no gerenciamento dos riscos no Ministério do Turismo.
2.7. É importante ressaltar que, por estar em fase inicial de implementação no órgão, as ferramentas disponibilizadas foram utilizadas conforme o grau de maturidade do órgão, no que se refere à temática da gestão de riscos.
3. FUNDAMENTOS DA GESTÃO DE RISCOS NO MINISTÉRIO DO TURISMO
3.1. Parâmetros legais:
3.1.1. Como forma de contextualizar os gestores na implementação da gestão de riscos, inserem-se a seguir os principais normativos vigentes adotados no MTur acerca do tema:
I - Instrução Normativa Conjunta MPOG e CGU nº 1, de 10 de maio de 2016 - Dispõe sobre controles internos, gestão deriscos e governança no âmbito do Poder Executivo federal;
II - Decreto nº 9.203, de 22 de novembro de 2017 - Dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional;
III - Portaria MTur nº 753, de 10 de novembro de 2020 - Institui o Comitê de Governança, Riscos e Controles (CGRC) e demais instâncias de supervisão no MTur;
IV - Portaria MTur nº 27, de 23 de agosto de 2021 - Altera a Portaria MTur nº 753, de 2020; e
V - Resolução CGRC/MTUR nº 1, de 7 de março de 2022 - Institui a Política de Gestão de Riscos, no âmbito do MTur (inclui como anexo a Declaração de Apetite a Riscos do MTur).
3.2. O gerenciamento de riscos será executado pelas unidades administrativas do MTur, de forma integrada aos processos oriundos das competências regimentais e do planejamento estratégico, levando em consideração a cultura organizacional da Pasta, abrangendo os níveis estratégico, tático e operacional.
- CONCEITOS
4.1. Para fins deste documento, consideram-se os seguintes conceitos, conforme disposto no art. 2º da Resolução CGRC/MTUR nº 1, de 2022 – Política de Gestão de Riscos MTur:
4.1.1. apetite a risco: nível de risco que o órgão está disposto a aceitar;
4.1.2. controle interno da gestão: processo que engloba o conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros elementos, operacionalizados de forma integrada, destinados a enfrentar os riscos e fornecer segurança razoável de que os objetivos organizacionais serão alcançados;
4.1.3. evento: um ou mais incidentes ou ocorrências, proveniente do ambiente interno ou externo, ou mudança em um conjunto específico de circunstâncias, podendo também consistir em algo não acontecer;
4.1.4. gestão de riscos: atividades coordenadas para dirigir e controlar o órgão no que se refere a riscos e a oportunidades;
4.1.5. gestor de risco e controle: agente responsável pelo gerenciamento do risco no âmbito de suas unidades organizacionais;
4.1.6. nível do risco: medida da importância ou significância do risco, considerando a probabilidade de ocorrência do evento e o seu impacto nos objetivos;
4.1.7. objeto de gestão de riscos: qualquer processo de trabalho, atividade, projeto, iniciativa ou ação de plano institucional, assim como os recursos que dão suporte à realização dos objetivos do Ministério do Turismo;
4.1.8. planejamento estratégico: processo gerencial pelo qual o órgão mobiliza-se para a formulação de objetivos que visam a construção de futuro, levando em conta as condições internas e externas;
4.1.9. processo: conjunto de ações e atividades interrelacionadas, que são executadas para alcançar produto, resultado ou serviço predefinido;
4.1.10. risco: possibilidade de que um evento afete o alcance de objetivos; e
4.1.11. risco estratégico: evento que ameaça o alcance dos objetivos estratégicos do Ministério do Turismo.
5. RESPONSABILIDADES
5.1. A Portaria MTur nº 753, de 2020, alterada pela Portaria MTur nº 27, de 2021, institui as instâncias de governança, gestão de riscos e controles internos do MTur, e apresenta suas responsabilidades, bem como as competências de seus representantes. Apresentam-se, a seguir, as principais unidades que tratam do tema gestão de riscos no âmbito deste órgão:
5.1.1. Comitê de Governança, Riscos e Controles (CGRC):
I - Compete ao Comitê adotar medidas para a sistematização de práticas relacionadas à gestão de riscos, controles internos e governança no âmbito do MTur, conforme preconizado no art. 2º da Portaria MTur nº 753, de 2020.
5.1.2. Subcomitê de Governança e Gestão de Riscos (SGR):
I - Compete ao Subcomitê tratar de temas e propor soluções específicas sobre governança, riscos e controles no âmbito do MTur, conforme art. 6º da Portaria MTur nº 753, de 2020.
5.1.3. Núcleos de Governança (NG):
I - Compete ao NG apoiar a identificação, a implementação e o monitoramento da gestão de riscos no âmbito de sua unidade, gerando e reportando as informações devidas ao SGR e ao CGRC, dentre outras atribuições previstas no art. 9º da Portaria MTur nº 753, de 2020.
II - Cada unidade terá o seu NG, conforme designação contida na Portaria de Pessoal SE/MTUR nº 115, de 7 de junho de 2022, e alterações, o qual participará das etapas do processo de gerenciamento de riscos.
5.1.4. Gestores de riscos e controles (GRC):
I - Compete aos GRC gerenciar os riscos no âmbito de sua unidade organizacional, conforme contido no art. 14 da Portaria MTur nº 753, de 2020.
5.1.5. Subsecretaria de Gestão Estratégica (SGE):
I - Coordenará a implementação do processo de gestão de riscos, o qual deverá ser operacionalizado pelas unidades organizacionais do Ministério do Turismo, de acordo com o disposto nesta Metodologia de Gestão de Riscos, observando as competências das instâncias de governança dispostas na Portaria MTur nº 753, de 2020.
II - A SGE coordenará a disponibilização de informações e de orientações às unidades organizacionais para a implementação da gestão de riscos no conjunto de seus processos de trabalho, objetivando consolidar uma cultura de gerenciamento de riscos no órgão.
5.1.6. Assessoria Especial de Controle Interno - AECI:
I - A supervisão e o monitoramento da gestão de riscos no âmbito do Ministério do Turismo compete à AECI, conforme disposto nas citadas portarias, e por fazer parte da segunda linha de defesa do MTur, em conformidade com a Resolução CGRC/MTUR nº 1, de 2022 – Política de Gestão de Riscos/MTur. Contudo, todas as unidades deverão monitorar sistematicamente e continuamente os seus próprios riscos.
II - Os resultados do monitoramento da gestão de riscos do MTur serão comunicados à alta administração, em reunião do Comitê de Governança, Riscos e Controles (CGRC) do MTur, por meio de Relatório de Monitoramento de Gestão de Riscos produzido pela AECI. Para isso, a AECI enviará questionário (Anexo II) aos Núcleos de Governança das unidades do MTur com perguntas relacionadas ao desempenho da gestão de riscos da unidade. O NG efetuará o preenchimento do questionário disponibilizado, com retorno à AECI. Posteriormente, a AECI elaborará relatório com as informações coletadas e o apresentará ao CGRC. Após apresentado e aprovado, os gestores da alta administração deverão dar conhecimento dos trabalhos às suas unidades subordinadas e implementar as sugestões de melhorias eventualmente apontadas.
6. METODOLOGIA DE GESTÃO DE RISCOS
6.1. A metodologia do processo de gestão de riscos consiste em aplicar as etapas, procedimentos e ferramentas detalhadas adiante, com vistas a auxiliar a unidade setorial na implantação de uma sistemática para o gerenciamento de riscos em seus processos de trabalho.
6.2. As referidas etapas serão conduzidas em oficina de trabalho ministrada pela SGE e AECI, com a participação ativa dos gestores e das equipes das unidades, com vistas a identificar, analisar e avaliar os riscos e definir os controles dos processos selecionados, potencializando o alcance dos objetivos do MTur.
6.3. Segundo o art. 6º da Política de Gestão de Riscos do MTur, constitui o processo da gestão de riscos, as seguintes etapas:
“Art. 6º O processo de gestão de riscos no Ministério do Turismo contempla o estabelecimento do contexto, a identificação, a análise, a avaliação, o tratamento de riscos, a comunicação e a consulta às partes interessadas, o monitoramento e a melhoria contínua.
§ 1º O estabelecimento do contexto consiste em compreender o ambiente externo e interno no qual o objeto de gestão de riscos encontra-se inserido e em identificar parâmetros e critérios a serem considerados no processo de gestão de riscos.
§ 2º A identificação do risco compreende o reconhecimento e a descrição dos riscos relacionados a um objeto de gestão, envolvendo a identificação de possíveis fontes de riscos, eventos, causas e consequências.
§ 3º A análise do risco refere-se ao desenvolvimento da compreensão sobre o risco e à determinação do nível do risco.
§ 4º A avaliação do risco envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar o tratamento necessário.
§ 5º O tratamento do risco compreende o planejamento e a realização de ações para modificar o nível do risco.
§ 6º O monitoramento compreende o acompanhamento e a verificação do desempenho ou da situação de elementos da gestão de riscos, podendo abranger a política, as atividades, os riscos, os planos de tratamento de riscos, os controles e outros assuntos de interesse.
§ 7º A comunicação e a consulta referem-se à interação das partes interessadas no risco identificado e à obtenção, fornecimento e/ou ao compartilhamento de informações relativas aos objetos de gestão de riscos, observada a classificação da informação quanto ao caráter sigiloso e/ou restrito.
§ 8º A melhoria contínua compreende o aperfeiçoamento e/ou ajuste de aspectos da gestão de riscos avaliados no monitoramento.”
6.4. O processo de gestão de riscos deverá ser implementado de forma gradual por todas as unidades organizacionais do MTur, sendo priorizados os processos organizacionais que impactam diretamente nas competências finalísticas da Pasta, bem como nos objetivos estratégicos definidos no Planejamento Estratégico do órgão. Ainda, as unidades deverão contemplar em seus riscos mapeados, aqueles relacionados às recomendações, determinações e/ou alertas de órgão de controle interno e externos.
6.5. Destaca-se que, em um primeiro momento, os processos organizacionais de trabalho deverão ser identificados pela unidade, e em seguida, priorizados mediante os critérios técnicos de relevância, materialidade e maturidade dos processos, com orientação para o alcance dos resultados e valor agregado gerado pelo MTur.
6.6. De acordo com o Referencial Básico de Gestão de Riscos do TCU:
“Diversos fatores podem ser considerados na priorização de processos representados na cadeia de valor, tais como:
a) relevância estratégica do processo. Inclui definir quais áreas, funções ou atividades são relevantes para a realização dos seus objetivos-chave da organização, às vezes denominados macroprodutos, macro-objetivos ou resultados finalísticos.
Para estimar este fator, pode-se valer de entrevistas com pessoas de segmentos representativos das partes interessadas, responsáveis pela governança e administradores da organização, bem como de análises internas para verificar o grau de importância de cada processo para o sucesso da estratégia.
b) materialidade, que indica a representatividade dos recursos financeiros alocados ao processo; e
c) maturidade do processo, que indica a consistência das práticas de gestão de processos empregadas e o atendimento dos produtos e serviços a padrões de entrega estabelecidos.
Como fontes de informação para estimar este fator, estão os relatórios de desempenho dos processos; gerentes e servidores responsáveis pelo processo; pesquisas de satisfação com clientes internos e externos do processo; reclamações recebidas pela Ouvidoria; e trabalhos da auditoria interna da organização, da CGU (no âmbito do Poder Executivo) e do TCU.
A análise quantitativa facilita a priorização. Por isso, cada fator deve ser medido por meio de escalas apropriadas, desenvolvidas ou adaptadas segundo as especificidades de cada organização. O quadro sugere escalas para os fatores mencionados acima.”
Quadro 1 - Exemplo de escalas para medição das variáveis consideradas para a priorização de processos.
Fonte: Referencial Básico de Gestão de Riscos do TCU, 2018.
6.7. O índice numérico que será utilizado para a realização da priorização de processos é o que segue, onde P é a prioridade do processo, RE é a relevância estratégica do processo, Mat é a materialidade do processo e M é a maturidade do processo:
P=RE*Mat/M
6.8. A partir da priorização dos processos, dá-se início ao processo de gestão de riscos, composto por sete etapas que interagem de forma cíclica, conforme visto na figura 1, e baseia-se nas diretrizes da Norma ABNT NBR ISO 31000:2018 – Gestão de Riscos.
Figura 1 – Processo de Gestão de Riscos e seus elementos essenciais
Fonte: Adaptação da Figura 1 – Princípios, estrutura e processo, da ABNT NBR ISO 31000:2018.
6.8.1. Para o processo de gerenciamento de riscos, utiliza-se como instrumento de trabalho a Matriz de Riscos e Controles, composta em sua totalidade por quadros específicos que representam as etapas da gestão de riscos, a saber:
I - mapa de calor;
II - quadro de identificação dos riscos;
III - quadro de análise dos riscos identificados;
IV - quadro de avaliação dos riscos; e
V - quadro de tratamento dos riscos.
6.9. As etapas do processo de gestão de riscos encontram-se abaixo destacadas, de forma resumida:
6.9.1. Estabelecimento do Contexto:
I - nesta fase, a unidade organizacional deverá elencar dentre os processos prioritários aqueles considerados essenciais para o alcance da estratégia do órgão.
II - assim, haverá a identificação dos processos organizacionais que serão analisados, os quais terão seus riscos gerenciados.
III - para que essa etapa possa subsidiar as próximas fases do processo de gestão de riscos, será necessário a compreensão completa do processo, levantando-se no mínimo as seguintes informações atreladas a ele:
a) clientes;
b) principais objetivos do processo;
c) legislação correlacionada; e
d) produtos do processo.
IV - trata-se da fase de levantar informações sobre o processo, bem como a melhor compreensão de seu funcionamento. Haverá a definição daqueles processos que mais impactariam de forma direta nas competências finalísticas e na estratégia do MTur e, por essa razão, cada unidade organizacional deverá efetuar um acompanhamento pormenorizado dos processos selecionados por meio do gerenciamento de riscos, com o objetivo de se gerar melhores resultados para os produtos dos processos.
V - ressalta-se que a metodologia de gestão de riscos deverá ser aplicada a cada processo priorizado, cumprindo-se todas as etapas do gerenciamento de riscos, separadamente, para cada processo priorizado.
VI - para esta metodologia, as unidades deverão considerar os processos de trabalho nos níveis estratégico, tático e operacional, conforme descrição na figura 2, e proceder ao gerenciamento dos riscos a eles relacionados. Assim, de modo contínuo, as unidades setoriais deverão acompanhar e atualizar a gestão de todos os riscos sob a sua responsabilidade.
Figura 2 – Níveis estratégico, tático e operacional.
Fonte: elaboração CGMAP
6.10. Identificação de riscos:
6.10.1. Essa etapa consiste na busca, reconhecimento e descrição de riscos, mediante a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais. Tem como finalidade gerar uma lista abrangente de riscos, baseada em eventos que poderiam evitar, reduzir, acelerar ou atrasar a realização dos objetivos da unidade organizacional.
6.10.2. Dito isso, haverá a descrição dos eventos de riscos que podem vir a impedir o alcance dos resultados objetivados nos processos institucionais por meio da identificação do risco, suas principais causas e consequências.
6.10.3. Considerando a metodologia concebida pela Controladoria Geral da União (CGU), os riscos podem ser identificados a partir de perguntas, como:
I - quais eventos podem EVITAR o atingimento de um ou mais objetivos do processo organizacional?
II - quais eventos podem ATRASAR o atingimento de um ou mais objetivos do processo organizacional?
III - quais eventos podem PREJUDICAR o atingimento de um ou mais objetivos do processo organizacional?
IV - quais eventos podem IMPEDIR o atingimento de um ou mais objetivos do processo organizacional?
6.10.4. Os eventos identificados inicialmente podem ser analisados e revisados, reorganizados, reformulados e até eliminados nesta etapa, e, para tanto, pode ser utilizada a seguinte questão: à luz dos objetivos do processo organizacional, o evento identificado é um risco ou uma causa para um risco?
6.10.5. Para eventos identificados e analisados como riscos do processo, deve-se indicar:
I - causas: motivos que podem promover a ocorrência do risco; e
II - consequências: resultados do risco que afetam os objetivos.
6.10.6. De acordo com a CGU, para a identificação das causas é importante uma análise das diversas fontes de riscos existentes no processo identificado. Nesse sentido, segue uma lista com as possíveis fontes de risco com que uma organização pode lidar na execução de seus processos:
Quadro 1 - Possíveis fontes de risco.
|
FONTES DE RISCO |
VULNERABILIDADES |
|
Pessoas |
Em número insuficiente; sem capacitação; perfil inadequado; desmotivadas, alta rotatividade, desvios éticos. |
|
Processos |
Mal concebidos (exemplo: fluxo, desenho); sem manuais ou instruções formalizadas (procedimentos, documentos padronizados); sem segregação de funções, sem transparência. |
|
Sistemas |
Obsoletos; sem manuais de operação; sem integração com outros sistemas; inexistência de controles de acesso lógico/backups, baixo grau de automação. |
|
Infraestrutura Física |
Localização inadequada; instalações ou leiaute inadequados; inexistência de controles de acesso físico. |
|
Tecnologia |
Técnica ultrapassada/produto obsoleto; falta de investimento em TI; tecnologia sem proteção de patentes; processo produtivo sem proteção contra espionagem, controles insuficientes sobre a transferência de dados. |
|
Governança |
Competências e responsabilidades não identificadas ou desrespeitadas; centralização ou descentralização excessiva de responsabilidades; delegações exorbitantes; falta de definição de estratégia de controle para avaliar, direcionar e monitorar a atuação da gestão; deficiência nos fluxos de informação e comunicação; produção e/ou disponibilização de informações, que tenham como finalidade apoiar a tomada de decisão, incompletas, imprecisas ou obscuras; pressão competitiva; falta de rodízio de pessoal; falta de formalização de instruções. |
|
Planejamento |
Ausência de planejamento. Planejamento elaborado sem embasamento técnico ou em desacordo com as normas vigentes, objetivos e estratégias inadequados, em desacordo com a realidade. |
|
Eventos externos |
Ambientais: mudança climática brusca, incêndio, inundação, epidemia. |
|
Econômicos: oscilações de juros, de câmbio e de preços, contingenciamento, queda de arrecadação, crise de credibilidade, elevação ou redução da carga tributária. |
|
|
Políticos: novas leis e regulamentos, restrição de acesso a mercados estrangeiros, ações de responsabilidade de outro(s) gestor(es); "guerra fiscal" entre estados, conflitos militares, divergências diplomáticas. |
|
|
Sociais: alterações nas condições sociais e demográficas ou nos costumes sociais, alterações nas demandas sociais, paralisações das atividades, aumento do desemprego. |
|
|
Tecnológicos: novas formas de comércio eletrônico, alterações na disponibilização de dados, reduções ou aumento de custo de infraestrutura, aumento da demanda de serviços com base em tecnologia, ataques cibernéticos. |
|
|
Infraestrutura: estado de conservação das vias de acesso; distância de portos e aeroportos; interrupções no abastecimento de água, energia elétrica, serviços de telefonia; aumento nas tarifas de água, energia elétrica, serviços de telefonia. |
|
|
Legais/jurídicos: novas leis e normas reguladoras; novos regulamentos; alterações na jurisprudência de tribunais; ações judiciais. |
Fonte: elaboração CGMAP
6.10.7. Bow Tie
I - a partir dos processos anteriormente identificados e priorizados, a unidade organizacional deverá utilizar o diagrama intitulado “Gravata Borboleta” ou “Bow Tie”, que é a ferramenta definida por meio da presente metodologia para a identificação dos riscos.
II - trata-se de uma técnica que busca analisar e descrever os caminhos de um evento de risco, desde suas causas até as consequências, por meio de uma representação pictográfica semelhante a uma gravata borboleta (bow tie).
III - o método tem como foco as barreiras entre as causas e o evento de risco e as barreiras entre o evento de risco e suas consequências.
IV - apresenta-se, adiante, a representação gráfica do diagrama mencionado, a ser utilizado pelas áreas do MTur:
Figura 3 – Representação gráfica do diagrama Bow Tie.
Fonte: Referencial Básico de Gestão de Riscos do TCU, 2018. Página 46.
V - o processo de elaboração do esquema Bow Tie ocorre da seguinte forma:
a) representa-se o evento de risco como sendo o nó de uma gravata borboleta;
b) as possíveis causas ou fontes do evento de risco são listadas no lado esquerdo do desenho e cada uma delas é conectada por uma linha ao nó da gravata;
c) barreiras que impedem ou diminuem a possibilidade da causa ou fonte produzir o evento de risco são representadas como barras verticais cruzando essas linhas horizontais do lado esquerdo;
d) de forma análoga, no lado direito do desenho, identificam-se possíveis consequências e cada uma delas é ligada ao nó central por uma linha; e
e) barreiras que impedem ou diminuem o efeito das consequências são representadas como barras verticais cruzando essas linhas horizontais do lado direito. As barreiras do lado esquerdo do esquema representam controles preventivos, no caso de risco negativo ou controles de intensificação ou promoção, no caso de risco positivo/oportunidades. As barreiras do lado direito representam controles reativos visando à atenuação dos efeitos, caso o evento de risco negativo se materialize.
VI - para um melhor entendimento, segue o detalhamento dos controles citados:
a) controles preventivos: controles existentes e que atuam sobre as possíveis causas do risco, com o objetivo de prevenir a sua ocorrência. Exemplos de controles preventivos: requisitos e checklist definidos para o processo e capacitação dos servidores envolvidos no processo; e
b) controles de atenuação e recuperação: controles existentes executados após a ocorrência do risco com o intuito de diminuir o impacto de suas consequências. Exemplos de controles de atenuação e recuperação: plano de contingência; tomada de contas especiais; procedimento apuratório.
VIII - como resultado desta etapa, a seguir é inserido o Quadro de Identificação dos Riscos, no qual há o campo para a descrição e os caminhos dos riscos identificados, desde as suas causas até as suas consequências, os quais resultarão do preenchimento da ferramenta Bow Tie.
6.10.8. Quadro de identificação dos riscos:
I - a partir da identificação dos riscos haverá a consolidação de acordo com o modelo representado a seguir (Quadro de Identificação dos Riscos), de forma a permitir a continuidade das próximas etapas do processo de gestão de riscos.
Quadro 2 – Quadro de Identificação dos Riscos – Matriz de Riscos e Controles
|
Identificação dos Riscos |
|||||||
|
Processo de Trabalho |
Evento de Risco |
Fonte do Risco |
Possíveis Causas |
Possíveis Consequências |
|||
|
Exemplo: Captação e Análise de dados |
RISCO 1 (R1) - BAIXA CONFIABILIDADE DAS INFORMAÇÕES |
Sistemas |
Sistemas/fontes de dados obsoletos ou desatualizados. |
Informações desatualizadas. |
|||
|
Pessoas |
Colaboradores e funcionários em baixo número ou com pouco conhecimento em aquisição de dados. |
Impossibilidade de mapear novas fontes de dados e informações. |
|||||
|
Tecnologia |
Tecnologia da Informação (TI) não realiza a contratação de ferramentas necessárias para tratamento de dados. |
Não entrega do Painel de Business Inteligence (BI) de Atração de Investimentos em Turismo. |
|||||
|
RISCO 2 (R2) - FALTA DE BASE DE DADOS |
Tecnologia |
Falta de base de dados dinâmica por parte da TI do Ministério. |
Dependência da contratação de base de dados externas e/ou de busca manual por dados. |
||||
|
Planejamento |
Renovação de base de dados utilizada atualmente com prazo exíguo. |
Permanência sem acesso a base de dados específica para atração de investimentos por período extenso. |
|||||
|
RISCO 3 (R3) - INCAPACIDADE DE TRATAMENTO DE DADOS |
Pessoas |
Falta de número de corpo técnico capacitado para análise de dados. |
Não possibilidade de entrega de relatórios e análises aprofundadas. |
||||
|
Processos |
Não criação de uma metodologia e fluxo de aquisição e análise de dados. |
Centralização de execução de tarefa. |
|||||
Fonte: Controladoria-Geral da União - CGU, adaptado pela CGMAP.
6.11. Análise de riscos:
6.11.1. A partir dos riscos identificados, será iniciada a etapa de análise dos riscos.
6.11.2. A análise de riscos fornecerá subsídios para a avaliação de riscos, bem como para as estratégias, métodos e decisões de tratamento dos riscos.
6.11.3. Cálculo do nível do risco inerente:
I - risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto, conforme conceito definido no Referencial Básico de Gestão de Riscos do TCU, 2018.
II - a mensuração do nível do risco é realizada a partir da combinação da probabilidade de ocorrência do evento e do impacto nos objetivos.
III - Para tanto, são apresentadas as escalas de probabilidade e impacto do risco, bem como a escala de nível do risco:
Quadro 3 - Escala de Probabilidade.
Fonte: Referencial Básico de Gestão de Riscos do TCU, 2018.
Quadro 4 - Escala de Impacto.
Fonte: Referencial Básico de Gestão de Riscos do TCU, 2018.
IV - fórmula para cálculo do Risco Inerente:
RI = NP x NI, na qual:
RI = nível do risco inerente
NP = nível de probabilidade do risco
NI = nível de impacto do risco
Quadro 5 – Escala de Avaliação do Nível do Risco (inerente).
Fonte: Referencial Básico de Gestão de Riscos do TCU, 2018.
V - segue o Mapa de Calor relacionado à Matriz de Riscos, no qual é possível identificar o nível do risco de forma visual, a partir da escala de classificação de risco:
Quadro 7 – Mapa de Calor – Matriz de Riscos e Controles.
Fonte: Referencial Básico de Gestão de Riscos do TCU, 2018.
6.11.4. Cálculo do nível do risco residual
I - risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco, conforme conceito definido no Referencial Básico de Gestão de Riscos do TCU, 2018.
II - a partir da definição de risco residual, é apresentado o conceito de nível de controle, bem como a escala correspondente.
III - sendo assim, nível de controle corresponde ao nível da implementação do controle interno da gestão, este podendo ser classificado em: inexistente, fraco, mediano, satisfatório ou forte, conforme escala abaixo apresentada:
Quadro 8 – Escala de Avaliação Preliminar dos Controles
|
Escala de avaliação preliminar dos Controles |
||
|
Avaliação do Controle |
Situação do controle existente |
Nível do Controle |
|
Inexistente |
Controle não existe, não funciona ou não está implementado. |
1,00 |
|
Fraco |
Controle não institucionalizado; está na esfera de conhecimento pessoal dos operadores do processo; em geral realizado de maneira manual. |
0,80 |
|
Mediano |
Controle razoavelmente institucionalizado, mas pode falhar por não contemplar todos os aspectos relevantes do risco ou porque seu desenho ou as ferramentas que o suportam não são adequados. |
0,60 |
|
Satisfatório |
Controle institucionalizado e embora passível de aperfeiçoamento, é sustentado por ferramentas adequadas e mitiga o risco razoavelmente. |
0,40 |
|
Forte |
Controle institucionalizado e sustentado por ferramentas adequadas, podendo ser considerado em um nível de "melhor prática"; mitiga o risco em todos os aspectos relevantes. |
0,20 |
Fonte: Modelo de Matriz de Riscos e Controles, CGU, disponível em: https://repositorio.cgu.gov.br/handle/1/1735.
IV - Fórmula para cálculo do Risco Residual:
RR = RI x NC, na qual:
RR = risco residual
RI = nível do risco inerente
NC = nível do controle
Quadro 9 – Escala de Avaliação do Nível do Risco residual
Fonte: Referencial Básico de Gestão de Riscos do TCU, 2018.
6.11.5. a seguir, insere-se o modelo do quadro de análise dos riscos identificados pela unidade organizacional, que tratará do resultado obtido pelo cálculo dos riscos inerente e residual, com seus respectivos controles da análise dos riscos.
Quadro 10 – Quadro de Análise dos Riscos Identificados – Matriz de Riscos e Controles
|
Análise dos Riscos |
||||||||||
|
Processos |
Risco |
Análise do Risco Inerente |
Análise do Risco Residual |
|||||||
|
Impacto |
Probabilidade |
Risco Inerente (RI) |
Controles identificados |
Nível do controle (NC) |
Risco Residual (RR) |
|||||
|
Exemplo: Captação e análise de dados |
RISCO 1 (R1) - BAIXA CONFIABILIDADE DAS INFORMAÇÕES |
5 |
5 |
25 |
Médio |
Criação de Painel de BI (CGDI) |
Mediano |
0,6 |
15 |
Médio |
|
RISCO 2 (R2) - FALTA DE BASE DE DADOS |
8 |
5 |
40 |
Alto |
Contratação de fDi |
Satisfatório |
0,4 |
16 |
Médio |
|
|
RISCO 3 (R3) -INCAPACIDADE DE TRATAMENTO DE DADOS |
8 |
5 |
40 |
Alto |
Capacitação de Servidores |
Satisfatório |
0,4 |
16 |
Médio |
|
Fonte: Controladoria-Geral da União - CGU, adaptado pela CGMAP.
6.12. Avaliação de riscos.
6.12.1. em continuidade ao processo de gestão de riscos, os conceitos que envolvem a avaliação dos riscos são apresentados a seguir.
6.12.2. conforme a Resolução CGRC/MTur nº 1, de 2022: "A avaliação do risco envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar o tratamento necessário."
6.12.3. Além do exposto, tem-se o conceito do apetite ao risco, que, segundo o Referencial Básico de Gestão de Riscos do TCU, 2018, consiste no “nível de risco que uma organização está disposta a aceitar”.
6.12.4. A partir da avaliação do risco e do conhecimento do conceito de apetite a risco, os gestores de riscos e controles do MTur serão capazes de definir preliminarmente quais riscos necessitam de tratamento e qual a prioridade para a implementação do tratamento. Posteriormente, deve ser elaborado o Plano de Tratamento dos Riscos contendo um maior detalhamento sobre o processo de implementação dos tratamentos previamente identificados, cujas orientações devidas se encontram no item 6.13, a seguir, desta metodologia.
6.12.5. Sendo assim, esclarece-se que o apetite a risco proposto para o MTur foi o de risco médio[1], conforme disposto na Resolução CGRC/MTur nº 1, de 2022, e que qualquer risco que esteja fora do apetite a risco necessitará de tratamento. Para os riscos que estiverem dentro do apetite a risco, orienta-se aos participantes que os monitore, para que sejam mantidos em um nível de risco aceitável.
6.12.6. A seguir insere-se o modelo do quadro de avaliação dos riscos:
Quadro 6 – Quadro de Avaliação dos Riscos – Matriz de Riscos e Controles
|
Avaliação dos Riscos |
||||||||
|
Processos |
Risco |
Avaliação do Risco Residual |
Tratamento |
Descrever o que será feito para tratar o risco. |
||||
|
Controles identificados |
Nível do controle (NC) |
Risco Residual (RR) |
||||||
|
Exemplo: Captação e análise de dados |
RISCO 1 (R1) - BAIXA CONFIABILIDADE DAS INFORMAÇÕES |
Criação de Painel de BI (CGDI) |
Mediano |
0,6 |
15 |
Médio |
Transferir |
Articular com CGDI a utilização do painel adquirido pelo MTur. |
|
RISCO 2 (R2) - FALTA DE BASE DE DADOS |
Contratação de fDi |
Satisfatório |
0,4 |
16 |
Médio |
Mitigar |
Planejar a contratação. |
|
|
RISCO 3 (R3) - INCAPACIDADE DE TRATAMENTO DE DADOS |
Capacitação de Servidores |
Satisfatório |
0,4 |
16 |
Médio |
Transferir |
Solicitar a inclusão da capacitação no Plano de Desenvolvimento de Pessoal. |
|
Fonte: Controladoria-Geral da União - CGU, adaptado pela CGMAP.
6.13. Tratamento de Riscos:
6.13.1. a partir da avaliação do risco, será iniciada a fase do tratamento do risco.
6.13.2. o tratamento do risco é definido como processo de implementar respostas a risco.
6.13.3. as opções de tratamento apresentadas, com base na metodologia de riscos do TCU, foram as seguintes: “aceitar, mitigar, transferir e evitar”:
I - aceitar: não há necessidade de adotar quaisquer medidas. Considerar se é o caso de monitorar ao longo do tempo;
II - mitigar: desenvolver e implementar medidas para evitar que o risco se concretize/ou medidas para atenuar o impacto e as consequências caso ocorra;
III - transferir: compartilhar o risco com terceiros, como no caso dos seguros; e
IV - evitar: descontinuar a atividade, interromper o processo de trabalho.
6.13.4. Cabe esclarecer que as opções “mitigar, transferir e evitar“ referem-se ao nível de risco considerado como “alto” ou “extremo”, e a opção de tratamento “aceitar”, refere-se ao nível do risco quando dentro das faixas aceitáveis de apetite a risco (exceto os riscos à integridade - relacionados a desvio de conduta, fraude, corrupção, irregularidade, nepotismo, conflitos de interesses - que é assentado na diretriz de apetite zero).
6.13.5. Ainda, em relação ao tratamento dos riscos, cabe informar a necessidade de construção do plano de tratamento para os riscos identificados, sob responsabilidade dos gestores de riscos de cada unidade, como forma de se identificar as medidas de tratamento, bem como delimitando-se as ações a serem praticadas, os responsáveis e os cronogramas relacionados a essas ações.
6.13.6. Nessa seara, o plano de tratamento identifica o risco que se pretende tratar, os objetivos e benefícios esperados por meio da medida de tratamento, o responsável pela implementação desse tratamento, uma breve descrição sobre a implementação e a data prevista para início e término da implementação.
6.13.7. Abaixo é apresentado o quadro que se relaciona à fase de tratamento de riscos:
Quadro 12 – Quadro de Tratamento dos Riscos – Matriz de Riscos e Controles
|
PLANO DE TRATAMENTO |
||||||||||||
|
O QUE ? |
ONDE? |
QUEM? |
COMO? |
QUANDO? |
SITUAÇÃO |
|||||||
|
Risco |
Resposta ao risco |
Tipo de Tratamento |
Objetivo do tratamento |
Resultado esperado |
Área responsável pela implementação |
Responsável pelo tratamento |
Como serão implementadas as ações de tratamento |
Início |
Conclusão |
Resultado Obtido |
||
|
EXEMPLO: FALTA DE BASE DE DADOS |
Contratação de fDi |
Evitar |
Renovar contratação de base de dados |
Base de dados do fDi disponível |
CGINV |
Toda equipe |
Contrato Administrativo |
09/01/21 |
31/01/2022 |
|||
|
EXEMPLO: INCAPACIDADE DE TRATAMENTO DE DADOS |
Capacitação de Servidores |
Compartilhar |
Capacitar servidores |
Servidores aptos a analisar dados |
COGEP |
Toda equipe |
Solicitação de inclusão de capacitação no PDP |
12/01/21 |
31/01/2022 |
|||
Fonte: Controladoria-Geral da União - CGU, adaptado pela CGMAP.
6.13.8. Ressalta-se que após a confecção do Plano de Tratamento, a unidade deverá se manifestar a cada ciclo de monitoramento (anual) sobre as medidas a serem adotadas para o ciclo subsequente de gestão de riscos, explicitando a necessidade de permanência do gerenciamento de riscos nos moldes vigentes, caso constem como eficazes; revisão do ciclo, caso haja alguma alteração mínima necessária; ou de proposição de um novo Plano de Tratamento, caso haja uma mudança significativa na gestão dos riscos.
6.14. Monitoramento e Análise Crítica:
6.14.1. Após a apresentação das etapas de identificação, análise, avaliação e tratamento dos riscos, as unidades organizacionais obterão um avanço no processo de gerenciamento dos riscos.
6.14.2. A elaboração da Matriz de Riscos e Controles é efetuada pelo GRC, por meio do preenchimento dos dados nos modelos de quadros disponibilizados no Anexo I, desta metodologia.
6.14.3. Posteriormente, o GRC remete a Matriz preenchida contendo o seu Plano de Tratamento ao NG de sua unidade, para a análise e avaliação, com o direcionamento subsequente do NG ao dirigente máximo da unidade para a validação e autorização para início da execução das ações do Plano de Tratamento pelo GRC.
6.14.4. Durante todo o período de execução das ações do Plano de Tratamento, o GRC deve efetuar o monitoramento contínuo dos resultados auferidos.
6.14.5. Caso seja identificada a necessidade de atualização devido a algum fato novo relevante, no que couber, o GRC deve propor a alteração na Matriz ao NG para sua avaliação, que enviará a proposta para a validação do dirigente máximo da unidade. Após o resultado da validação do dirigente, o fluxo processual retorna ao GRC para implementação da atualização validada, caso haja.
6.14.6. A AECI enviará anualmente, sempre no mês de maio, ao NG das unidades, o Questionário – Planilha de Monitoramento (Anexo II), via Sistema Eletrônico de Informações (SEI), contendo diversos itens relacionados à implementação da Gestão de Riscos, para que o NG o preencha com as informações atualizadas sobre como está a implementação da gestão, com o envio seguinte ao dirigente máximo da unidade para validação, o qual remete o questionário para a AECI.
6.14.7. Salienta-se que o monitoramento e a supervisão a serem executados pela AECI não abrangerão o monitoramento do risco em si (se os riscos e tratamentos estão de acordo e se os tratamentos estão sendo implementados), mas sim aquilo que trata dos procedimentos adotados para a implementação da gestão de riscos nas unidades, conforme § 6º do art. 3º da Portaria MTur nº 753, de 2020.
6.14.8. A AECI efetuará a juntada e a tabulação dos questionários preenchidos pelas unidades do MTur, e elaborará Relatório objetivo, contendo tabelas e/ou gráficos, com indicadores, podendo conter sugestões de melhorias e aperfeiçoamento.
6.14.9. A AECI enviará o Relatório elaborado ao Gabinete do Ministro (GM) para avaliação, e caso concorde, remeterá o expediente ao CGRC, para deliberação e aprovação.
6.14.10. Ressalta-se que após o exame do Relatório pelo CGRC, poderão ser emitidas recomendações ou determinações que deverão ser abordadas no mapeamento de riscos e devidamente tratadas, e inseridas como itens a serem observados no monitoramento da AECI e das unidades.
6.14.11. A AECI deverá informar as unidades acerca das deliberações emitidas pelo CGRC.
6.14.12. Após o ciclo contextualizado acima, os GRC’s deverão reiniciar as etapas da gestão de riscos no âmbito de suas unidades.
ANEXO II
QUADROS DA MATRIZ DE RISCOS E CONTROLES
Quadro de Identificação dos riscos
|
Identificação dos Riscos |
||||||
|
Processo de Trabalho |
Evento de Risco |
Fonte do Risco |
Possíveis Causas |
Possíveis Consequências |
||
|
|
|
|
|
|
||
|
|
|
|
|
|||
|
|
|
|
|
|||
Quadro de Análise dos Riscos identificados - Matriz de Riscos e Controles
|
Análise dos Riscos |
||||||||||
|
Processos |
Risco |
Análise do Risco Inerente |
Análise do Risco Residual |
|||||||
|
Impacto |
Probabilidade |
Risco Inerente (RI) |
Controles identificados |
Nível do controle (NC) |
Risco Residual (RR) |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Quadro de Avaliação dos riscos - Matriz de Riscos e Controles
|
Avaliação dos Riscos |
||||||||
|
Processos |
Risco |
Avaliação do Risco Residual |
Tratamento |
Descrever o que será feito para tratar o risco. |
||||
|
Controles identificados |
Nível do controle (NC) |
Risco Residual (RR) |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Quadro de Tratamento dos riscos - Matriz de Riscos e Controles
|
PLANO DE TRATAMENTO |
|||||||||||
|
O QUE ? |
ONDE? |
QUEM? |
COMO? |
QUANDO? |
SITUAÇÃO |
||||||
|
Risco |
Resposta ao risco |
Tipo de Tratamento |
Objetivo do tratamento |
Resultado esperado |
Área responsável pela implementação |
Responsável pelo tratamento |
Como serão implementadas as ações de tratamento |
Início |
Conclusão |
Resultado Obtido |
|
ANEXO III
QUESTIONÁRIO - PLANILHA DE MONITORAMENTO DA GESTÃO DE RISCOS (GR), A SER ENCAMINHADA PELA AECI, PARA SER RESPONDIDO PELAS UNIDADES SETORIAIS DO MTUR
|
Perguntas sobre a implementação de gestão de riscos |
Respostas das unidades setoriais do MTur |
||
|
Sim / Quantidade |
Não |
Observação |
|
|
1 - Etapa de identificação dos riscos: |
|||
|
1.1 – A unidade realizou o mapeamento de riscos? |
|||
|
1.2 - O mapeamento foi realizado conforme a Política de Gestão de Riscos e a metodologia do Ministério do Turismo? |
|||
|
1.3 - Os riscos mapeados estão relacionados/atrelados diretamente aos objetivos estratégicos do Ministério do Turismo? |
|||
|
1.4 - Quantos riscos foram identificados na unidade? |
|||
|
1.5 - A unidade vem atingindo seus objetivos e suas metas organizacionais? |
|||
|
1.6 - Outras manifestações e/ou informações relevantes da unidade quanto à etapa de identificação dos riscos que não tenham sido possíveis de cientificar através dos itens de 1.1 a 1.5. |
|||
|
2 - Etapa de avaliação dos riscos: |
|||
|
2.1 - Os riscos foram avaliados, por meio de critério de probabilidade e de impacto? |
|||
|
2.2 - As pessoas envolvidas com a GR da unidade possuem conhecimentos adequados sobre este assunto? |
|||
|
2.3 - O registro dos riscos identificados e analisados estão disponíveis em planilha ou afim, descrevendo os componentes de cada risco separadamente contemplando, pelo menos, suas causas, o evento e as consequências e impactos nos objetivos, identificados na etapa de estabelecimento do contexto? |
|||
|
2.4 - Houve priorização dos riscos? Se sim, esta priorização ocorreu com base na avaliação Probabilidade x Impacto? |
|||
|
2.5 - Existem controles internos para evitar a ocorrência do risco? |
|||
|
2.6 - Todos os responsáveis pelo tratamento de riscos são envolvidos no processo de seleção das opções de resposta e na elaboração dos planos de tratamento, bem como são formalmente comunicados das ações de tratamento decididas, para garantir que sejam adequadamente compreendidas, se comprometam e sejam responsabilizados por elas? |
|||
|
2.7 - Os envolvidos na identificação, avaliação e tratamento dos riscos possuem poder de decisão na unidade? |
|||
|
2.8 - Os riscos identificados se relacionam com recomendação, determinações e /ou alertas de órgãos de controle e de órgãos centrais responsáveis pela gestão do objeto tratado? |
|||
|
2.9 - Outras manifestações e/ou informações relevantes da unidade quanto à etapa de avaliação dos riscos que não tenham sido possíveis de cientificar através dos itens de 2.1 a 2.8. |
|||
|
3 - Etapa de tratamento dos riscos: |
|||
|
3.1 - Dos riscos identificados, quantos estão tendo suas medidas de tratamentos realizados? (indicadores) |
|||
|
3.2 - Foram identificados os eventuais tratamentos em face dos riscos apontados em recomendações, determinações e /ou alertas de órgãos de controle e de órgãos centrais responsáveis pela gestão do objeto tratado? |
|||
|
3.3 - Qual a motivação de eventual risco não estar tendo sua medida de tratamento implementada? |
|||
|
3.4 - Outras manifestações e/ou informações relevantes da unidade quanto à etapa de tratamento dos riscos que não tenham sido possíveis de cientificar através dos itens de 3.1 a 3.3. |
|||
|
4 - Etapa de monitoramento contínuo e avaliação dos riscos: |
|||
|
4.1 - A metodologia definida pelo Ministério do Turismo está adequada à realidade de gestão do órgão? |
|||
|
4.2 - As capacitações e os recursos disponíveis estão satisfatórios? |
|||
|
4.3 - Em uma auto-avaliação (Control and Risk Self Assessment – CRSA) qual nota (de 1 - ruim a 5 - excelente) você daria para o seu desempenho como gestor de riscos (1ª linha de defesa)? |
|||
|
4.4 – Quais as principais necessidades de melhorias devem ser implementadas a fim de se aperfeiçoar a gestão de riscos da unidade? |
|||
|
4.5 - Outras manifestações e/ou informações relevantes da unidade quanto à etapa de monitoramento contínuo e avaliação dos riscos não tenham sido possíveis de cientificar através dos itens de 4.1 a 4.4. |
|||
Fonte: Elaboração própria da AECI do Ministério do Turismo.
SIGLAS
ABNT - Associação Brasileira de Normas Técnicas
AECI - Assessoria Especial de Controle Interno
APF - Administração Pública Federal
CGRC - Comitê de Governança, Riscos e Controles
CGU - Controladoria Geral da União
CRSA - Control and Risk Self Assessment (Auto-avaliação de Controles e Riscos)
GR - Gestão de riscos
GRC - Gestor de Riscos e Controles
ISO - International Organization for Standardization (Organização Internacional para Padronização)
MPOG - Ministério do Planejamento, Orçamento e Gestão (Ministério da Economia/ME)
MTur - Ministério do Turismo
NBR - Norma Técnica Brasileira
NG - Núcleo de Governança
SE - Secretaria-Executiva
SGE - Subsecretaria de Gestão Estratégica
SGR - Subcomitê de Governança e Gestão de Riscos
TCU - Tribunal de Contas da União
UGI - Unidade de Gestão de Integridade
REFERÊNCIAS BIBLIOGRÁFICAS
ABNT - Associação Brasileira de Normas Técnicas. Gestão de Riscos - Princípios e diretrizes. NBR ISO 31000. Rio de janeiro: ABNT, 2009.
BRASIL. CGU - Controladoria-Geral Da União. Metodologia de Gestão de Riscos. Brasília: CGU, 2018.
BRASIL. TCU - Tribunal De Contas Da União. Referencial Básico de Gestão de Riscos. Brasília: TCU, Secretaria Geral de Controle Externo (Segecex), 2018.
[1] Contudo, conforme disposto no Parágrafo único do art. 8º da Resolução MTur nº01, de 2022:, “A gestão de riscos à integridade é assentada na diretriz fundamental de ’apetite zero’ a risco desta natureza, de forma a evitar os atos tipificados como desvio de conduta, fraude, corrupção, irregularidade, nepotismo e conflito de interesses, em qualquer nível hierárquico, mediante implementação de controles internos que visem inibir a prática desses atos.”