MANUAL DE GESTÃO DE RISCOS

DA PREFEITURA
MUNICIPAL DE INHAÚMA
SUMÁRIO

INTRODUÇÃO ..................................................................................................................... 3
CONCEITOS ......................................................................................................................... 3
METODOLOGIA.................................................................................................................. 4
GRUPO DE TRABALHO .................................................................................................... 6
3.2. SELEÇÃO DO PROCESSO DE TRABALHO ............................................................. 6
3.3. ESTABELECIMENTO DO CONTEXTO ..................................................................... 6
3.4. IDENTIFICAÇÃO DOS RISCOS ................................................................................. 7
3.5. ANÁLISE E AVALIAÇÃO DOS RISCOS ................................................................... 7
3.5.2. NÍVEL DE RISCO .................................................................................................... 10
3.5.3. CATEGORIAS DE RISCO ....................................................................................... 10
3.5.4. AVALIAÇÃO ........................................................................................................... 11
3.5.4.1. CONTROLES......................................................................................................... 12
3.6. TRATAMENTO DO RISCO ....................................................................................... 13
3.7. MONITORAMENTO E ANÁLISE CRÍTICA ............................................................ 13
3.8. COMUNICAÇÃO E CONSULTA .............................................................................. 13
4. BIBLIOGRAFIA ............................................................................................................. 14
INTRODUÇÃO

A Prefeitura Municipal de Inhaúma atua com vistas a entregar aos cidadãos a melhor
prestação de serviços públicos, bem como ações, programas e projetos que agreguem valor à
vida em sociedade, gerindo os recursos disponíveis em prol do interesse público.
Na busca contínua de aumentar a eficácia, eficiência e efetividade da sua atuação, a Prefeitura
Municipal de Inhaúma tem envidado esforços para fortalecer a governança e, por conseguinte,
a gestão da instituição.
A Gestão de Riscos, cuja política interna está regulamentada na Portaria nº 29 de 28 de abril
de 2022, constitui-se em importante mecanismo de governança, ao passo que auxiliará na
tomada de decisões, tornando-as mais precisas. Para tanto, deve ser entendida como um
processo contínuo a ser aplicado em toda a instituição.
O objetivo da Gestão de Riscos é manter os gestores atentos aos eventos em potencial que
possam influenciar, de forma negativa ou positiva, no atingimento dos objetivos da Prefeitura
Municipal, caso eles se concretizem.
A Metodologia da Gestão de Riscos apresenta-se como um conjunto de etapas que visam à
operacionalização da gestão, representando um passo a passo de como deverá ser feito o
gerenciamento dos riscos detectados.
Tratando-se de prática que deve ser incorporada ao cotidiano da instituição, os treinamentos
para capacitação e atualização devem ser contínuos.
A Gestão de Riscos é um dos mecanismos do Programa de Integridade da Prefeitura
Municipal e, por meio dela, é possível implementar políticas e procedimentos para prevenir,
detectar e remediar a ocorrência de riscos que possam ameaçar os objetivos da instituição.

Geraldo Custódio Silva Júnior

Prefeito Municipal

CONCEITOS

2.1. Ameaças: eventos de risco que influenciam negativamente o atingimento dos objetivos da
instituição;
2.2. Apetite a risco: nível de risco que uma organização está disposta a aceitar;
2.3. Gestão: diz respeito ao funcionamento do cotidiano de programas e de organizações no
contexto de estratégias, políticas, processos e procedimentos que foram estabelecidos pelo
órgão;
2.4. Gestão de risco: arquitetura (princípios, objetivos, estrutura, competências e processo)
necessária para se gerenciarem riscos eficazmente;
2.5. Gestor de risco: é o titular da Diretoria Executiva ou das unidades com status equivalente;
2.6. Gerenciamento de risco: processo para identificar, avaliar, administrar e controlar
potenciais eventos ou situações e fornecer segurança razoável no alcance dos objetivos
organizacionais;
2.7. Governança: no setor público, compreende essencialmente os mecanismos de liderança,
estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da
gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da
sociedade;
2.8. Nível de risco: representação da magnitude do risco na matriz;
2.9. Oportunidades: eventos de risco que influenciam positivamente o atingimento dos
objetivos da instituição;
2.10. Processo de trabalho: conjunto de atividades da instituição ou unidade realizadas
sistematicamente e em uma lógica sequencial, o qual representa os métodos de execução de
um trabalho necessário para alcançar um objetivo;
2.11. Responsável pelo risco: é o responsável pela execução das ações previstas no plano para
o tratamento do risco;
2.12. Resposta ao risco: é a definição da estratégia com maior probabilidade de eficácia para
cada risco;
2.13. Risco: possibilidade de ocorrência de um evento que tenha impacto no atingimento dos
objetivos da organização;
2.14. Risco inerente: risco a que uma organização está exposta sem considerar quaisquer
medidas de controle que possam reduzir a probabilidade de sua ocorrência ou seu impacto.
2.15. Risco residual: risco a que uma organização está exposta após a implementação de ações
gerenciais para o tratamento do risco inerente;

METODOLOGIA

Risco é a possibilidade de ocorrência de um evento que tenha impacto no atingimento dos

objetivos da organização. Disto decorre a importância de bem geri-los, estabelecendo-se uma
sequência de ações que sejam de fácil compreensão para todos e eficazes em sua aplicação.
A Metodologia de Gestão de Riscos consiste no estabelecimento das etapas a serem seguidas
para o gerenciamento dos riscos. Cabe registrar, neste ponto, a diferença entre gestão e
gerenciamento de riscos.
A gestão de riscos é a estrutura necessária para gerenciar riscos eficazmente, com o objetivo
de apoiar a melhoria contínua de projetos e processos de trabalho.
Gerenciamento é a gestão de riscos posta em prática para identificar, avaliar, administrar e
controlar potenciais eventos ou situações e fornecer segurança razoável no alcance dos
objetivos organizacionais.

Para a construção da metodologia que melhor se adequasse à realidade da Prefeitura

Municipal de Inhaúma, foram consideradas as orientações da Associação Brasileira de
Normas Técnicas – NBR ISO 31000:2009.
Gestão de riscos: princípios e diretrizes, bem como as propostas de outros métodos usados
para o mesmo fim.

Este Manual apresentará o detalhamento da operacionalização, quais sejam:

I - estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados
em consideração ao gerenciar riscos e ao estabelecimento do escopo e dos critérios de risco;
II - identificação dos riscos: busca, reconhecimento e descrição dos eventos de risco, suas
causas e suas consequências potenciais;
III - análise e avaliação dos riscos: compreensão da natureza do risco e à determinação do
respectivo nível de risco mediante a combinação da probabilidade de sua ocorrência e dos
impactos possíveis;
IV - tratamento dos riscos: seleção e adoção de uma ou mais ações para modificar os riscos;
V - monitoramento e análise crítica: verificação, supervisão, observação crítica ou
identificação da situação de risco, realizadas de forma contínua, a fim de determinar a
adequação, suficiência e eficácia dos controles internos para atingir os objetivos
estabelecidos;
VI - comunicação e consulta: manutenção de fluxo regular e constante de informações com as
partes interessadas, durante todas as fases do processo de gestão de riscos.

Obs.: Cada etapa será detalhada nos tópicos que se seguem.

É importante ter sempre em mente os objetivos e os pressupostos fixados na Política de
Riscos da Prefeitura Municipal, pois eles representam o substrato para a correta aplicação
desta metodologia.

3.1. Quem é o Gestor do Risco?

GESTOR DE RISCO
No âmbito das Secretarias, é o titular da Secretaria ou das unidades com status equivalente.
Suas atribuições compreendem:
• selecionar o processo de trabalho que será objeto do gerenciamento de riscos;
• designar os colaboradores que comporão o grupo de trabalho;
• coordenar e monitorar as atividades do grupo de trabalho, bem como subsidiá-lo com
informações relevantes, prezando pela periodicidade das reuniões;
• manter interlocução entre as áreas envolvidas;
• propor o plano de ação para o tratamento dos riscos priorizados;
• designar o (s) responsável pelo risco;
• monitorar a execução do plano de ação para o tratamento do risco até sua finalização

GRUPO DE TRABALHO
Responsável pela condução do processo de gerenciamento de riscos.

RESPONSÁVEL PELO TRATAMENTO DO RISCO

Responsável (s) pela execução das ações previstas no plano para o tratamento do risco.

Nos casos em que o processo de trabalho selecionado envolver mais de uma Secretaria, as
decisões deverão ser tomadas de forma colegiada.
É importante que, ao designar o grupo de trabalho, o gestor de risco selecione servidores de
todas as etapas do fluxo do processo de trabalho escolhido.
Em razão da complexidade e multiplicidade das tarefas dos processos de trabalho e riscos
relacionados à prestação jurisdicional, a atribuição da responsabilidade pela gestão de riscos
nessa seara será objeto de deliberações posteriores.

3.2. SELEÇÃO DO PROCESSO DE TRABALHO

Antes de iniciar a etapa de gerenciamento propriamente dita, deve-se selecionar o processo de
trabalho que será objeto da gestão de riscos.
Esta escolha é feita pelo gestor de risco, que pode ser subsidiado com informações dos
servidores vinculados a sua área, no intuito de ter uma visão global da unidade e, assim,
facilitar a identificação dos processos de trabalho que devem ser priorizados.
Poderá ocorrer que a Alta Administração priorize o gerenciamento de riscos de processo de
trabalho específico não selecionado pelo gestor.

É importante ressaltar que a eficácia da gestão de riscos está atrelada à escolha correta do
processo de trabalho a ser acompanhado, devendo, pois, recair sobre aqueles processos que
ofereçam potencial ameaça ao atingimento dos objetivos da área e, por conseguinte, dos
objetivos estratégicos da Prefeitura Municipal.

3.3. ESTABELECIMENTO DO CONTEXTO

Nesta fase, inicia-se a atuação do grupo de trabalho designado pelo gestor de risco.
Selecionado o processo de trabalho, é necessário compreender em qual contexto ele está
inserido, para a correta condução das etapas seguintes.
O estabelecimento do contexto consiste em listar os fatores internos e externos que possam
causar impactos no processo de trabalho escolhido, tanto agregando aspectos positivos quanto
prejudicando o atingimento do seu objetivo.
Esta análise pode ser feita utilizando-se a técnica denominada SWOT, cuja explicação segue
abaixo, bem como outras técnicas que se julgarem adequadas. A expressão SWOT é a junção
das iniciais das palavras Strenghts (Forças), Weaknesses (Fraquezas) – que devem ser
reconhecidas considerando-se o ambiente interno – e Opportunities (Oportunidades) e Threats
(Ameaças) – que devem ser identificadas com base no ambiente externo, conforme o gráfico
abaixo:

A simples definição de forças e fraquezas, por exemplo, irá ajudar na etapa de identificação
dos riscos, pois o grupo de trabalho poderá partir dessas definições para listar os riscos aos
quais o processo de trabalho está exposto.

3.4. IDENTIFICAÇÃO DOS RISCOS

Esta etapa se dedica ao levantamento dos potenciais eventos de risco relacionados ao processo
de trabalho, com a indicação de sua (s) respectiva (s) causa (s) e consequência (s).
As causas são as condições que viabilizam a concretização de um evento que afeta os
objetivos, sendo resultantes da junção das fontes de risco com as vulnerabilidades. As
consequências são os resultados de um evento que afetam os objetivos.
A fim de identificar o maior número possível de eventos de risco, o grupo de trabalho poderá
adotar técnicas que facilitam o levantamento dessas informações, como o brainstorming, a
utilização de questionários, a realização de entrevistas com os servidores envolvidos no
processo de trabalho selecionado, a análise do mapeamento do fluxo de trabalho, dentre
outras.

3.5. ANÁLISE E AVALIAÇÃO DOS RISCOS

3.5.1. Análise A análise é a compreensão de cada evento de risco identificado no que tange à
sua probabilidade de ocorrência e ao impacto que pode gerar caso ocorra.
A partir da combinação de ambos (probabilidade e impacto) em uma matriz, é possível
estabelecer o nível de risco.
A cada evento de risco deve ser atribuído o grau de probabilidade e o grau de impacto, de
acordo com o enquadramento da situação na descrição das tabelas abaixo.

Observação: O histórico pode ser obtido a partir do levantamento feito por meio de
documentos, entrevistas, relatos, série histórica, recomendações da auditoria
Em caso de dúvida quanto ao impacto, deve-se optar pelo de maior grau.
A combinação entre os graus de impacto e de probabilidade resulta na matriz de nível de
risco, por meio da qual se determina o nível de risco do evento (vide detalhamento no item nº
3.5.2).
3.5.2. NÍVEL DE RISCO
O nível de risco advém da multiplicação do grau de probabilidade pelo grau de impacto
atribuído a cada evento de risco identificado.
A este primeiro resultado dá-se o nome de nível de risco inerente, que quer dizer o nível de
risco a que uma unidade/um processo de trabalho está exposta(o), sem considerar os controles
já existentes ou a aplicação de algum tratamento.
Em resumo:

O resultado desse cálculo possibilita classificar os níveis de risco dos eventos identificados
segundo a tabela abaixo:

É recomendado que o grupo de trabalho priorize, quando da seleção para tratamento, os

eventos classificados com níveis de risco médio, alto e muito alto.

3.5.3. CATEGORIAS DE RISCO

Para melhor mensurar o impacto dos eventos de risco identificados, é importante separá -los
de acordo com a categoria de risco, pois assim é possível ter uma visão mais clara dos
objetivos lato sensu da Prefeitura Municipal de Inhaúma que seriam impactados com a
ocorrência dos eventos e o quão relevantes eles são.
A Portaria da Política de Riscos elenca, em seu artigo 4º, sete categorias. São elas:
Riscos Estratégicos: Decisões que podem afetar negativamente o alcance dos objetivos da
organização;
Riscos Operacionais: Perdas resultantes de falhas, deficiências ou inadequação de processos
internos, estrutura, pessoas, sistemas, tecnologia, assim como de eventos externos;
Riscos de comunicação: Eventos que podem impedir ou dificultar a disponibilidade de
informações para a tomada de decisões e para o cumprimento das obrigações de prestação de
contas às instâncias controladoras e à sociedade;
Riscos de conformidade: Não cumprimento de princípios constitucionais, legislações
específicas ou regulamentações externas aplicáveis ao negócio, bem como de normas e
procedimentos internos.
Riscos de reputação: Comprometimento da confiança da sociedade em relação à capacidade
da Prefeitura Municipal em cumprir sua missão institucional e interferência direta na imagem
do órgão.
Riscos de integridade: Desvios éticos e de conduta destoantes dos valores e padrões
preconizados pela Prefeitura Municipal.
Riscos orçamentários e financeiros: Comprometimento dos recursos orçamentários e
financeiros necessários à realização das atividades da Prefeitura Municipal.

A categorização auxilia na definição do grau de impacto (vide tabela de impacto) do evento

de risco, podendo reverberar na apuração de seu nível e, portanto, na priorização dos riscos a
serem tratados

3.5.4. AVALIAÇÃO
Encerrada a análise, passa-se, então, à avaliação, cujo objetivo é a determinação de quais
riscos terão tratamento prioritário, conforme o apetite a risco da organização, e a sugestão,
pelo grupo de trabalho, de qual o tratamento a ser utilizado.
O tratamento do risco dar-se-á mediante as seguintes respostas:
A próxima fase da metodologia dedicada ao tratamento dos riscos envolve a seleção de uma
ou mais das respostas acima para modificá-los, considerando os controles existentes

3.5.4.1. CONTROLES
O controle, genericamente falando, é uma ação tomada com o propósito de certificar-se de
que algo se cumpra de acordo com o que foi planejado. Objetivo é o que se deseja alcançar tal
como definido no planejamento.
Risco é qualquer evento que possa impedir ou dificultar o alcance de um objetivo.
O controle, portanto, só tem significado e relevância quando é concebido para garantir o
cumprimento de um objetivo definido e só faz sentido se houver riscos de que esse objetivo
não venha a ser alcançado.
As atividades de controle são as políticas e os procedimentos estabelecidos e executados para
mitigar os riscos que a administração opte por tratar. Elas devem estar distribuídas por toda a
organização, em todos os níveis e em todas as funções e incluem uma gama de ações
preventivas e detectivas, tais como procedimentos de autorização e aprovação, segregação de
funções (autorização, execução, registro), controles de acesso a recursos e registros,
verificações, avaliação de operações, de processos e de atividades.
Além das ações preventivas e detectivas, há também as de natureza corretiva, que são um
complemento necessário às atividades ou aos procedimentos de controle. Em alguns casos a
atividade de controle abordará diversos riscos.
Em outros casos, poderão ser necessárias diversas atividades para resposta a apenas um risco.
Por isso, após o conhecimento do nível de risco residual deverá ser verificada a estratégia a
ser adotada para responder ao evento de risco. A escolha da estratégia dependerá do nível de
exposição a riscos previamente estabelecidos.

3.6. TRATAMENTO DO RISCO

Considerando que, na etapa anterior, foram selecionados os eventos de risco que receberão
tratamento - bem como qual será a resposta a eles - a presente fase se destinará ao
detalhamento do tratamento a ser implantado. Para isto, o grupo de trabalho, juntamente com
o gestor de risco, deverá elaborar o Plano de Ação para o Tratamento, o qual conterá os
prazos e as atividades a serem executadas com o objetivo de evitar, mitigar ou compartilhar o
evento de risco. O Plano de Ação será submetido à apreciação do Comitê de Integridade e,
após aprovação, o gestor de risco designará o(s) responsável(is) pelo risco, que será(ão) o(s)
servidor(es) encarregado(s) de executar o plano, devendo reportar o andamento das ações ao
gestor. A execução do plano de ação para o tratamento do risco pode gerar novos controles ou
determinar a modificação dos controles existentes.

3.7. MONITORAMENTO E ANÁLISE CRÍTICA

A fase de monitoramento e análise crítica poderá ser periódica ou acontecer em resposta a um
fato específico.

As finalidades são as seguintes:

• garantir que os controles sejam eficazes e eficientes no processo e na execução da atividade;
• obter informações adicionais para melhorar a avaliação dos riscos;
• analisar os eventos, as mudanças e aprender com o sucesso ou fracasso do tratamento do
risco;
• detectar mudanças nos contextos externo e interno, incluindo alterações nos riscos, as quais
podem exigir a revisão da forma de tratá-los;
• identificar os riscos emergentes, que poderão surgir após o processo de análise crítica,
reiniciando o ciclo do processo de gerenciamento de riscos.

3.8. COMUNICAÇÃO E CONSULTA

A comunicação e a consulta têm como objetivo facilitar a troca de informações entre as partes
interessadas e são necessárias à gestão de riscos, sempre levando em consideração os aspectos
de confidencialidade, integridade e confiabilidade.
É importante que aconteçam durante todas as fases do gerenciamento de riscos, a fim de que
os envolvidos desempenhem suas funções adequadamente.
4. BIBLIOGRAFIA

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 31000: Gestão de riscos -

Diretrizes. Rio de Janeiro. 2018.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 31004: Gestão de riscos -

Guia para implementação da ABNT NBR ISO 31000. Rio de Janeiro. 2015.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 31010: Gestão de riscos -

Técnicas para o processo de avaliação de riscos. Rio de Janeiro, 2012.
BRASIL. Tribunal de Contas da União. Critérios Gerais de Controle Interno na
Administração Pública. Brasília: TCU, Secretaria Adjunta de Planejamento e Procedimentos
Diretoria de Métodos e Procedimentos de Controle. 2009.
BRASIL. Ministério da Transparência e Controladoria-Geral da União – CGU. Metodologia
de Gestão de Riscos. 2018.
BRASIL. Tribunal de Contas da União. Referencial Básico de Governança. Brasília. 2014.
BRASIL. Ministério do Planejamento, Desenvolvimento e Gestão. Manual de Gestão de
Integridade, Riscos e Controles Internos da Gestão. Brasília, 2017.