Gestão de Riscos para concursos: ISO 31000, COSO e TCU
Gestão de riscos é um tema relativamente recente em concursos — ganhou força no âmbito federal com a nova Lei de Licitações — e é aposta forte para o CNU (Bloco 6, eixo 3). Mas não se iluda: você faz gestão de riscos todos os dias. Mães, aliás, são especialistas.
Assista à videoaula
Este artigo é baseado na aula de gestão de riscos do Prof. Marcelo Soares para o CNU (Bloco 6), com questões da FGV comentadas. Assista abaixo (ou direto no YouTube):
Neste artigo
- O que é risco (ISO 31000 × TCU)
- Fonte de risco, vulnerabilidade, controle e evento
- O que é gestão de riscos (e para que serve)
- Os princípios: ISO 31000, Decreto 9.203/2017 e TCU
- O processo de gestão de riscos da ISO 31000
- Inerente × residual, apetite e matriz de riscos
- Questão FGV comentada
- Perguntas frequentes
1. O que é risco (ISO 31000 × TCU)
Segundo a ISO 31000, risco é o efeito da incerteza nos objetivos. Desse conceito saem duas observações importantíssimas:
- Risco está sempre associado a algum objetivo. Para identificar e mapear riscos, primeiro você precisa de uma definição clara do objetivo.
- Risco é incerteza. Se você sabe que algo vai acontecer, não é risco. Risco é a possibilidade de alguma coisa acontecer.
Outra forma de conceituar — e você precisa conhecer as duas — é a do TCU: risco é a possibilidade de que um evento afete negativamente o alcance dos objetivos. Aqui mora uma divergência que já foi cobrada em prova:
Na prática: você acordou com o objetivo de chegar ao trabalho. A partir desse objetivo, você já consegue identificar riscos — o pneu pode furar, você pode ser assaltado, pode se envolver num acidente de trânsito. A gestão de riscos propõe, por vezes, esse olhar do "pessimista": pensar no que pode dar errado para se precaver.
2. Fonte de risco, vulnerabilidade, controle e evento
Os riscos não estão no vácuo — eles decorrem de fontes. Quatro conceitos centrais caem em prova:
Fonte de risco (causa)
É o elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco. Há várias decomposições possíveis; a grande referência em provas é o diagrama de Ishikawa, por ser mais detalhado: pessoas, máquinas, material, processo, meio ambiente e medida. A CGU, em sua metodologia, faz uma decomposição mais sucinta (pessoas, infraestrutura, recursos, processos ou fonte externa) e o TCU trabalha com pessoas, infraestrutura, processo e tecnologia. O importante é a ideia: de onde vem o risco. Pense num acidente de avião — a causa invariavelmente recai numa fonte (decisão errada do piloto = pessoas; falha do equipamento = máquina).
Vulnerabilidade
É a fragilidade que torna um ativo ou processo suscetível a um evento de risco — um problema numa fonte de risco, que aumenta a probabilidade de o risco se concretizar. Pilotos com pouco treinamento são uma vulnerabilidade na fonte "pessoas"; revisões malfeitas dos aviões, na fonte "processos". No exemplo do trajeto ao trabalho: um condutor alcoolizado é uma vulnerabilidade que aumenta a chance do acidente.
Controle
É qualquer medida que mantém ou modifica o risco — conceito bem mais amplo que "catraca de acesso". Andar com o estepe modifica o impacto do risco de furar o pneu (mesmo que fure, você troca e chega ao trabalho). Respeitar as leis de trânsito reduz a probabilidade de um acidente. Tudo que modifica o risco é controle.
Evento
É a ocorrência ou mudança em um conjunto de circunstâncias. Os eventos reforçam o caráter dinâmico da gestão de riscos: não dá para fazer uma vez e abandonar. Uma obra no caminho do trabalho muda as circunstâncias — e muda o seu risco. Por isso o contexto precisa ser monitorado continuamente.
3. O que é gestão de riscos (e para que serve)
Com os conceitos centrais no lugar, a definição fica natural. Para a ISO 31000, o processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e identificação, avaliação, tratamento, monitoramento e análise crítica dos riscos. Em bom português: atividades coordenadas para identificar, entender bem e responder aos riscos.
O COSO define o gerenciamento de riscos como um processo conduzido pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias para identificar, em toda a organização, eventos em potencial capazes de afetá-la — administrando os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitando garantia razoável do cumprimento dos objetivos. E o TCU diz que a gestão de riscos tem como objetivo auxiliar a tomada de decisão com vistas a prover razoável segurança no cumprimento da missão e no alcance dos objetivos institucionais.
E ela anda colada na gestão estratégica: é no planejamento estratégico que se definem missão e objetivos; a gestão de riscos entra para identificar os eventos e circunstâncias que podem impedir que esses objetivos sejam alcançados — e tratá-los.
4. Os princípios: ISO 31000, Decreto 9.203/2017 e TCU
Diferentes documentos de referência trazem princípios diferentes. A principal fonte das bancas é a ISO 31000, que apresenta oito princípios — o formato clássico de questão descreve as características de um e atribui a outro, então você precisa saber descrever cada um:
- Integrada — a gestão de riscos é parte integrante de todas as atividades organizacionais; não é atividade isolada de um departamento, é dever de todos.
- Estruturada e abrangente — abordagem com método, processo e responsáveis definidos, envolvendo toda a organização, o que gera resultados consistentes e comparáveis.
- Personalizada — proporcional ao contexto externo e interno da organização (não faz sentido criar uma diretoria de gestão de riscos numa sorveteria).
- Inclusiva — envolvimento das partes interessadas: quanto mais perspectivas, maior a capacidade de identificar e lidar com riscos.
- Dinâmica — o contexto muda, os eventos mudam; é preciso atualizar e acompanhar continuamente.
- Melhor informação disponível — levantar, estruturar e coletar dados continuamente para refinar as informações usadas.
- Fatores humanos e culturais — o comportamento humano e a cultura influenciam todos os aspectos; se a empresa nunca falou de gestão de riscos, comece simples e sensibilize.
- Melhoria contínua — a gestão de riscos melhora pelo aprendizado e pelas experiências; tem um quê de arte, evolui com quem executa.
O Decreto 9.203/2017 (política de governança na administração pública federal), no art. 17, bebe da ISO: implementação sistemática, estruturada, oportuna e documentada, subordinada ao interesse público; integração da gestão de riscos ao planejamento estratégico, aos processos e aos projetos; controles internos proporcionais aos riscos, considerando causas, fontes, consequências e impactos e a relação custo-benefício; e uso dos resultados para apoiar a melhoria contínua do desempenho, do gerenciamento de riscos, dos controles e da governança.
Já o manual do TCU traz princípios um pouco diferentes, que merecem atenção: fomentar inovação e ação empreendedora responsáveis (quem gerencia riscos pode ousar mais — e, documentando, demonstra gestão responsável mesmo se a iniciativa falhar); considerar riscos e também oportunidades (princípio que só faz sentido porque o TCU separa os dois conceitos); aplicar-se a qualquer atividade ou projeto; de forma contínua e integrada aos processos de trabalho; por ciclos de revisão e melhoria contínua; considerando fatores culturais e humanos; e ser dirigida, apoiada e monitorada pela alta administração — para que não seja só "pra constar".
5. O processo de gestão de riscos da ISO 31000
O processo é o coração da ISO 31000. Ele começa entendendo onde a gestão de riscos vai ser aplicada e termina com resposta, monitoramento e registro:
Escopo, contexto e critérios
O propósito é personalizar o processo de gestão de riscos — decorrência direta do princípio da personalização. Antes de aplicar qualquer "receita de bolo", entenda o contexto da organização. E esse entendimento tem que ser feito por quem conhece o dia a dia da casa.
Identificação dos riscos
É encontrar, reconhecer e descrever os riscos que possam ajudar ou impedir que a organização alcance os objetivos — mapear o que pode acontecer.
Análise dos riscos
É compreender a natureza do risco, incluindo o nível de risco (quão relevante, quão crítico ele é). Aqui você esmiúça: considera incertezas, fontes de risco, consequências, probabilidades, eventos, cenários, controles e a eficácia deles. A análise pode adotar uma abordagem qualitativa (percepções das pessoas), quantitativa (números — por exemplo, definir a probabilidade pela série histórica) ou semiquantitativa (percepções dentro de escalas).
Avaliação dos riscos (em sentido estrito)
É uma comparação, uma tomada de decisão: olhando o nível de risco, eu priorizo esse risco ou não? Quais passam para o tratamento? Essa decisão está diretamente associada ao apetite a risco da organização.
Tratamento dos riscos
É dar uma resposta ao risco cujo nível ficou acima do aceitável. As estratégias clássicas:
- Evitar — na maior parte das vezes, abandonar a atividade (como eliminar por completo o risco de morrer em queda de avião? Nunca andar de avião).
- Mitigar — reduzir a probabilidade (respeitar as leis de trânsito) ou o impacto (andar com o estepe).
- Transferir / compartilhar — passar a um terceiro o ônus da concretização. Exemplo clássico: seguro.
- Aceitar — não realizar nenhuma ação de tratamento.
O professor avisa: boa parte das questões cobra justamente transferir e mitigar.
Monitoramento, registro e relato
Monitorar é assegurar e melhorar continuamente a qualidade e a eficácia do processo; registrar e relatar é documentar os resultados por meio de mecanismos apropriados, para que a organização crie conhecimento e evolua na gestão de riscos. E a comunicação e consulta permeia tudo — do escopo ao tratamento.
6. Inerente × residual, apetite e matriz de riscos
Três conceitos desta parte são presença constante nas provas:
- Risco inerente — a exposição natural da atividade, sem considerar quaisquer ações gerenciais (controles). Existe o risco de o pneu furar no trajeto? Existe — esse é o inerente.
- Risco residual — o risco que sobra após a implementação dos controles. O TCU também o chama de risco real. É com ele que se trabalha na avaliação.
- Apetite a risco (limite de exposição / tolerância) — o nível de risco acima do qual é desejável o tratamento. Abaixo, você aceita; acima, você age.
E, para apoiar a decisão, a metodologia mais popular em provas é a matriz impacto × probabilidade: você mensura a probabilidade e o impacto do risco (na análise), plota o nível de risco na matriz e ela orienta a tomada de decisão — quais riscos passam para a fase de tratamento e quais não. Os limites da matriz variam de organização para organização, conforme o apetite.
Resumo de prova
- Risco (ISO): efeito da incerteza nos objetivos — sem distinguir de oportunidade.
- Risco (TCU): possibilidade de evento afetar negativamente; positivo = oportunidade.
- Nível de risco: magnitude = consequências (impacto) × probabilidade.
- Inerente = sem controles · Residual (real) = após controles.
- Apetite = nível de risco acima do qual se trata.
- Processo: escopo → identificação → análise → avaliação → tratamento (+ comunicação, monitoramento e registro).
- Tratamento: evitar · mitigar · transferir · aceitar.
7. Questão FGV comentada
No tocante aos fundamentos da gestão de riscos, analise as seguintes definições:
I. Risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco.
II. Magnitude de um risco expressa em termos da combinação das consequências e suas probabilidades.
III. Risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou impacto.
As alternativas combinam, em ordens diferentes, cinco termos — associe cada definição ao termo certo:
- Risco residual — o risco que sobra após os controles (lembra: inerente → controles → residual; o TCU chama de risco real). → É a definição I.
- Nível de risco — a magnitude do risco: combinação das consequências (impacto) com as probabilidades. → É a definição II.
- Risco inerente — a exposição natural, sem considerar qualquer ação gerencial. → É a definição III.
- Matriz de risco — distrator: é a ferramenta de probabilidade × impacto que apoia a decisão, não uma definição de exposição.
- Tolerância a risco — distrator: é o apetite — o quanto de risco eu aceito antes de tomar alguma medida de tratamento.
Gabarito: alternativa D — a sequência risco residual · nível de risco · risco inerente. Como comenta o professor na aula: são só esses os termos que aparecem — dominou os conceitos, a questão sai.
Administração no padrão da banca FGV
Gestão de riscos é só um pedaço: no Curso FGV você domina Administração Geral, Pública e Gestão de Pessoas do jeito que a banca cobra — do zero ao gabarito.
Conhecer o Curso FGV →Perguntas frequentes
- O que é risco segundo a ISO 31000?
- O efeito da incerteza nos objetivos. Sempre associado a um objetivo e sempre envolvendo incerteza — sem distinção entre risco e oportunidade.
- Qual a diferença entre o conceito da ISO e o do TCU?
- O TCU restringe o risco ao impacto negativo possível (o positivo é oportunidade); a ISO trata tudo como risco. As duas formas já foram cobradas — conheça ambas.
- Qual a diferença entre risco inerente e residual?
- Inerente é a exposição natural, sem considerar controles; residual é o que sobra após os controles (o TCU também chama de risco real).
- O que é apetite a risco?
- O nível de risco acima do qual é desejável tratar o risco — também chamado de limite de exposição ou tolerância.
- Quais são as estratégias de tratamento de riscos?
- Evitar (abandonar a atividade), mitigar (reduzir probabilidade ou impacto), transferir/compartilhar (ex.: seguro) e aceitar (não agir). As mais cobradas: transferir e mitigar.