Administração para concursos · CNU · FGV

Gestão de Riscos para concursos: ISO 31000, COSO e TCU

Por Prof. Marcelo Soares Auditor da CGE-MT Atualizado em 08/07/2026

Gestão de riscos é um tema relativamente recente em concursos — ganhou força no âmbito federal com a nova Lei de Licitações — e é aposta forte para o CNU (Bloco 6, eixo 3). Mas não se iluda: você faz gestão de riscos todos os dias. Mães, aliás, são especialistas.

Resposta rápida: para a ISO 31000, risco é o efeito da incerteza nos objetivos — sempre associado a um objetivo, sempre envolvendo incerteza. Para o TCU, risco é a possibilidade de um evento afetar negativamente os objetivos (efeito positivo é oportunidade). A gestão de riscos é o conjunto de atividades coordenadas para identificar, analisar, avaliar e tratar esses riscos — e o seu propósito é criar e proteger valor, aumentando a chance de a organização alcançar os objetivos.

Assista à videoaula

Este artigo é baseado na aula de gestão de riscos do Prof. Marcelo Soares para o CNU (Bloco 6), com questões da FGV comentadas. Assista abaixo (ou direto no YouTube):

Neste artigo

  1. O que é risco (ISO 31000 × TCU)
  2. Fonte de risco, vulnerabilidade, controle e evento
  3. O que é gestão de riscos (e para que serve)
  4. Os princípios: ISO 31000, Decreto 9.203/2017 e TCU
  5. O processo de gestão de riscos da ISO 31000
  6. Inerente × residual, apetite e matriz de riscos
  7. Questão FGV comentada
  8. Perguntas frequentes

1. O que é risco (ISO 31000 × TCU)

Segundo a ISO 31000, risco é o efeito da incerteza nos objetivos. Desse conceito saem duas observações importantíssimas:

Outra forma de conceituar — e você precisa conhecer as duas — é a do TCU: risco é a possibilidade de que um evento afete negativamente o alcance dos objetivos. Aqui mora uma divergência que já foi cobrada em prova:

ISO × TCU: a ISO 31000 não diferencia risco de oportunidade — tudo que pode acontecer e impactar os objetivos, positiva ou negativamente, é risco. O TCU diferencia: impacto negativo possível é risco; impacto positivo possível é oportunidade. Na prova, se o enunciado seguir o manual do TCU, considere correto; se seguir a ISO, também — por isso você aprende as duas formas.

Na prática: você acordou com o objetivo de chegar ao trabalho. A partir desse objetivo, você já consegue identificar riscos — o pneu pode furar, você pode ser assaltado, pode se envolver num acidente de trânsito. A gestão de riscos propõe, por vezes, esse olhar do "pessimista": pensar no que pode dar errado para se precaver.

2. Fonte de risco, vulnerabilidade, controle e evento

Os riscos não estão no vácuo — eles decorrem de fontes. Quatro conceitos centrais caem em prova:

Fonte de risco (causa)

É o elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco. Há várias decomposições possíveis; a grande referência em provas é o diagrama de Ishikawa, por ser mais detalhado: pessoas, máquinas, material, processo, meio ambiente e medida. A CGU, em sua metodologia, faz uma decomposição mais sucinta (pessoas, infraestrutura, recursos, processos ou fonte externa) e o TCU trabalha com pessoas, infraestrutura, processo e tecnologia. O importante é a ideia: de onde vem o risco. Pense num acidente de avião — a causa invariavelmente recai numa fonte (decisão errada do piloto = pessoas; falha do equipamento = máquina).

Vulnerabilidade

É a fragilidade que torna um ativo ou processo suscetível a um evento de risco — um problema numa fonte de risco, que aumenta a probabilidade de o risco se concretizar. Pilotos com pouco treinamento são uma vulnerabilidade na fonte "pessoas"; revisões malfeitas dos aviões, na fonte "processos". No exemplo do trajeto ao trabalho: um condutor alcoolizado é uma vulnerabilidade que aumenta a chance do acidente.

Controle

É qualquer medida que mantém ou modifica o risco — conceito bem mais amplo que "catraca de acesso". Andar com o estepe modifica o impacto do risco de furar o pneu (mesmo que fure, você troca e chega ao trabalho). Respeitar as leis de trânsito reduz a probabilidade de um acidente. Tudo que modifica o risco é controle.

Evento

É a ocorrência ou mudança em um conjunto de circunstâncias. Os eventos reforçam o caráter dinâmico da gestão de riscos: não dá para fazer uma vez e abandonar. Uma obra no caminho do trabalho muda as circunstâncias — e muda o seu risco. Por isso o contexto precisa ser monitorado continuamente.

3. O que é gestão de riscos (e para que serve)

Com os conceitos centrais no lugar, a definição fica natural. Para a ISO 31000, o processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e identificação, avaliação, tratamento, monitoramento e análise crítica dos riscos. Em bom português: atividades coordenadas para identificar, entender bem e responder aos riscos.

O COSO define o gerenciamento de riscos como um processo conduzido pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias para identificar, em toda a organização, eventos em potencial capazes de afetá-la — administrando os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitando garantia razoável do cumprimento dos objetivos. E o TCU diz que a gestão de riscos tem como objetivo auxiliar a tomada de decisão com vistas a prover razoável segurança no cumprimento da missão e no alcance dos objetivos institucionais.

O propósito da gestão de riscos é criar e proteger valor: ela aumenta a capacidade da organização de lidar com as incertezas, contribui para o uso eficiente, eficaz e efetivo dos recursos e fortalece a imagem da instituição. Quando você identifica o risco do pneu furar e anda com o estepe, você aumenta a chance de alcançar o objetivo.

E ela anda colada na gestão estratégica: é no planejamento estratégico que se definem missão e objetivos; a gestão de riscos entra para identificar os eventos e circunstâncias que podem impedir que esses objetivos sejam alcançados — e tratá-los.

4. Os princípios: ISO 31000, Decreto 9.203/2017 e TCU

Diferentes documentos de referência trazem princípios diferentes. A principal fonte das bancas é a ISO 31000, que apresenta oito princípios — o formato clássico de questão descreve as características de um e atribui a outro, então você precisa saber descrever cada um:

O Decreto 9.203/2017 (política de governança na administração pública federal), no art. 17, bebe da ISO: implementação sistemática, estruturada, oportuna e documentada, subordinada ao interesse público; integração da gestão de riscos ao planejamento estratégico, aos processos e aos projetos; controles internos proporcionais aos riscos, considerando causas, fontes, consequências e impactos e a relação custo-benefício; e uso dos resultados para apoiar a melhoria contínua do desempenho, do gerenciamento de riscos, dos controles e da governança.

Já o manual do TCU traz princípios um pouco diferentes, que merecem atenção: fomentar inovação e ação empreendedora responsáveis (quem gerencia riscos pode ousar mais — e, documentando, demonstra gestão responsável mesmo se a iniciativa falhar); considerar riscos e também oportunidades (princípio que só faz sentido porque o TCU separa os dois conceitos); aplicar-se a qualquer atividade ou projeto; de forma contínua e integrada aos processos de trabalho; por ciclos de revisão e melhoria contínua; considerando fatores culturais e humanos; e ser dirigida, apoiada e monitorada pela alta administração — para que não seja só "pra constar".

5. O processo de gestão de riscos da ISO 31000

O processo é o coração da ISO 31000. Ele começa entendendo onde a gestão de riscos vai ser aplicada e termina com resposta, monitoramento e registro:

COMUNICAÇÃO E CONSULTA MONITORAMENTO E ANÁLISE CRÍTICA Escopo, contexto e critérios personalizar o processo à organização PROCESSO DE AVALIAÇÃO DE RISCOS Identificação encontrar e descrever Análise nível de risco Avaliação priorizar ou não? apoiada pela matriz impacto × probabilidade e pelo apetite a risco Tratamento do risco evitar · mitigar · transferir · aceitar ↳ REGISTRO E RELATO: documentar resultados para a organização aprender
O processo de gestão de riscos (ISO 31000): comunicação/consulta e monitoramento permeiam todas as etapas.

Escopo, contexto e critérios

O propósito é personalizar o processo de gestão de riscos — decorrência direta do princípio da personalização. Antes de aplicar qualquer "receita de bolo", entenda o contexto da organização. E esse entendimento tem que ser feito por quem conhece o dia a dia da casa.

Identificação dos riscos

É encontrar, reconhecer e descrever os riscos que possam ajudar ou impedir que a organização alcance os objetivos — mapear o que pode acontecer.

Análise dos riscos

É compreender a natureza do risco, incluindo o nível de risco (quão relevante, quão crítico ele é). Aqui você esmiúça: considera incertezas, fontes de risco, consequências, probabilidades, eventos, cenários, controles e a eficácia deles. A análise pode adotar uma abordagem qualitativa (percepções das pessoas), quantitativa (números — por exemplo, definir a probabilidade pela série histórica) ou semiquantitativa (percepções dentro de escalas).

Avaliação dos riscos (em sentido estrito)

É uma comparação, uma tomada de decisão: olhando o nível de risco, eu priorizo esse risco ou não? Quais passam para o tratamento? Essa decisão está diretamente associada ao apetite a risco da organização.

Pegadinha clássica: "avaliação de riscos" pode aparecer como processo (identificação + análise + avaliação) ou como etapa (a tomada de decisão). Se o enunciado descreve o "olhar minucioso" (natureza, nível, fontes, probabilidades) e existe alternativa específica de análise, marque análise; se não existir, a avaliação (como processo) pode ser a resposta válida.

Tratamento dos riscos

É dar uma resposta ao risco cujo nível ficou acima do aceitável. As estratégias clássicas:

O professor avisa: boa parte das questões cobra justamente transferir e mitigar.

Monitoramento, registro e relato

Monitorar é assegurar e melhorar continuamente a qualidade e a eficácia do processo; registrar e relatar é documentar os resultados por meio de mecanismos apropriados, para que a organização crie conhecimento e evolua na gestão de riscos. E a comunicação e consulta permeia tudo — do escopo ao tratamento.

6. Inerente × residual, apetite e matriz de riscos

Três conceitos desta parte são presença constante nas provas:

E, para apoiar a decisão, a metodologia mais popular em provas é a matriz impacto × probabilidade: você mensura a probabilidade e o impacto do risco (na análise), plota o nível de risco na matriz e ela orienta a tomada de decisão — quais riscos passam para a fase de tratamento e quais não. Os limites da matriz variam de organização para organização, conforme o apetite.

Resumo de prova

7. Questão FGV comentada

Questão comentada — FGV

No tocante aos fundamentos da gestão de riscos, analise as seguintes definições:

I. Risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco.
II. Magnitude de um risco expressa em termos da combinação das consequências e suas probabilidades.
III. Risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou impacto.

As alternativas combinam, em ordens diferentes, cinco termos — associe cada definição ao termo certo:

Gabarito: alternativa D — a sequência risco residual · nível de risco · risco inerente. Como comenta o professor na aula: são só esses os termos que aparecem — dominou os conceitos, a questão sai.

Administração no padrão da banca FGV

Gestão de riscos é só um pedaço: no Curso FGV você domina Administração Geral, Pública e Gestão de Pessoas do jeito que a banca cobra — do zero ao gabarito.

Conhecer o Curso FGV →

Perguntas frequentes

O que é risco segundo a ISO 31000?
O efeito da incerteza nos objetivos. Sempre associado a um objetivo e sempre envolvendo incerteza — sem distinção entre risco e oportunidade.
Qual a diferença entre o conceito da ISO e o do TCU?
O TCU restringe o risco ao impacto negativo possível (o positivo é oportunidade); a ISO trata tudo como risco. As duas formas já foram cobradas — conheça ambas.
Qual a diferença entre risco inerente e residual?
Inerente é a exposição natural, sem considerar controles; residual é o que sobra após os controles (o TCU também chama de risco real).
O que é apetite a risco?
O nível de risco acima do qual é desejável tratar o risco — também chamado de limite de exposição ou tolerância.
Quais são as estratégias de tratamento de riscos?
Evitar (abandonar a atividade), mitigar (reduzir probabilidade ou impacto), transferir/compartilhar (ex.: seguro) e aceitar (não agir). As mais cobradas: transferir e mitigar.
MS

Prof. Marcelo Soares — professor de Administração e Auditoria para concursos, auditor da CGE-MT (Controladoria-Geral do Estado de Mato Grosso), com quase 10 anos de experiência na área de controle interno e aprovado em 10 concursos públicos.