Gestão de risco
QUESTÕES RESOLVIDAS E COMENTADAS
(fundatec 2022) Relativamente aos termos e definições atinentes à gestão de riscos, relacione a Coluna 1 à Coluna 2.
Coluna 1
1. Risco.
2. Gestão de Riscos.
3. Estrutura da Gestão de Riscos.
4. Política de Gestão de Riscos.
5. Proprietário do Risco.
Coluna 2
( ) Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
( ) Pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco.
( ) Conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização.
( ) Efeito da incerteza nos objetivos.
( ) Declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é: 2 – 5 – 3 – 1 – 4.
Gestão de Riscos - Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
Proprietário do Risco - Pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco.
Estrutura da Gestão de Risco - Conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização.
Risco - Efeito da incerteza nos objetivos.
Política de Gestão de Riscos - Declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos.
(cespe/cebraspe 2025) A gestão de riscos institucionais está associada à análise de riscos, que é realizada de forma qualitativa e quantitativa, e considera a probabilidade de eventos e suas consequências bem como a natureza e magnitude dessas consequências, além da eficácia dos controles existentes. CERTO
A assertiva está correta, pois a gestão de riscos institucionais envolve a análise qualitativa e quantitativa de riscos, considerando probabilidade, consequências, natureza, magnitude, e eficácia dos controles. fonte: manual de gerenciamento de riscos TCU
(instittuto consulplam 2021) Sobre gestão da inovação, gestão do conhecimento, gestão de riscos, governança corporativa e Environmental, Social and governance (ESG), assinale a afirmativa INCORRETA.
A) A gestão de riscos é um processo cuja finalidade é identificar, analisar e avaliar os efeitos das incertezas nos objetivos estabelecidos pela organização.
B) Na gestão da inovação, é de suma importância atentar para as mudanças a empresa oferece por meio de seus produtos e serviços, nas formas como os produtos/serviços são criados e entregues, no contexto em que produtos/serviços são introduzidos no mercado e nos modelos mentais subjacentes que orientam o que a empresa faz.
C) Uma boa governança corporativa blinda os negócios da empresa frente a riscos externos, mas nenhuma eficácia tem frente aos riscos de gestão. Como desvantagem, tem como efeito colateral a redução das bases estratégicas para criação de valor, além de funcionar como fator de desarmonização de interesses.
Esta alternativa é incorreta. Ao contrário do que é afirmado, uma boa governança corporativa visa justamente alinhar os interesses dos stakeholders e melhorar a gestão de riscos, não o contrário. Ela deve fortalecer a criação de valor e não desarmonizar interesses. (Fonte: Código das Melhores Práticas de Governança Corporativa - IBGC)
D) Entende-se por gestão do conhecimento, formas deliberadas e sistemáticas para criar, captar, organizar e repassar conhecimentos. Este tipo de gestão é impulsionado pela tecnologia da informação, que favorece a disseminação e o compartilhamento do conhecimento explícito e propicia a conexão das pessoas em redes para o intercâmbio e compartilhamento do conhecimento tácito.
E) Environmental, Social and Governance (Governança Ambiental, Social e Corporativa) é uma avaliação da consciência coletiva de uma organização frente aos fatores sociais e ambientais. Nessa avaliação, é verificado se a empresa se preocupa com questões como aquecimento global, emissão de carbono, eficiência energética, gestão de resíduos, poluição e recursos naturais; se a empresa respeita os seus clientes, colaboradores/funcionários e se adota as melhores práticas de gestão corporativa.
(cespe/cebraspe 2024) Considere que o servidor responsável pela área de gestão de riscos de determinada organização pública esteja realizando, atualmente, o remodelamento da política de gestão de riscos institucionais e dos processos ligados à cadeia de valor. Acerca desse cenário hipotético, julgue os itens que se seguem.
I Para que as tomadas de decisão pelas áreas sejam fluidas e céleres, o servidor deve apartar a gestão de riscos da condução dos processos organizacionais.
II A priorização da fiscalização de políticas e serviços públicos de maior relevância para a sociedade com o uso da análise de riscos é um objetivo a ser considerado pelo servidor no remodelamento da política de riscos institucionais.
III O servidor deve considerar que os gestores são diretamente responsáveis por apoiar a cultura de gestão de riscos e por gerenciar riscos dentro de suas esferas de responsabilidade, constituindo a segunda linha de defesa.
Assinale a opção correta.: Apenas o item II está certo.
I: Para que as tomadas de decisão sejam fluidas e céleres, a gestão de riscos deve estar integrada aos processos organizacionais, não apartada. A gestão de riscos é essencial para a tomada de decisões informadas e eficazes.
II: A priorização da fiscalização de políticas e serviços públicos de maior relevância para a sociedade com o uso da análise de riscos é, de fato, um objetivo importante e deve ser considerado no remodelamento da política de riscos institucionais.
III: Os gestores são diretamente responsáveis por apoiar a cultura de gestão de riscos e por gerenciar riscos dentro de suas esferas de responsabilidade, constituindo a primeira linha de defesa, não a segunda. A segunda linha de defesa geralmente é composta por funções de controle, como a gestão de riscos e a conformidade.
1º Linha de Defesa
Servidores + Empregados Públicos
Agentes de Licitação
Autoridades que atuam na estrutura da governança do órgão/entidade
2º Linha de Defesa
Unidades de assessoramento jurídico e de controle interno do próprio órgão/entidade
3º Linha de Defesa
CGU + Tribunal de Contas
Bizu: Imagina uma situação de um ataque a um reino.
A 1º linha de defesa são os guerreiros da linha de frente (servidores, empregados, agentes e autoridades)
a 2º linha de defesa digamos serem as "armas de grande porte" desses guerreiros (as unidades de assessoramento jurídico)
a 3º linha de defesa é o Reino, formado pelo Órgão Central e o T. de Contas
(cespe/cebraspe 2025) O apetite ao risco deve ser definido de forma homogênea para toda a administração pública, a fim de garantir previsibilidade e coerência nas políticas de gestão de riscos. ERRADO
O apetite ao risco não deve ser definido de forma homogênea para toda a administração pública, pois cada órgão ou entidade possui características, objetivos e contextos distintos. Essa variabilidade permite que as políticas de gestão de riscos sejam adequadas e proporcionais à realidade de cada área, possibilitando uma melhor avaliação e resposta aos riscos específicos de cada situação, sem comprometer a previsibilidade e a coerência necessárias à administração pública.
(fgv 2025) A governança no setor público requer uma estrutura robusta de gestão de riscos, conforme orienta o Referencial Básico de Governança Organizacional do Tribunal de Contas da União (TCU).
Nesse contexto, uma boa estrutura de gestão de riscos deve necessariamente contemplar a: definição de limites de exposição ao risco e critérios de avaliação, bem como o estabelecimento de fluxos de comunicação internos e externos para decisões e informações sobre riscos.
Com base no Referencial Básico de Governança Organizacional do TCU, uma estrutura robusta de gestão de riscos no setor público deve:
Definir limites de exposição ao risco: Estabelecer parâmetros claros sobre quanto risco a organização está disposta a aceitar.
Criar critérios de avaliação: Métodos para identificar, analisar e priorizar riscos.
Garantir fluxos de comunicação: Internos (entre níveis hierárquicos) e externos (com partes interessadas) para divulgar informações sobre riscos e apoiar decisões.
Esses elementos são essenciais para uma gestão de riscos eficaz, integrada à governança e alinhada com os objetivos organizacionais.
(ceps ufpa 2018) A política de gestão de riscos deve ser instituída pelos órgãos e entidades do Poder Executivo Federal especificando diretrizes, conforme prevê a Instrução Normativa Conjunta MP/CGU nº 01/2016. Com base nessa informação, a equipe responsável pela unidade de controle interno de uma instituição pública deve elaborar a política de gestão de riscos observando essas diretrizes. Entre tais diretrizes estão as seguintes:
I Utilizar metodologia e ferramentas para o apoio à gestão de riscos.
II Desenvolver continuamente agentes públicos em gestão de riscos.
III Apontar falhas nos regulamentos e normas das instituições, quando as julgar indignas do exercício profissional ou prejudiciais ao usuário.
IV Ter respeito ao gestor de riscos, porém sem nenhum temor de representar contra qualquer comprometimento indevido da estrutura em que se funda o Poder Federal.
Está correto o que se afirma em: I e II, somente.
XII – Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos; Seção IV Da Política de Gestão de Riscos Art. 17. A política de gestão de riscos, a ser instituída pelos órgãos e entidades do Poder Executivo federal em até doze meses a contar da publicação desta Instrução Normativa, deve especificar ao menos: I – princípios e objetivos organizacionais; II – diretrizes sobre: a) como a gestão de riscos será integrada ao planejamento estratégico, aos processos e às políticas da organização; b) como e com qual periodicidade serão identificados, avaliados, tratados e monitorados os riscos; c) como será medido o desempenho da gestão de riscos; d) como serão integradas as instâncias do órgão ou entidade responsáveis pela gestão de riscos; e) a utilização de metodologia e ferramentas para o apoio à gestão de riscos; e f) o desenvolvimento contínuo dos agentes públicos em gestão de riscos; e III – competências e responsabilidades para a efetivação da gestão de riscos no âmbito do órgão ou entidade. Pesquisa: http://www.cgu.gov.br/sobre/legislacao/arquivos/instrucoes-normativas/in_cgu_mpog_01_2016.pdf
(cespe/cebraspe 2025) A matriz de apetite ao risco de um órgão público deve priorizar a minimização de perdas financeiras, pois a responsabilidade fiscal é o objetivo primordial da gestão de riscos na administração pública. ERRADO
A matriz de apetite ao risco deve contemplar uma abordagem multidimensional que vá além da simples minimização de perdas financeiras. Embora a responsabilidade fiscal seja importante, na administração pública também se deve considerar aspectos relacionados à eficácia dos serviços, à integridade, à conformidade legal e à satisfação dos cidadãos. Dessa forma, a gestão de riscos precisa equilibrar diversos objetivos estratégicos e operacionais, e não se limitar apenas à questão financeira.
(fumarc 2023) De acordo com o Tribunal de Contas da União, a gestão de riscos em âmbito corporativo é essencial para a boa governança, uma vez que fornece garantia razoável para que os objetivos organizacionais sejam alcançados. Sobre gestão de riscos, é CORRETO afirmar que: Gerenciar riscos é uma das funções essenciais da governança e sua efetividade depende de envolvimento e comprometimento da alta administração.
De acordo com o referencial, gerenciar riscos é uma das funções essenciais da governança (BRASIL, 2013) e sua efetividade depende de envolvimento e comprometimento da alta administração, como se vê na seguinte prática, associada ao componente “Liderança Organizacional (L3)”: Prática L3.4 - Responsabilizar-se pela gestão de riscos e controle interno: Significa que a alta administração avalia, direciona e monitora o sistema de gestão de riscos e controle interno e estabelece medidas que asseguram que os dirigentes implementem e monitorem práticas de gestão de riscos e controle interno. Como resultado, a alta administração avalia riscos-chave que podem comprometer o alcance dos principais objetivos organizacionais e fornece direção clara para que eles sejam gerenciados (BRASIL, 2013).
(funcern 2025) O Controle é considerado uma das funções básicas da Administração. Na Administração Pública, a gestão de riscos é um mecanismo de governança pelo qual o controle é exercido nas instituições. As boas práticas de Gestão de Riscos indicam que ela deve estar presente em todos os níveis de gestão e planejamento da organização. Considerando que a gestão organizacional divide-se em três níveis (estratégico, tático e operacional), sob o enfoque da Gestão de Riscos, pode ser considerado um risco presente no nível tático da gestão organizacional: a dificuldade em motivar servidores a participar de ações relacionadas ao programa de integridade da instituição.
O risco apresentado é: "a dificuldade em motivar servidores a participar de ações relacionadas ao programa de integridade da instituição."
Natureza: Este é um risco tipicamente associado à gestão de pessoas, cultura organizacional, comunicação interna e coordenação de programas (como o de integridade) entre diferentes setores.
Impacto: Afeta a eficácia do programa de integridade em toda a organização, que é um objetivo de médio prazo. A motivação e o engajamento não são problemas do dia a dia de execução (Operacional), nem são questões da alta direção que define a lei (Estratégico).
Vínculo com o Nível Tático:
O nível Tático é responsável por traduzir a decisão Estratégica ("Teremos um Programa de Integridade") em ações concretas, diretrizes, e garantir que as chefias intermédias promovam a cultura e a participação.
A motivação e o engajamento das equipes são responsabilidades diretas das gerências e chefias intermediárias, que compõem o nível tático. A falha nesse engajamento compromete o meio do caminho (o plano tático) entre a estratégia e a execução.
(fgv 2022) Ao longo da última década, a administração pública brasileira realizou inúmeros esforços e iniciativas articulados para gerar valor às agências públicas e corporativas, por meio de uma tríade de iniciativas voltadas à governança, gestão de riscos e integridade.
Dentro dessa tríade, a gestão de riscos é fundamentalmente voltada a: definir o conjunto de procedimentos para identificar, analisar, avaliar, tratar e monitorar fatores negativos que possam afetar o alcance dos objetivos;
Gestão de Riscos: Significa que a alta administração avalia, direciona e monitora o sistema de gestão de riscos e controle interno e estabelece medidas que asseguram que os dirigentes implementem e monitorem práticas de gestão de riscos e controle interno. Como resultado, a alta administração avalia riscos-chave que podem comprometer o alcance dos principais objetivos organizacionais e fornece direção clara para que eles sejam gerenciados (BRASIL, 2013). fonte: Referencial Básico de Governança, 2° Versão (2014) - TCU, pág. 44.
(fgv 2025) A gestão de riscos é um elemento-chave da governança nas organizações do setor público em termos de suas estruturas, seus processos, seus valores corporativos, sua cultura e seu comportamento.
Nessa linha, avalie as afirmativas a seguir relativas à gestão de risco.
I. Para falarmos de riscos, uma palavra é fundamental: objetivo. Se não temos um objetivo, não há que se falar em eventos que podem atrapalhar ou ajudar a atingi-lo.
II. Os benefícios gerados por um gerenciamento de riscos compensam os eventuais custos incorridos com sua implementação. Dessa forma, não precisam ser estabelecidos procedimentos de controle interno proporcionais ao risco.
III. Análise de riscos, para prevenir a ocorrência de riscos e diminuir o impacto de suas consequências, busca identificar as possíveis causas, as consequências e os controles existentes.
IV. O objetivo da gestão de riscos é promover meios para que as incertezas não desviem os esforços da organização de seus objetivos.
Estão corretas as afirmativas: I, III e IV, apenas.
As afirmativas I, III e IV estão corretas. O erro crucial reside na afirmativa II, especificamente na seguinte parte: "não precisam ser estabelecidos procedimentos de controle interno proporcionais ao risco". A gestão de riscos eficaz exige, fundamentalmente, a proporcionalidade entre os controles internos e o nível de risco. A implementação de controles deve ser calibrada para o risco que se busca mitigar. A seguinte lógica demonstra a importância da proporcionalidade: Controles excessivos para riscos de baixo impacto: resultam em custos desnecessários, complexidade operacional e burocracia, consumindo recursos que poderiam ser alocados de forma mais estratégica. Controles insuficientes para riscos de alto impacto: expõem a organização a perdas significativas, comprometendo seus objetivos estratégicos e sua sustentabilidade. Referência à ISO 31000 base teórica da correção.
(cespe/cebraspe 2025) A transparência na comunicação de riscos aumenta a confiança pública, mesmo em situações de crise. CERTO
A transparência na comunicação de riscos é um pilar fundamental para manter e até aumentar a confiança do público, sobretudo em situações de crise. Quando as autoridades fornecem informações claras, precisas e tempestivas sobre os riscos e as medidas adotadas, minimiza-se a incerteza e o pânico, fortalecendo a credibilidade institucional e permitindo uma resposta mais eficaz à crise.
(cesgranrio 2024) Um órgão da estrutura de um determinado ministério estava conduzindo a implantação da Política de Gestão de Riscos aprovada pelo seu Comitê de Governança, com base nas boas práticas de gestão de riscos aplicáveis às entidades públicas. Na etapa de identificação de eventos de risco, foi apontada a necessidade de identificar eventos capazes de impactar os objetivos de comunicação externa das informações financeiras da organização.
Pelas suas características intrínsecas, uma técnica adequada para identificar esse tipo de evento é: realização de seminários e entrevistas com facilitadores
Seminários e entrevistas com facilitadores – essas técnicas identificam eventos com base na experiência e no conhecimento acumulado da administração, do pessoal ou de outras partes interessadas por meio de discussões estruturadas. O facilitador liderará um debate sobre eventos que possam afetar a realização dos objetivos de uma organização ou unidade. Por exemplo, um controller financeiro conduz um seminário com os membros da equipe de contabilidade para identificar eventos capazes de impactar os objetivos de comunicação externa das informações financeiras da organização. Ao combinar o conhecimento e a experiência dos membros da equipe, podem-se identificar importantes eventos que, de outro modo, poderiam passar despercebidos. FONTE: COSO Gerenciamento de Riscos Corporativos - Estrutura Integrada
(cesgranrio 2024) Em um esforço para implementar a sua política de gestão de riscos, uma entidade pública optou por iniciar o processo de identificação e avaliação de riscos que estejam associados aos seus sete projetos estratégicos definidos para o quadriênio. Para os riscos identificados, foi gerado o mapa de calor apresentado no quadro a seguir.
Nota: R1, R2, ... Rn = riscos identificados e avaliados
Considerando-se os principais referenciais de gestão de riscos e o mapa de calor apresentado, a entidade deve tratar os riscos identificados: situados acima do nível de tolerância definido pela entidade.
A norma ABNT ISO 31000:2018 define a avaliação de riscos como o processo de comparar os resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional. O seu propósito é apoiar decisões (ABNT, 2018). Nesse sentido, para que não haja desperdício de esforços, a CGU orienta que os riscos a serem inicialmente gerenciados precisam ser os mais relevantes. Após realizada a avaliação de riscos, o órgão ou entidade pode estabelecer uma ordem de prioridade para o tratamento de riscos, de acordo com seu apetite a risco. (CGU, 2018). Ressalta-se que apetite a risco é o nível de risco que uma organização está disposta a aceitar (MP/CGU, 2016). É importante que o apetite a risco do processo organizacional seja estabelecido no início do processo (CGU,2018). Portanto, é desejável que o nível do risco fique dentro dos limites desejáveis. https://www.gov.br/secretariageral/pt-br/acesso-a-informacao/transparencia-e-prestacao-de-contas-pr/2022/metodologiadegestaoderiscos.pdf (pág. 36-37)
(fcc 2019) O conceito de gestão de riscos atrelado às boas práticas de governança corporativa contempla: a identificação das incertezas nos processos da organização, a medição da probabilidade de danos e seus possíveis impactos.
Gerenciar riscos é identificá-los e determinar a probabilidade de que eles ocorram dentro da organização, bem como suas prováveis consequências. O risco, mesmo gerenciado, pode causar algum tipo de dano.
(ibfc 2019) A gestão local de riscos de desastre está relacionada ao processo de redução de riscos com foco nas comunidades. O local não se restringe aos limites do município, cabe a gestão de risco articular em outros níveis territoriais e sociais. Nesse contexto, analise as afirmativas abaixo e dê valores Verdadeiro (V) ou Falso (F).
( ) Identificar e mobilizar os atores sociais que devem se engajar no processo de gestão local de riscos.
( ) Identificar os diferentes cenários de risco (ameaças e vulnerabilidades) e caracterizar o território socioespacial em que se apresentam os riscos.
( ) Caracterizar as populações que habitam áreas com risco (identificar os grupos vulneráveis, produzir informação setorizada).
( ) Identificar, criar e implementar políticas, estratégias, programas e ações para captação de recursos para gestão de risco de desastre.
Assinale a alternativa que apresenta a sequência correta de cima para baixo.: V, V, V, F
IV - Errada. A gestão local não tem competência para criar políticas amplas de captação de recursos, pois essa função é normalmente de níveis superiores (estadual/federal); o gestor local pode identificar e implementar ações, mas não criar políticas de captação.
(furb 2024) No contexto da gestão de riscos e compliance na Administração Pública, qual das seguintes afirmativas é a correta?: Programas de integridade criam mecanismos de controle e prevenção, além da punição e remediação de fraudes e atos de corrupção da Administração Pública, alinhando e orientando o comportamento dos agentes públicos e corporativos com o interesse público do Estado, em conformidade com princípios éticos e compliance (observação nas leis e normas).
Os programas de integridade fazem parte da gestão de riscos e compliance na Administração Pública. Eles envolvem mecanismos de prevenção, detecção, punição e remediação de irregularidades, fraudes e corrupção, garantindo que os agentes públicos atuem em conformidade com os princípios da legalidade, moralidade e ética.
(iades 2014) De acordo com o PMBOK, assinale a alternativa correta.
A) Nas mudanças de fase, deve-se evitar a declaração de marcos no projeto.
Na verdade, os marcos nas mudanças de fases são fundamentais, pois são eles que irão orientar o gerenciamento do projeto, pois a saída de uma fase torna-se entrada para outra, assim sucessivamente até que o projeto seja concluído.
B) As fases de um projeto são, pela ordem, a iniciação, a execução, o planejamento, o monitoramento e o controle.
Apesar das variações, grandes partes dos autores utilizam as cinco etapas do PMBOK:
1. Iniciação
2. Planejamento
3. Execução
4. Controle/Monitoramento
5. Encerramento/Finalização
C) Todos os riscos identificados em um projeto devem ser analisados a fundo e deve-se ter um plano de mitigação, independentemente de uma avaliação de custo/benefício.
Diferente do que a questão aborda, os planos de mitigação devem ser aplicados somente a riscos selecionados, ou seja, aqueles que previamente foram determinados como inaceitáveis.
D) No gerenciamento de riscos, podem-se declarar ações no sentido de aumentar a probabilidade de eventos que gerem impacto positivo em um projeto.
O gerenciamento de riscos não se limita a “evitar o que é ruim” — ele também busca potencializar o que é bom. No contexto de projetos públicos, isso significa estimular oportunidades de melhoria, como inovação, economia de recursos ou ganho de eficiência.
E) Uma forma efetiva de se estruturar um projeto é a construção de uma EAP, sigla que significa estruturação articulada de processos.
EAP - Estrutura Analítica do Projeto é uma representação gráfica que hierarquiza e subdivide o trabalho a ser executado no projeto.
