Bem-vindos à aula aprofundada sobre Gestão de Riscos na Fase de Planejamento, com foco na Identificação de Riscos no contexto da administração pública. Esta sessão, com duração de 5 horas, foi cuidadosamente elaborada para gestores públicos que buscam aprimorar suas habilidades em antever, analisar e mitigar incertezas que possam impactar o sucesso de projetos e processos.

--------------------------------------------------------------------------------

Módulo 1: Introdução Conceitual e Contexto Legal da Gestão de Riscos

1.1. O que é Risco? Evento? Impacto?

No universo da gestão, especialmente na esfera pública, compreender os conceitos fundamentais é o primeiro passo para uma prática eficaz. O risco é definido como um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre pelo menos um objetivo do projeto, como escopo, cronograma, custo ou qualidade. A norma ISO 31000:2018 complementa que risco é o "efeito da incerteza nos objetivos". É crucial notar que os riscos não são inerentemente negativos; eles representam incertezas que podem levar tanto a ameaças quanto a oportunidades.

Um evento de risco é qualquer coisa que possa afetar o cronograma, o orçamento ou o sucesso de um projeto. O impacto, por sua vez, refere-se aos resultados da ocorrência desse evento de risco que afetam o objetivo. É a severidade ou a magnitude das consequências que um risco, se materializado, traria para a organização ou para os objetivos do objeto de gestão.

1.2. Qual a Diferença entre Risco e Problema?

É comum haver confusão entre risco e problema, mas a distinção é fundamental para uma gestão proativa. Um problema é algo que já afetou o sucesso do projeto ou processo, representando um momento de fato, uma realidade ou um obstáculo já identificado. Sua resolução é uma atitude reativa. Já o risco é um evento ou condição incerta, que ainda não aconteceu, mas pode ocorrer no futuro. A gestão de riscos é, portanto, uma prática proativa, que busca prever e se preparar para esses eventos.

1.3. Objetivos da Gestão de Riscos

O gerenciamento de riscos é uma prática indispensável para garantir o sucesso dos projetos e processos. O objetivo principal desse processo é minimizar as probabilidades e os impactos negativos de eventos adversos, garantindo que os objetivos sejam concluídos dentro dos prazos estabelecidos, do orçamento e com a qualidade esperada. Mais amplamente, a gestão de riscos busca aumentar a probabilidade e o impacto dos eventos positivos (oportunidades) e reduzir a probabilidade e o impacto dos eventos negativos (ameaças) no projeto ou processo.

Isso se traduz em:

• Identificar e prever riscos antes que se manifestem.

• Preparar a equipe para enfrentar desafios e liderar processos de melhoria contínua.

• Garantir a eficiência na entrega dos projetos.

• Reduzir falhas operacionais e otimizar a tomada de decisões.

• Aumentar a segurança e a eficiência dos projetos.

1.4. Contexto Legal e Referências Normativas no Setor Público

A gestão de riscos no setor público brasileiro é respaldada por um arcabouço normativo crescente. Embora os materiais de apoio desta aula não forneçam detalhes específicos sobre a Lei nº 14.133/2021, é fundamental que gestores públicos saibam que a Lei nº 14.133, de 1º de abril de 2021 (Nova Lei de Licitações e Contratos Administrativos) [EXTERNAL] trouxe a gestão de riscos para o centro das contratações públicas, exigindo sua consideração desde a fase de planejamento. A Lei enfatiza a necessidade de planejamento adequado, mitigação de riscos e a busca pela eficiência e eficácia nas contratações. É importante que os gestores públicos busquem fontes externas para detalhar essa legislação.

As metodologias para gestão de riscos são frequentemente construídas a partir de frameworks e técnicas difundidos mundialmente. As principais referências incluem:

• ABNT NBR ISO 31000:2018 – Gestão de Riscos – Princípios e Diretrizes: Esta norma, alinhada à base teórico-conceitual utilizada pelo Ministério do Planejamento e Orçamento (MPO) em seu guia, fornece princípios e diretrizes genéricas para gerenciar riscos, aplicáveis a qualquer tipo de organização. Ela estabelece uma abordagem estruturada para a gestão de riscos, focando na integração com os processos de governança e tomada de decisão.

• COSO – Enterprise Risk Management – Integrating with Strategy and Performance: Este framework, também alinhado à base teórico-conceitual do MPO, ajuda as organizações a gerenciar riscos de forma integrada com sua estratégia e desempenho, fornecendo uma visão abrangente dos riscos em nível corporativo.

• Guia PMBOK© (Project Management Body of Knowledge): Compila as boas práticas em gerenciamento de projetos reconhecidas pelo PMI, incluindo o gerenciamento de riscos como uma área de conhecimento vital.

Além disso, órgãos de controle como o Tribunal de Contas da União (TCU) têm publicado manuais e orientações, como o "Roteiro de Auditoria de Gestão de Riscos", e a Controladoria-Geral da União (CGU), com seu "Manual de orientações técnicas da atividade de auditoria interna governamental do Poder Executivo Federal", que adaptam essas diretrizes internacionais à realidade da administração pública federal, fornecendo roteiros e modelos para a implementação da gestão de riscos.

--------------------------------------------------------------------------------

Módulo 2: Taxonomia de Riscos no Setor Público

A categorização dos riscos facilita a priorização e a alocação de recursos. Uma taxonomia bem definida ajuda a organizar os riscos identificados, permitindo uma análise mais focada e a elaboração de planos de resposta mais eficazes.

2.1. Categorias Principais de Riscos

O Ministério do Planejamento e Orçamento (MPO) utiliza categorias como:

• Estratégico: Eventos que impactam os objetivos estratégicos definidos no Plano Estratégico Institucional (PEI).

• Operacional: Eventos que podem comprometer as atividades da organização, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas.

• Conformidade: Eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades.

• Integridade: Eventos relacionados a corrupção, fraudes, irregularidades e/ou desvios éticos e de conduta que podem comprometer os valores e padrões preconizados pela organização.

Outras fontes categorizam como:

• Técnicos: Relacionados à tecnologia e ao desempenho dos sistemas utilizados no projeto, como falhas em equipamentos ou problemas no design.

• Financeiros: Dizem respeito a questões orçamentárias e financeiras, como aumento inesperado dos custos ou problemas de fluxo de caixa.

• De Cronograma/Tempo: Atrasos no cumprimento de prazos, podendo ser causado por problemas técnicos ou atrasos na entrega de materiais.

• De Qualidade: Não conformidade com especificações técnicas ou uso de materiais inadequados.

• De Recursos: Escassez de tempo, habilidade, dinheiro ou ferramentas.

• Externos: Mais difíceis de prever e controlar, como problemas com fornecedores, mudanças políticas/econômicas, ou clima.

• Organizacionais/Gerenciais: Problemas com pessoal, segurança financeira, falta de clareza, desvio de escopo, mudanças operacionais.

2.2. Exemplos Aplicados por Área

a) Riscos em Obras Públicas (Engenharia)

• Técnicos: Falhas em equipamentos de construção; problemas no design do projeto (ex: erros de cálculo estrutural); dificuldades na implementação de novas tecnologias.

• Financeiros: Aumento inesperado dos custos dos materiais (ex: aço, cimento); flutuação das taxas de câmbio para materiais importados; problemas de fluxo de caixa; dificuldades na obtenção de financiamento adicional.

• De Cronograma: Atraso na entrega de materiais essenciais; condições climáticas adversas (chuvas prolongadas); mudanças no escopo do projeto; problemas técnicos inesperados que exigem retrabalho.

• De Qualidade: Não conformidade com especificações técnicas (ex: resistência do concreto abaixo do especificado); problemas no controle de qualidade; uso de materiais inadequados.

b) Riscos em Projetos e Serviços de Tecnologia da Informação (TI)

• Técnicos/Operacionais: Falhas em hardware ou software; vulnerabilidades de segurança (ex: ataques cibernéticos, ransomware); problemas de integração com sistemas existentes; obsolescência de tecnologia rapidamente.

• De Cronograma: Atraso na entrega de módulos de software; dificuldade em obter aprovação de versões de teste; escassez de profissionais de TI qualificados.

• De Recursos: Falta de investimento em TI; hardware obsoleto; sistemas sem manuais de operação ou controles de acesso lógicos insuficientes.

• De Conformidade/Integridade: Inobservância da Lei Geral de Proteção de Dados Pessoais (LGPD) no tratamento de dados pessoais ou vazamento de dados.

c) Riscos em Serviços Comuns (ex: limpeza, segurança, manutenção)

• De Desempenho/Qualidade: Prestação de serviço abaixo do esperado (ex: limpeza deficiente); falhas na comunicação entre contratante e contratada; prazos de execução não cumpridos.

• De Recursos: Insuficiência de pessoal (ex: equipe de segurança reduzida); falta de materiais ou equipamentos adequados para a execução do serviço.

• Operacionais: Mudanças nos processos internos do órgão que afetam a prestação do serviço (ex: novo layout de salas para limpeza); alta rotatividade de funcionários na empresa contratada.

• De Integridade: Colusão entre servidores e prestadores de serviço; suborno para atestar serviços não realizados.

d) Riscos em Compras Comuns (ex: material de escritório, mobiliário)

• Financeiros: Aumento inesperado do preço de mercado dos produtos; orçamentos iniciais irrealistas.

• De Qualidade: Aquisição de produtos de baixa qualidade ou que não atendem às especificações; atrasos na entrega dos produtos pelos fornecedores.

• De Recursos: Escassez de recursos para aquisição; falta de expertise na equipe para especificar corretamente os itens.

• De Integridade: Fraudes em licitações; direcionamento de compras para fornecedores específicos; corrupção na etapa de recebimento e aceite dos materiais.

2.3. Fontes de Risco (Causas) e Consequências

Para cada risco, é essencial identificar suas causas e consequências. As causas são os motivos que podem promover a ocorrência do risco, sendo uma união de fontes (elementos que dão origem ao risco) e vulnerabilidades (fragilidades). As consequências são o resultado para a unidade e para o MPO caso o risco se concretize, como afetaria o objetivo do objeto de gestão (OP), se haveria paralisação, atraso, impacto na imagem institucional ou penalidades legais.

Tabela: Exemplos de Causas de Riscos

--------------------------------------------------------------------------------

Módulo 3: Métodos e Técnicas de Identificação de Riscos

A identificação proativa de riscos é um pilar fundamental para o sucesso de qualquer projeto ou iniciativa. Diversas técnicas podem ser empregadas para garantir uma identificação abrangente e precisa.

3.1. Preparação: Compreensão e Análise do Contexto

Antes de iniciar a identificação de riscos, é crucial compreender e analisar o contexto em que o objeto (projeto ou processo) está inserido. Isso inclui entender seus principais trâmites, produtos, entregas previstas, ambiente e variáveis externas que podem influenciar as operações. Essa etapa não se limita à situação atual, mas envolve também a projeção de tendências futuras e a consideração de variáveis externas. Ao entender o contexto, é possível identificar tanto riscos latentes quanto emergentes, bem como oportunidades.

Uma ferramenta sugerida para esta etapa é a Matriz SWOT (FOFA).

3.2. Métodos e Técnicas Detalhados

a) Análise SWOT (FOFA)

A Matriz SWOT (Strengths, Weaknesses, Opportunities, Threats) ou FOFA (Forças, Fraquezas, Oportunidades, Ameaças) é uma ferramenta estratégica que oferece uma visão abrangente dos ambientes interno e externo de um projeto ou processo, servindo como base sólida para identificar riscos e oportunidades.

Passo a passo para execução:

1. Prepare o ambiente: Escolha um local tranquilo (presencial ou online) e com ferramentas para registrar ideias, como um quadro branco ou um documento compartilhado.

2. Liste as Forças (Strengths): Identifique características internas que conferem vantagens à organização/unidade na gestão do projeto ou processo. Pense em recursos, competências, sistemas, processos ou cultura organizacional que facilitam o alcance dos objetivos.

3. Liste as Fraquezas (Weaknesses): Reconheça as vulnerabilidades internas que podem amplificar ou introduzir riscos à execução. Identifique lacunas em recursos, sistemas, processos, capacidade de resposta, falhas de comunicação, falta de treinamento ou recursos inadequados.

4. Liste as Oportunidades (Opportunities): Detecte fatores externos que a organização/unidade pode capitalizar para melhorar sua gestão. Pesquise tendências do setor, mudanças regulatórias, novas tecnologias, ou parcerias que possam fortalecer a unidade.

5. Liste as Ameaças (Threats): Identifique fatores externos que poderiam introduzir ou amplificar dificuldades para o cumprimento dos objetivos. Considere mudanças regulatórias, alterações administrativas e econômicas, riscos geopolíticos, climáticos, de mercado ou eventos imprevistos.

6. Integre à gestão de riscos: Utilize as forças para alavancar oportunidades e as fraquezas como potenciais fontes de risco. Aproveite as oportunidades para melhorar a resiliência e prepare-se para mitigar ou responder às ameaças.

b) Brainstorming Estruturado/Workshop

O brainstorming ou "tempestade de ideias" é uma técnica de discussão em grupo para gerar uma grande quantidade de ideias em curto tempo. Quando aplicado à identificação de riscos, incentiva a participação de todos e pode revelar riscos menos óbvios.

Passo a passo para execução:

1. Prepare o ambiente: Assim como na SWOT, escolha um local sem interrupções e com ferramentas para registro de ideias (quadro branco, flip-chart, documento compartilhado).

2. Diversidade de participantes: Reúna membros da equipe com diferentes expertises, níveis hierárquicos, experiências e áreas de especialização. A diversidade de pensamentos é crucial para uma identificação abrangente e para considerar riscos de várias áreas.

3. Sem críticas: Durante a sessão, todas as ideias de riscos são válidas. O objetivo é gerar o máximo de ideias possível, sem julgamento. A análise e crítica virão em momento posterior.

4. Encoraje a criatividade: Ideias "fora da caixa" podem revelar riscos significativos ou menos evidentes.

5. Compile e agrupe: Após a sessão, compile os riscos listados e agrupe aqueles semelhantes. Isso facilitará a análise posterior.

6. Foco nos objetivos: Sempre pense nos riscos levando em conta seu impacto nos objetivos institucionais do projeto ou processo.

c) Análise Documental e Históricos de Projetos Anteriores

Esta técnica envolve a revisão sistemática de documentos e o estudo de lições aprendidas em projetos passados.

Passo a passo para execução:

1. Reúna a documentação relevante: Colete todos os documentos relacionados ao projeto ou processo em questão, como planos, especificações técnicas, contratos, relatórios de auditoria, históricos de incidentes, listas de riscos comuns do departamento ou da equipe.

2. Revise pressupostos: Documente e verifique os pressupostos sobre o projeto (tudo aquilo que se acredita ser verdade, mesmo sem comprovação). Se os pressupostos não se confirmarem, podem surgir riscos.

3. Analise históricos: Estude projetos anteriores semelhantes para identificar riscos já enfrentados, como foram tratados e quais foram as lições aprendidas. Isso pode incluir a análise de problemas que já ocorreram.

4. Causas e consequências: Ao revisar a documentação, preste atenção às possíveis causas de falhas passadas e às suas consequências. Isso pode alimentar a identificação de novos riscos.

d) Entrevistas com Especialistas e Partes Interessadas

Aproveitar o conhecimento de pessoas experientes é uma técnica valiosa para identificar riscos.

Passo a passo para execução:

1. Identifique os especialistas e partes interessadas: Liste as pessoas com conhecimento profundo do objeto (projeto ou processo), da organização, do setor ou de projetos semelhantes. Inclua partes interessadas, lideranças e especialistas no assunto.

2. Prepare as perguntas: Elabore um roteiro de perguntas abertas para estimular a discussão sobre potenciais riscos, suas causas e consequências. Pergunte sobre riscos encontrados em projetos semelhantes e como foram evitados.

3. Conduza as entrevistas: Realize conversas individuais ou em pequenos grupos. Registre cuidadosamente as informações coletadas.

4. Consolide as informações: Compare e contraste as informações de diferentes entrevistas para identificar padrões e riscos recorrentes.

e) Análise PESTEL (Informação Externa aos Materiais Fornecidos)

A Análise PESTEL é uma ferramenta estratégica que ajuda a identificar e analisar fatores macroambientais que podem influenciar uma organização ou projeto. Embora não seja detalhada nas fontes fornecidas, é amplamente utilizada na gestão de riscos para compreender o ambiente externo.

Passo a passo para execução (síntese):

1. Político (Political): Analise fatores relacionados à estabilidade governamental, políticas fiscais, leis trabalhistas, regulamentações ambientais e políticas comerciais que podem impactar o projeto.

2. Econômico (Economic): Considere taxas de juros, inflação, taxas de câmbio, crescimento econômico, renda disponível e tendências de consumo.

3. Social (Social): Avalie fatores demográficos (população, idade), distribuição de renda, padrões culturais, mudanças de estilo de vida e nível de educação.

4. Tecnológico (Technological): Examine novas tecnologias, automação, pesquisa e desenvolvimento, e inovação que possam afetar a execução ou os produtos do projeto.

5. Ambiental (Environmental): Considere questões climáticas, regulamentações ambientais, escassez de recursos, e tendências de sustentabilidade.

6. Legal (Legal): Analise leis de proteção ao consumidor, leis antitruste, regulamentações de segurança e leis de proteção de dados (como a LGPD, já mencionada em). Esta análise fornece uma visão estruturada das ameaças e oportunidades externas, complementando a Matriz SWOT.

3.3. Identificação de Causas e Consequências

Uma vez que o evento de risco é identificado, é imprescindível aprofundar a análise determinando suas causas e as consequências caso ele se concretize.

• Causas: São os fatores ou elementos que podem levar à ocorrência do risco. Elas resultam da combinação de fontes de risco (elementos que, individualmente ou combinados, dão origem ao risco) e vulnerabilidades (fragilidades dessas fontes). Por exemplo, uma "fonte de risco" pode ser "pessoas", e a "vulnerabilidade" ser "sem capacitação", resultando na "causa" de "equipe sem capacitação adequada para a nova tecnologia".

• Consequências: Descrevem o resultado para a unidade e o MPO como um todo caso o risco ocorra, e como isso afetaria o objetivo do projeto. As consequências devem ser sempre pensadas em relação ao objetivo do objeto de gestão (OP). Por exemplo, um atraso no projeto, prejuízo à imagem institucional, multas legais ou impacto negativo na população.

--------------------------------------------------------------------------------

Módulo 4: Papéis e Responsabilidades e Integração com ETP/PCA

A gestão de riscos é um processo contínuo e colaborativo, exigindo clareza nos papéis e responsabilidades para garantir sua eficácia.

4.1. Papéis e Responsabilidades

• Dirigente Máximo da Unidade Administrativa (Secretário, Diretor, etc.):

    ◦ Validar os Objetos Prioritários (OPs) que comporão o ciclo de gestão de riscos de suas unidades.

    ◦ Definir os limites de exposição a riscos (o "apetite a riscos") para os OPs sob sua responsabilidade.

    ◦ Validar os Planos de Tratamento dos riscos.

    ◦ Ser comunicado sobre as justificativas para a não adoção de respostas ou tratamentos de riscos.

    ◦ Pode delegar a responsabilidade de validação de OPs e definição de apetite a riscos para ocupantes de cargos comissionados de nível mínimo 15.

• Gestor do Projeto ou Processo (Gestor do OP):

    ◦ Responsável por manter o plano de gerenciamento de riscos atualizado.

    ◦ Liderar a equipe na identificação, análise, avaliação e planejamento de respostas aos riscos.

    ◦ Monitorar ativamente os riscos e as ações de tratamento.

    ◦ Atribuir responsabilidades pela mitigação dos riscos.

• Equipe do Projeto/Processo:

    ◦ Participar ativamente das sessões de identificação de riscos (ex: brainstorming).

    ◦ Trazer sua expertise e conhecimento para a identificação de riscos potenciais.

    ◦ Monitorar sinais de alerta de seus respectivos eventos de risco e comunicar a ocorrência de novos riscos ou problemas.

    ◦ Ser responsável por implementar ações de tratamento de riscos que lhes forem atribuídas.

• Assessoria Especial de Controle Interno (AECI) ou Unidade de Controle Interno:

    ◦ Supervisionar o monitoramento da gestão de riscos realizado pelas unidades.

    ◦ Prestar capacitações e auxílio técnico às unidades no processo de gestão de riscos.

    ◦ Elaborar Relatórios Gerenciais consolidados do status dos riscos.

    ◦ Incluir OPs em registro próprio para a realização da supervisão do monitoramento.

• Subcomitê de Gestão de Riscos, Transparência, Controles e Integridade (SRTCI) ou Comitê de Governança:

    ◦ Aprovar a Política de Gestão de Riscos da organização.

    ◦ Apoiar a alta administração na supervisão estratégica da gestão de riscos.

    ◦ Apreciar os Relatórios Gerenciais de Riscos e elaborar recomendações para aprimoramento.

4.2. Integração com ETP/PCA

A gestão de riscos deve ser incorporada desde as fases iniciais do planejamento de projetos e processos. No contexto da administração pública, isso é especialmente relevante para documentos como o Estudo Técnico Preliminar (ETP) e o Plano de Contratações Anual (PCA).

Embora os materiais de apoio fornecidos não detalhem a integração com ETP ou PCA especificamente, a importância de iniciar o plano de riscos no início do ciclo de vida do projeto é enfatizada. O MPO, por exemplo, destaca que as unidades devem anualmente escolher projetos ou processos (Objetos Prioritários - OPs) que serão submetidos à gestão de riscos, com critérios de materialidade, criticidade, relevância e inovação. Essa seleção dos OPs já ocorre na fase de planejamento.

Como integrar com ETP/PCA (perspectiva geral baseada nas fontes e na lógica de planejamento):

• ETP (Estudo Técnico Preliminar): No ETP, ao descrever a necessidade da contratação e analisar as alternativas de solução, os riscos inerentes a cada opção devem ser identificados e avaliados. Isso inclui riscos técnicos, financeiros, de cronograma, qualidade, e até de integridade, relacionados à solução proposta ou às formas de execução. A análise de riscos deve subsidiar a escolha da melhor solução. Essa informação não está explicitamente nas fontes fornecidas, mas é uma inferência lógica do princípio de iniciar a gestão de riscos na fase de planejamento e da natureza do ETP.

• PCA (Plano de Contratações Anual): A gestão de riscos pode influenciar o PCA ao priorizar as contratações. Riscos identificados em processos recorrentes ou projetos de grande porte (que se enquadram nos critérios de Materialidade, Criticidade, Relevância e Inovação para OPs) podem levar à antecipação de ações de mitigação ou à necessidade de maior planejamento. O histórico de riscos de contratações anteriores pode ser um critério para a inclusão de determinado objeto no ciclo de gestão de riscos. Essa informação também não está explicitamente nas fontes fornecidas, mas é uma inferência lógica do princípio de iniciar a gestão de riscos na fase de planejamento e da natureza do PCA.

A incorporação da estratégia de gestão de riscos nos documentos de planejamento inicial, como o brief do projeto, garante que todos os colaboradores e partes interessadas tenham acesso ao plano e possam agir proativamente diante de qualquer risco relevante.

--------------------------------------------------------------------------------

Módulo 5: Registro e Matriz de Riscos

A documentação dos riscos é fundamental para o monitoramento e o controle eficazes. Dois instrumentos chave são o Registro de Riscos e a Matriz de Avaliação de Riscos.

5.1. Registro de Riscos (Planilha para Gestão de Riscos)

O Registro de Riscos, também denominado Log de Riscos, é um instrumento formal utilizado no âmbito da gestão de riscos organizacionais para documentar, acompanhar e monitorar os riscos identificados em determinado processo, projeto ou atividade.

Do ponto de vista metodológico, ele funciona como uma base de dados estruturada, geralmente em formato de planilha ou sistema informatizado, que reúne informações essenciais sobre cada risco mapeado, tais como:

• Descrição do risco (evento e suas causas potenciais);
• Categoria (estratégico, operacional, de conformidade, financeiro, etc.);
• Probabilidade de ocorrência e nível de impacto;
• Responsável pelo gerenciamento (risk owner);
• Plano de resposta ou tratamento (mitigação, transferência, aceitação ou eliminação);
• Status de acompanhamento (em andamento, tratado, monitorado, encerrado).

A função central do registro é servir como ferramenta de controle e memória institucional, garantindo que todos os riscos sejam não apenas identificados, mas também devidamente tratados ao longo do tempo. Ele facilita a rastreabilidade das decisões, a prestação de contas e a transparência na governança, visto que possibilita o acompanhamento sistemático da efetividade das medidas adotadas.

Além disso, o log de riscos contribui para a aprendizagem organizacional, na medida em que consolida o histórico de riscos enfrentados e das respostas aplicadas, permitindo o aperfeiçoamento contínuo das práticas de gestão.

Em termos acadêmicos e práticos, pode-se dizer que o Registro de Riscos é o elo entre a análise de riscos (identificação e avaliação) e o tratamento/monitoramento. Ele garante a integração das informações e favorece a tomada de decisão baseada em evidências, apoiando tanto o nível operacional quanto o nível estratégico da organização.

5.2. Matriz de Avaliação de Risco (Mapa de Calor)

A Matriz de Avaliação de Risco, frequentemente apresentada em formato de Mapa de Calor (Heat Map), constitui um dos instrumentos mais utilizados na gestão de riscos em organizações públicas e privadas. Trata-se de uma ferramenta visual que relaciona dois elementos centrais: probabilidade de ocorrência de um evento de risco e o impacto que tal evento pode gerar sobre os objetivos estratégicos ou operacionais da instituição.

No eixo vertical geralmente se posiciona o impacto (baixo, moderado, alto, crítico), enquanto no eixo horizontal se localiza a probabilidade (rara, improvável, possível, provável, quase certa). A partir do cruzamento desses fatores, cada risco identificado é alocado em uma célula da matriz, que é representada por uma escala de cores progressivas — do verde (baixo risco) até o vermelho (alto risco).

Esse modelo, por meio do recurso gráfico, possibilita uma compreensão imediata da criticidade dos riscos e orienta a tomada de decisão quanto às medidas de tratamento. Além disso, o mapa de calor favorece a priorização de recursos, pois evidencia quais riscos demandam ações preventivas ou mitigatórias urgentes, e quais podem ser apenas monitorados.

Do ponto de vista metodológico, a matriz de risco não substitui análises mais robustas (como a quantificação de perdas financeiras ou o uso de modelos estatísticos), mas funciona como um instrumento de apoio à governança e à comunicação. Sua simplicidade e clareza tornam-na especialmente útil em contextos que envolvem gestores não especialistas em análise quantitativa, permitindo maior transparência e engajamento organizacional no processo de gestão de riscos.

 

--------------------------------------------------------------------------------

Módulo 6: Checklist para Identificação Completa de Riscos

Para garantir que a fase de identificação de riscos seja o mais completa possível, os gestores públicos podem utilizar um checklist de verificação.

Checklist de 10 Itens para Identificação Completa de Riscos:

1. Objetivos Claros e Documentados: Os objetivos do projeto/processo estão claramente definidos e são compreendidos por toda a equipe?

2. Partes Interessadas Envolvidas: Todas as partes interessadas relevantes (internas e externas) foram consultadas e participaram do processo de identificação de riscos?

3. Análise de Contexto Realizada: Foi feita uma análise abrangente do ambiente interno e externo (ex: SWOT, PESTEL [EXTERNAL]) para identificar fontes de riscos e oportunidades?

4. Revisão Documental Completa: Documentos do projeto, planos estratégicos, normativos internos e externos, e históricos de projetos anteriores foram revisados para identificar riscos recorrentes ou novos?

5. Brainstorming Multifuncional: Foram realizadas sessões de brainstorming ou workshops com uma equipe diversa, incluindo diferentes níveis hierárquicos e expertises, para maximizar a geração de ideias de riscos?

6. Foco em Causas e Consequências: Para cada evento de risco identificado, suas possíveis causas e consequências foram detalhadas?

7. Consideração de Todas as Categorias: Os riscos foram categorizados (ex: estratégico, operacional, conformidade, integridade, técnico, financeiro, cronograma, qualidade) para assegurar uma cobertura ampla?

8. Riscos Positivos (Oportunidades) Avaliados: Além das ameaças, as incertezas que podem gerar efeitos positivos (oportunidades) foram identificadas e consideradas?

9. Pressupostos e Restrições Verificados: Os pressupostos subjacentes ao projeto/processo foram documentados e validados, e as restrições foram consideradas como fontes de risco?

10. Registro de Riscos Inicial Preenchido: Os riscos identificados, suas causas e consequências, e uma análise preliminar (probabilidade, impacto) foram devidamente registrados em um documento estruturado como o Registro de Riscos?

--------------------------------------------------------------------------------

Módulo 7: Revisão

Neste módulo final, revisamos os principais conceitos e etapas abordados na aula e abrimos espaço para perguntas e discussões.

8.1. Recapitulação dos Pontos Chave

Relembrando o que vimos nesta aula:

• Gestão de Riscos é proativa: Lida com incertezas futuras (riscos), distinguindo-as de problemas (fatos passados).

• Objetivos claros são fundamentais: A gestão de riscos visa proteger e otimizar o alcance dos objetivos do projeto/processo, mitigando ameaças e explorando oportunidades.

• Contexto Legal: A Lei nº 14.133/2021 exige a gestão de riscos, e frameworks como ISO 31000 e COSO ERM fornecem as diretrizes.

• Taxonomia ajuda na organização: Categorizar os riscos (estratégicos, operacionais, técnicos, financeiros, de integridade, etc.) facilita a análise e o tratamento.

• Múltiplas técnicas para identificar: O uso combinado de SWOT, brainstorming, análise documental e entrevistas garante uma identificação abrangente.

• Causas e Consequências: Entender "o porquê" e "o que acontece se" é crucial para definir respostas eficazes.

• Papéis e Responsabilidades definidos: A clareza sobre "quem faz o quê" é essencial para a governança dos riscos.

• Documentação é vital: O Registro de Riscos e a Matriz de Avaliação são ferramentas indispensáveis para acompanhar e comunicar os riscos.

• Integração precoce: A gestão de riscos deve ser embutida desde o planejamento inicial dos projetos e processos.

• Processo contínuo: A gestão de riscos não é estática; exige monitoramento e revisão constantes.

A fase de identificação de riscos, como vimos, é a base para todo o processo de gestão. Uma identificação robusta e bem documentada permite que os gestores públicos tomem decisões mais informadas e estratégicas, contribuindo para a eficiência e a excelência na entrega de resultados à sociedade.

--------------------------------------------------------------------------------

Referências Bibliográficas

ASANA. O que é a gestão de riscos do projeto? Seis etapas para favorecer o sucesso do seu projeto. Julia Martins, 31 out. 2024. Disponível em: https://asana.com/pt/resources/project-risk-management. Acesso em: 29 abr. 2024.

ASANA. Sete riscos de projeto comuns e as maneiras de preveni-los. Team Asana, 19 jan. 2025. Disponível em: https://asana.com/pt/resources/common-project-risks. Acesso em: 29 abr. 2024.

BRASIL. Controladoria-Geral da União. Manual de orientações técnicas da atividade de auditoria interna governamental do Poder Executivo Federal. Brasília: CGU, 2017.

BRASIL. Lei nº 14.133, de 1º de abril de 2021. Dispõe sobre Licitações e Contratos Administrativos. Diário Oficial da União, Brasília, DF, 1 abr. 2021. [Informação externa aos materiais de apoio fornecidos, mas amplamente conhecida e relevante para o tema].

BRASIL. Ministério do Planejamento e Orçamento. Guia Metodológico para Gestão de Riscos. Abril 2024. Disponível em: https://www.gov.br/planejamento/pt-br/acesso-a-informacao/acoes-e-programas/governanca/guia-de-gestao-de-riscos/GuiaMetodologicoparaGestaodeRiscos.pdf. Acesso em: 29 abr. 2024.

BRASIL. Tribunal de Contas da União. Roteiro de Auditoria de Gestão de Riscos. Brasília: TCU, Secretaria de Métodos e Suporte ao Controle Externo, 2017.

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Enterprise Risk Management – Integrating with Strategy and Performance. Nova Iorque: COSO, 2017.

CONCENT. Quais as etapas da Gestão de Riscos. 3 abr. 2023. Disponível em: https://concent.com.br/blog/quais-as-etapas-da-gestao-de-riscos/. Acesso em: 29 abr. 2024.

DI PIETRO, Maria Sylvia Zanella. Direito Administrativo. [Informação externa aos materiais de apoio fornecidos, mas autora relevante na doutrina brasileira].

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO 31000: gestão de riscos: diretrizes. Genebra: ISO, 2018.

JUSTEN FILHO, Marçal. Comentários à Lei de Licitações e Contratos Administrativos. [Informação externa aos materiais de apoio fornecidos, mas autor relevante na doutrina brasileira].

POLI USP PRO. Gerenciamento de riscos em projetos de engenharia. Nathalia Salvador, 28 jul. 2025. Disponível em: https://www.poliusppro.com.br/blog/gerenciamento-de-riscos-em-projetos-de-engenharia. Acesso em: 29 abr. 2024.

PRÁTICAS EM PROJETOS. Risco Ou Problema? Qual A Diferença? jdimas. Disponível em: https://praticasemprojetos.com.br/risco-ou-problema/. Acesso em: 29 abr. 2024.

SMARTSHEET. Modelos gratuitos de plano de gerenciamento de riscos. Andy Marker, 2 ago. 2017. Disponível em: https://pt.smartsheet.com/content/free-risk-management-plan-templates. Acesso em: 29 abr. 2024.

TRIBUNAL DE CONTAS DO ESTADO DE PERNAMBUCO. DGG/GGEP. Guia Prático: Elaboração do Plano de Gerenciamento de Riscos do Projeto. Jun. 2018. Disponível em: https://www.tce.pe.gov.br/documentos/Guia%20Pratico%20-%20Elaboracao%20do%20Plano%20de%20Gerenciamento%20de%20Riscos.pdf. Acesso em: 29 abr. 2024.