1

MANUAL DE
GESTÃO DE RISCOS
MEC - 2021
 Manual de Gestão de riscos

Assessoria Especial de Controle Interno – AECI/MEC

 Milton Ribeiro
Ministro da Educação

Victor Godoy Veiga

Secretário Executivo

Alexandre Gomide Lemos

Chefe da Assessoria Especial de Controle Interno

Equipe de elaboração:
Coordenação de Governança e Integridade
Luciana Alves de Azevedo
Arlington Oliveira

Revisão ortográfica:
Patrícia Danielle dos Santos

Artes visuais e diagramação:

Assessoria de Comunicação Social

Colaboração:
Subcomitê Assessor do CGIRC/MEC
Controladoria-Geral da União (CGU)

Aprovação:
Comitê de Governança, Integridade, Gestão de Riscos e Controles Internos (CGIRC)

Brasília-DF, Novembro/2021
 APRESENTAÇÃO
O Ministério da Educação (MEC) tem envidado esforços na busca da excelência no exercício de suas
atribuições, para isso adota políticas e estratégias que visam garantir melhorias na sua gestão e na educação
de todos os brasileiros.

Em nível institucional, a publicação da Portaria nº 563, em 30 junho de 2020, foi um marco quanto à instituição
de uma Política de Gestão de Riscos, Controles Internos e Integridade no órgão. Tal política consolida as
intenções e diretrizes gerais (relacionadas à gestão de riscos, controles internos e integridade) aplicáveis
aos planos, às metas, às estratégias, às ações, aos objetivos, aos programas, aos projetos e às atividades
relacionadas às políticas públicas educacionais e aos processos de gestão interna no âmbito do MEC.

A Gestão de Riscos, os Controles Internos e a Integridade constituem mecanismos que geram valor às
instituições e aos seus processos quando atuam de forma coordenada, buscando tratar as incertezas que
podem impedir ou dificultar o alcance dos objetivos da organização, bem como quando contribuem para o
comportamento íntegro nas organizações. Esses mecanismos visam aumentar a qualidade das decisões dos
gestores públicos para o alcance do interesse público.

Com vistas a trazer mais clareza sobre o tema gestão de riscos e a fim de promover e facilitar a difusão do
conhecimento sobre gestão de riscos no âmbito do MEC, este manual foi elaborado. Tal instrumento é parte
integrante dos mecanismos que dão suporte a implementação, monitoramento e melhoria contínua decorrente
da Política de Gestão de Riscos, Controles Internos e Integridade e tem o intuito de oferecer um conjunto de
conceitos, estratégias e ferramentas de apoio ao desenvolvimento da gestão de riscos.

Espera-se que este documento possa representar um importante recurso para os servidores e gestores
do MEC, proporcionando uma visão resumida e pragmática no que se refere ao controle e gestão dos riscos.
 5

SUMÁRIO

1 – INTRODUÇÃO 6

2 – PRINCIPAIS CONCEITOS 7

3 – PRINCÍPIOS E OBJETIVOS DA POLÍTICA DE GESTÃO DE RISCOS DO MEC 8

3.1 – PRINCÍPIOS ESSENCIAIS PARA GESTÃO DE RISCOS 8

3.2 – OBJETIVOS DA GESTÃO DE RISCOS NO ÂMBITO DO MEC 9

3.3 – DIRETRIZES PARA A GESTÃO DE RISCOS 9

4 – METODOLOGIA E SOLUÇÃO TECNOLÓGICA 10

5 – PROCESSO DE GESTÃO DE RISCOS 12

5.1 – ESTABELECIMENTO DO CONTEXTO 12

5.2 - IDENTIFICAÇÃO DOS RISCOS 13

5.3 – ANÁLISE E AVALIAÇÃO DOS RISCOS 14

5.3.1 – Análise dos riscos 14

5.3.2 – Avaliação dos riscos 18

5.3.2.1 – Resposta aos riscos 18

5.3.2.2 – Tipologia dos riscos 19

5.4 – TRATAMENTO DOS RISCOS 22

5.5 – MONITORAMENTO DOS RISCOS 23

5.6 – COMUNICAÇÃO 23

6 – INTEGRAÇÃO DA GESTÃO DE RISCOS COM O PLANEJAMENTO

ESTRATÉGICO INSTITUCIONAL (PEI) 24

7 – CONSIDERAÇÕES FINAIS 25
 6

1. INTRODUÇÃO

Na administração pública brasileira o tema da gestão de riscos é fruto da Instrução Normativa Conjunta MP/CGU
nº 1, de 2016, que trata da adoção de medidas para a sistematização de práticas relacionadas à gestão de riscos, aos
controles internos, à integridade e à governança e do Decreto nº 9.203, de 2017, que dispõe sobre a política de governança
da administração pública federal.

No âmbito do MEC a Portaria nº 503, de 2020, que trata da política de governança, estabeleceu em sua estrutura como
instância máxima o Comitê de Governança, Integridade, Gestão de Riscos e Controles (CGIRC), que é o responsável pelo
estabelecimento, condução e avaliação das políticas de governança, gestão de riscos, controles internos e do programa
de integridade, contando com apoio técnico do Subcomitê Assessor.

Já a Política de Gestão de Riscos, Controles Internos e Integridade (Portaria nº 563, de 2020), foi o instrumento que
norteou o estabelecido deste Manual para aprovação junto ao CGIRC. Além disso, cabe-nos mencionar que a implantação
da gestão de riscos também foi fruto da adesão do MEC ao programa de gestão estratégica e transformação do estado
(TransformaGov), dirigido pelo Ministério da Economia, conforme Decreto nº 10.382, de 2020, com objetivo de avaliar e
modernizar a gestão estratégica dos órgãos integrantes da administração pública.

Por fim, citamos o Acórdão TCU nº 1048/2020 – Plenário, que reforçou a necessidade de gestão e controle dos riscos,
em especial dos programas e metas do PNE 2014-2024, bem como recomendou a inclusão dos impactos causados pela
pandemia de Covid-19 como risco-chave no planejamento estratégico do MEC.

Diante de todo exposto, este Manual de Gestão de Riscos tem como objetivo incentivar e disponibilizar de forma
padronizada, fácil, simples e rápida todas as informações pertinentes para proceder, de forma planejada e organizada, à
aplicação dos instrumentos de gestão de riscos no MEC.
 7

2. PRINCIPAIS CONCEITOS

Apetite a riscos: é a quantidade de risco, no sentido mais amplo, que o MEC está disposto a aceitar em sua busca
para agregar valor, ou seja, refere-se ao máximo nível de risco que o MEC está disposto a correr para atingir seus objetivos
estratégicos. O apetite a riscos é estratégico e amplo.

Controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas
informatizados, conferências e trâmites de documentos e informações, entre outros (operacionalizados de forma integrada
pela gestão e pelo corpo de servidores do MEC) destinados a enfrentar os riscos e a fornecer segurança razoável para o
alcance dos objetivos.

Eventos de riscos: são situações em potencial – que ainda não ocorreram – que podem causar impacto na consecução
dos objetivos do MEC, caso venham a ocorrer. Podem ser positivos ou negativos, sendo que os eventos negativos são
denominados ameaças, enquanto os positivos, oportunidades.

Gerenciamento de riscos: processo dinâmico e contínuo efetuado pelos gestores e servidores com o intuito de
identificar, avaliar, administrar e controlar potenciais eventos ou situações para fornecer razoável certeza quanto ao alcance
dos objetivos organizacionais.

Gestão de riscos: processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração,
que contempla as atividades de identificação, avaliação e gerenciamento das consequências de potenciais eventos que
possam afetar ao MEC. É destinada a fornecer um grau de segurança razoável quanto à realização de seus objetivos.

Governança pública: conjunto de mecanismos de liderança, decisão, estratégia e controle postos em prática para
avaliar, direcionar e monitorar a atuação da gestão, com vista à condução de políticas públicas e à prestação de serviços
de interesse da sociedade.

Incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de eventos futuros.

Integridade: conjunto de medidas para garantir a preponderância do interesse público sobre os interesses privados
(no âmbito das ações e decisões adotadas em uma instituição pública), garantido por mecanismos de promoção à ética,
correição e transparência.

Monitoramento: componente do controle interno que permite avaliar a qualidade do sistema de controle interno ao
longo do tempo.

Política de Gestão de Riscos: declaração de intenções e diretrizes gerais do MEC, expressa em princípios e valores,
procedimentos e normas internas e dispositivos regulatórios relacionados à gestão de riscos.

Processo: é um conjunto de atividades e/ou etapas realizadas para o atingimento do objetivo.

Resposta a Risco: ações tomadas pelo MEC, após a identificação e avaliação do risco, compreendendo as ações de
eliminar (reter), mitigar (reduzir), transferir ou aceitar (tolerar) o risco.

Risco: quantificação e qualificação da incerteza; refere-se à possibilidade de ocorrência de um evento que venha a
interferir no cumprimento dos objetivos, sendo medido em termos de impacto e probabilidade.

Risco inerente: representa a quantidade de risco que existe com controles internos já aplicados no MEC no momento
da identificação dos riscos.

Risco residual: é a quantidade de riscos que permanece ou que aparece após a inclusão dos controles adicionais e/
ou ajustes dos controles já existentes no MEC, ou seja, aquele risco que ainda permanece após a resposta do MEC.

Tolerância ao risco: habilidade/resistência que o MEC possui para suportar o impacto (dano) que determinado risco
pode causar.
 8

3. PRINCÍPIOS, OBJETIVOS E DIRETRIZES DA

POLÍTICA DE GESTÃO DE RISCOS DO MEC

3.1 - PRINCÍPIOS ESSENCIAIS PARA GESTÃO DE RISCOS

I - alinhamento estratégico e sistêmico: deve considerar a missão, a visão, os valores e os demais elementos
relevantes dispostos no plano estratégico do MEC, bem como observar as diretrizes que venham a ser emanadas
dos órgãos centrais dos sistemas federais;

II - universalidade: deve abranger, gradual e permanentemente, todos os processos organizacionais do MEC;

III - uniformidade: deve observar os mesmos conceitos, parâmetros, referenciais técnicos e procedimentos em
todas as unidades e níveis do MEC;

IV - transparência: deve divulgar as ações e atividades do MEC, prestando informações confiáveis, relevantes
e tempestivas à sociedade, visando à participação social na proposição e no monitoramento da execução das
políticas públicas;

V - consistência de análise: deve estar suportada em informações e indicadores consistentes e de fácil validação
por instâncias independentes; e

VI - economicidade: deve ser vantajosa a relação entre custo e risco, na implementação de mecanismos de controle.
 9

3.2 - OBJETIVOS DA GESTÃO DE RISCOS NO ÂMBITO DO MEC

I - assegurar que os responsáveis pela tomada de decisão, em todos os níveis, tenham acesso tempestivo a
informações suficientes quanto aos riscos aos quais estão expostos;

II - aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis;

III - prezar pelas conformidades legal e normativa, de forma a melhorar o controle interno da gestão; e

IV - agregar valor ao MEC por meio da melhoria dos processos de tomada de decisão e do tratamento adequado
dos riscos e dos impactos decorrentes de sua materialização.

3.3 - DIRETRIZES PARA A GESTÃO DE RISCOS

I - ser dinâmica e formalizada por meio de metodologias, normas, manuais e procedimentos;

II - as metodologias e as ferramentas implementadas devem possibilitar a obtenção de informações úteis à tomada

de decisão para a consecução dos objetivos institucionais e para o gerenciamento e a manutenção dos riscos dentro
de padrões definidos pelas instâncias supervisoras;

III - a medição do desempenho da gestão de riscos deve ser realizada mediante atividades contínuas ou avaliações
independentes ou ainda a combinação de ambas;

IV - a capacitação em gestão de riscos dos agentes públicos que exercem cargo, função ou emprego no Ministério
deve ser desenvolvida de forma continuada, por meio de soluções educacionais, em todos os níveis;

V - o desenvolvimento e a implementação de atividades de controle da gestão devem considerar a avaliação de

mudanças, internas e externas, que contribuam para a identificação e avaliação de vulnerabilidades que impactam
os objetivos institucionais; e

VI - a utilização de procedimentos de controles internos da gestão proporcionais aos riscos e baseada na relação
custo-benefício e na agregação de valor à instituição.
 10

4. METODOLOGIA E SOLUÇÃO TECNOLÓGICA

Neste capítulo falaremos sobre a metodologia de gestão de riscos atualmente aplicada no âmbito do MEC e sobre a
solução tecnológica para suporte da gestão de riscos.

A metodologia de gestão de riscos em uso no MEC foi construída com base no resultado de estudo realizado sobre os
seguintes frameworks, normas, guias e metodologias: ERM-COSO, ISO 31000:2009 e 31000:2018, INTOSAI (Guias 9100 e
9130), THE ORANGE BOOK, a metodologia de gestão de integridade, riscos e controles internos da gestão aplicada pelo
Ministério da Economia, a metodologia de gestão de riscos aplicada pelo Ministério do Desenvolvimento Regional, e a
metodologia de gestão de riscos da Controladoria-Geral da União.

Como resultado deste estudo sobre as boas práticas existentes relativas aos métodos de gerenciamento de riscos e
com o propósito de atender aos ditames previstos nos princípios, objetivos e diretrizes da Política de Gestão de Riscos,
Controles Internos e Integridade, aprovada pela Portaria MEC nº 563, de 30 de junho de 2020, bem como, tendo em vista
as disposições da Instrução Normativa Conjunta MP/CGU nº 01, de 2016, tomou-se por base a metodologia de gestão de
riscos do Ministério da Economia, com adaptações, para utilização no MEC.

Elaborou-se, então, a matriz de riscos do MEC que se caracteriza como um instrumento de apoio à gestão para aplicação
da metodologia de gerenciamento de riscos e controles internos da gestão no MEC, e está dotada de informações e
configurações necessárias para realização dos trabalhos no âmbito deste Ministério.

Cabe mencionar que a confecção da matriz de riscos do MEC, construída na Assessoria Especial de Controle Interno
com base no estudo mencionado, foi aprimorada ao longo do tempo e à medida que fomos entendendo as necessidades
e as peculiaridades de cada uma das unidades do MEC.

Vale ressaltar que o preenchimento da matriz de riscos possibilita aos servidores e colaboradores uma visão detalhada
de cada etapa do processo facilitando a identificação de possíveis eventos de riscos, as suas causas e possíveis
consequências. Essa possibilidade de identificação, análise e tratamento dos riscos agrega grande valor a tomada de
decisão dos gestores e proporciona a busca de soluções visando ao atingimento dos objetivos e metas estratégicas do
MEC de forma mais eficiente, eficaz e efetiva.

Quanto a solução tecnológica para suportar o gerenciamento de riscos no MEC, cabe ressaltar que para efetuarmos a
implementação da política de gestão de riscos no âmbito do ministério não é imperativo a adesão e/ou aquisição de um
sistema (software). Dito isso, atualmente, a solução tecnológica adotada pelo MEC para gerenciamento dos riscos está
disponibilizada em uma planilha excel denominada Matriz de Riscos.

Voltando a tratar da metodologia de gestão de riscos do MEC, destaca-se que ela compreende as seguintes etapas:

a) definição e o mapeamento do(s) processo(s)/macroprocesso(s) prioritário(s) especificando-se na matriz de

riscos dando-se preferência aos processos estratégicos para alcance das metas do PNE 2014-2024;
 11

b) Análise do ambiente externo e interno, considerando os impactos da pandemia do COVID-19 no alcance dos
objetivos estratégicos do MEC;

c) Identificação dos riscos;

d) Análise e avaliação dos riscos contemplando a resposta aos riscos identificados e a análise crítica por tipologia;

e) Tratamento dos riscos;

f) Monitoramento dos riscos e;

g) Comunicação.

A figura apresentada na sequência demonstra graficamente essas etapas.

FIGURA 1 – MEC:
1
Efetuar o mapeamento dos
processos prioritários

2
Análise dos ambientes
interno e externo

6 3
Identificação de eventos de
Informação / Comunicação risco
/ Monitoramento
Gestão de Risco (Causa x Consequência)
do MEC

5 4
Resposta ao Análise e Avaliação dos
Risco/Tratamento riscos
(Atividades de controle: ações
preventivas e corretivas) (Probabilidade x Impacto)

Fonte: Elaboração AECI/MEC

Vale informar que a Assessoria Especial de Controle Interno do MEC está buscando uma ferramenta tecnológica para
auxiliar no gerenciamento de riscos. O intuito é que o software possibilite acompanhar de forma mais tempestiva as
informações a fim de nos propiciar a elaboração de relatórios gerenciais para o monitoramento e comunicação junto ao
Comitê de Governança, Integridade, Gestão de Riscos e Controles Internos (CGIRC) do MEC trazendo os resultados do
tratamento dos riscos (efetividade das medidas de controle) e a evolução do nível desses riscos.
 12

5. PROCESSOS DE GESTÃO DE RISCOS

5.1 - ESTABELECIMENTO DO CONTEXTO

A análise do contexto consiste em compreender o ambiente externo e interno no qual o objeto de gestão de riscos se
encontra inserido e em identificar parâmetros e critérios a serem considerados no processo de gestão de riscos. Para
tanto, é necessário avaliar informações sobre documentos, leis, normativos, planos estratégicos, políticas e cenários.

Para o estabelecimento do contexto sugerimos os seguintes passos:

• identificar quais objetivos ou resultados devem ser alcançados;

• identificar quais são as atividades e os processos de trabalho prioritários e/ou relevantes para se alcançar
os resultados almejados. Recomenda-se que sejam priorizados os processos organizacionais que impactam
diretamente no atingimento dos objetivos estratégicos definidos no Planejamento Estratégico Institucional do MEC,
bem como nas metas do Plano Nacional de Educação (PNE), em atenção ao Acórdão TCU 1048/2020-Plenário;

• identificar quem são as pessoas envolvidas e responsáveis por esses processos; e

• identificar os principais fatores internos e externos que podem afetar o alcance dos objetivos/resultados (pessoas,
sistemas informatizados, estruturas organizacionais, legislação, recursos, stakeholders, etc.).

Nesta etapa é fundamental que seja efetuado o mapeamento do processo/projeto escolhido e/ou priorizado, uma vez
que proporcionará aos gestores e colaboradores uma visão geral e clara sobre a sequência de passos/etapas necessários
à consecução de determinada atividade. Isso facilitará na identificação e na análise de cada evento de riscos.

As principais vantagens e benefícios proporcionados por um projeto de mapeamento de processos são:

• possibilitar a análise completa da atividade e sua compreensão;

• auxiliar na tomada de decisão;

• identificar possíveis gargalos, retrabalho e outros gaps;

• evidenciar as mudanças que devem ser feitas em outros processos; e

• permitir a criação de modelos de boas práticas.

 13

Sabe-se que o mapeamento do processo poderá ser feito utilizando a ferramenta de representação gráfica, Bizagi, ou
ainda, por meio de uma planilha de excel, por exemplo, que demonstre todas as etapas do processo de trabalho.

A intenção do mapeamento de processos é compreender como uma atividade, processo ou projeto é realizado e, a partir
desse entendimento, propõem-se melhorias. O fluxograma de processos tem como função ajudar o gestor a organizar
melhor o raciocínio, identificar relacionamentos, pendências e atividades que não agregam valor e/ou porventura podem
ser desnecessárias. Além disso, serve para que se identifiquem quais são os pontos fortes e fracos do processo e quais
são os eventos de riscos, ajudando a propor atividades de controles internos e identificando oportunidades de melhoria
de desempenho (evitando etapas desnecessárias), a fim de tornar o processo mais eficiente e eficaz.

Cabe ressaltar que, uma vez que os riscos devem ser controlados para a garantia da realização dos objetivos da
organização, conclui-se que o contexto de aplicação da gestão de riscos são os próprios processos de trabalho da
organização e suas iniciativas.

5.2 - IDENTIFICAÇÃO DOS RISCOS

Após o estabelecimento dos contextos interno e externo e do mapeamento das principais atividades que culminam no
alcance dos objetivos, inicia-se o processo de identificação de riscos. A identificação de riscos consiste em um processo
de evidenciar oportunidades ou ameaças existentes nos processos de trabalhos mapeados. Tal atribuição é um processo
interativo, dinâmico e que não se encerra, uma vez que as atividades estão constantemente sendo aprimoradas e os
cenários a que essas atividades ou processos estão submetidos estão constantemente mudando e sendo aprimorados,
o mesmo ocorrendo com os seus controles internos.

O objetivo da identificação de riscos é realizar um detalhamento, caracterizando e listando os seus eventos de riscos,
determinando suas causas e consequências, bem como sua probabilidade de ocorrência e nível de impacto. No MEC, a
Assessoria Especial de Controle Interno (AECI) estabeleceu uma forma de evidenciar os riscos identificados por meio de
um instrumento chamado Matriz de Riscos. Tal instrumento busca, no primeiro momento, elucidar os seguintes pontos:

• evento de risco: é o incidente, ocorrência ou mudança que impactará ou alterará as chances de alcançar os
objetivos organizacionais.

• causas do risco: motivo pelo qual o evento de risco poder acontecer (Por quê?)

• consequências do risco: as consequências seriam os impactos possíveis causados pelos eventos de risco caso
tais eventos se concretizem.

Após a identificação e o registro dos eventos de risco, bem como a descrição de suas causas e consequências, o
gestor deverá estabelecer qual o grau de probabilidade de ocorrência do evento de risco e qual o grau do impacto gerado.
A identificação dos riscos pode ser realizada por meio de oficinas de trabalho ou, dependendo da situação e do objeto em
análise, pelo próprio gestor do risco.
 14

FIGURA 2 - Identificação de Riscos

PROCESSO OU EVENTO DE CAUSAS CONSEQUÊNCIA

N° SUBPROCESSO (POR QUE ESSE RISCO
OU ATIVIDADE RISCO PODE ACONTECER?) (DANO)

Evento de
Causa 1 Consequência 1
Risco 1
Descrever Evento de
1 Causa 2 Consequência 2
processo 1 Risco 2
Evento de
Causa 2 Consequência 3
Risco 3
Evento de
Causa 1 Consequência 1
Risco 1
Descrever Evento de
2 Causa 2 Consequência 2
processo 2 Risco 2
Evento de
Causa 3 Consequência 3
Risco 3

Fonte: Matriz de Gestão de Riscos. Assessoria Especial de Controle Interno. Ministério da Educação.

No campo “processo, subprocesso ou atividade” deverão ser descritos cada etapa do macroprocesso escolhido. Em
cada uma das etapas poderá haver um ou mais eventos de risco, e cada evento terá a sua causa e consequência. Isso
torna mais evidente a necessidade de um estabelecimento de contexto e mapeamento de processos conciso, completo
e organizado a fim de identificar com clareza os eventos de riscos e a maior parte das suas causas e consequências.

É importante frisar que, no processo de identificação de riscos, as pessoas que conheçam o objeto ou atividade
sob análise devem ter a possibilidade de participar e contribuir. Para isso, sugere-se como técnicas e ferramentas que
permitam a coleta do maior número de riscos, tais como: brainstorming, brainwriting, entrevistas, visitas técnicas, pesquisas
exploratórias e estudos de caso.

5.3 - ANÁLISE E AVALIAÇÃO DOS RISCOS

5.3.1 - ANÁLISE DOS RISCOS: é uma das etapas do processo de gerenciamento de riscos no MEC e consiste na
avaliação da probabilidade de um evento de risco ocorrer e o seu possível impacto.

Nesta fase, após efetuada a identificação de todos os riscos, é hora de avaliar os impactos e a probabilidade de
ocorrência medindo-se o grau de riscos de cada uma das etapas do processo.
 15

Para efetuar a análise dos riscos sugerimos os seguintes passos:

• avaliar o impacto do risco sobre o objetivo/resultado – o impacto mede o potencial comprometimento do objetivo/
resultado (p.ex.: um risco com potencial para comprometer um objetivo na sua totalidade ou na sua quase totalidade
é considerado um risco de alto impacto);

• avaliar a probabilidade de ocorrência do risco – mede o quão presumível é a ocorrência do risco (p.ex.: um evento
cuja ocorrência seja quase certa de acontecer é um evento de alta probabilidade); e

• definir o nível do risco com base na matriz probabilidade x impacto

Na Matriz de Riscos do MEC a escala (probabilidade x impacto) é composta por 04 (quatro) níveis que podem variar
de acordo com o objeto de gestão e com o grau de precisão na definição dos níveis de probabilidade e impacto, conforme
verifica-se na figura abaixo:

FIGURA 3 - Escala de Probabilidade x Impacto

VALORES PROBABILIDADE IMPACTO

1 Improvável Baixo
2 Remoto Moderado
3 Provável Relevante
4 Quase certo Severo

Fonte: Matriz de Gestão de Riscos. Assessoria Especial de Controle Interno. Ministério da Educação.

ESCALA DE PROBABILIDADE (1 a 4):

1 - Improvável: acontece em situações excepcionais. Não há histórico conhecido do evento ou não há indícios que
sinalizem sua ocorrência.

2 - Remoto: o histórico conhecido aponta para baixa frequência de ocorrência no prazo associado ao objetivo.

3 - Provável: repete-se com frequência razoável no prazo associado ao objetivo ou há indícios de que possa ocorrer
nesse horizonte.

4 - Quase certo: repete-se com elevada frequência no prazo associado ao objetivo ou há muitos indícios de que
ocorrerá nesse horizonte.
 16

ESCALAS DE IMPACTO (1 a 4):

1 - Baixo: compromete em alguma medida o alcance do objetivo, mas não impede o alcance da maior parte do
objetivo/resultado.

2 - Moderado: compromete razoavelmente o alcance do objetivo/resultado.

3 - Relevante: compromete a maior parte do atingimento do objetivo/resultado.

4 - Severo: compromete totalmente ou quase totalmente o atingimento do objetivo/resultado.

O resultado da multiplicação da probabilidade x impacto indicará o Grau do Risco de cada atividade, que poderá ser
classificado como crítico, elevado, moderado ou insignificante, tabela exemplificativa a seguir:

FIGURA 4 - Grau de Risco

EXEMPLOS DE SITUAÇÕES POSSÍVEIS PARA

O RESULTADO = GRAU DE RISCO

PROBABILIDADE IMPACTO RESULTADO GRAU DE RISCO

4 4 16 Crítico
3 4 12 Elevado
3 3 9 Elevado
2 2 4 Moderado
1 3 3 Moderado
2 1 2 Insignificante
1 1 1 Insignificante

Fonte: Matriz de Gestão de Riscos. Assessoria Especial de Controle Interno. Ministério da Educação.
 17

Para facilitar a análise do gestor quanto ao grau do risco, foi elaborada uma legenda, conforme tabela a seguir:

PROBABILIDADE X IMPACTO

GRAU DO RISCO DESCRITORES

Probabilidade: Baixa possibilidade de ocorrer. Passível de

Insignificante mitigar com estratégias já programadas. Impacto: Prejuízos são
baixos. Avaliar a necessidade de fazer novos projetos.

Probabilidade: Média possibilidade de ocorrer. Passível de mitigar

Moderado com custos e ações adicionais. Impacto: Perda da capacidade de
gestão. Exige demandas adicionais de tempo e recursos.

Probabilidade: Alta possibilidade de ocorrer. Dificuldade de mitigar

mesmo com recursos e ações adicionais. Impacto: situação de grande
Elevado preocupação. As ações para mitigar e extinguir o risco devem ser
tomadas rapidamente e os resultados precisam ser monitorados de
forma frequente para avaliar se a situação mudou com as ações.

Probabilidade: Quase certo a sua ocorrência. Impacto: Desastroso,

intolerável, severo. As ações para mitigar e extinguir o risco devem
Crítico
ser tomadas imediatamente. Podem causar graves prejuízos aos
objetivos e ao cumprimento da missão institucional do MEC.

Fonte de consulta: Livro ForRisco, 2019 - 2ª Edição, página 139, com adaptações.

A Matriz de Riscos, também conhecida como Matriz de Probabilidade e Impacto, é uma ferramenta de gerenciamento
de riscos que permite, de forma visual, identificar quais são os riscos que devem receber mais atenção. Por se tratar de
uma ferramenta para priorização de riscos, ela pode ser aplicada na etapa de avaliação de riscos. É importante destacar
que a Matriz de Riscos consiste em uma tabela orientada por duas dimensões: probabilidade e impacto. Por meio dessas
duas dimensões, é possível calcular e visualizar a classificação do risco, que consiste na avaliação do impacto versus a
probabilidade.

FIGURA 5 - Critérios para medir o nível do risco

QUADRO DE CRITÉRIOS PARA NÍVEL DO RISCO

Quase certo 4 8 12 16
Provável 3 6 9 12
Probabilidade
Remoto 2 4 6 8

Improvável 1 2 3 4
Impacto Baixo Moderado Relevante Severo
 18

ESCALA STATUS

1-2 Insignificante

3-8 Moderado

9-12 Elevado

16 Crítico

Fonte: Matriz de Gestão de Riscos. Assessoria Especial de Controle Interno. Ministério da Educação.

O grande diferencial da Matriz de Riscos é a facilidade que ela proporciona para visualizar informações sobre um
determinado conjunto de riscos. Por se tratar de uma ferramenta gráfica, torna-se fácil identificar quais riscos irão afetar
menos ou mais o MEC, possibilitando assim a tomada de decisões e a realização de medidas preventivas para tratar
esses riscos. Além disso, por ser uma ferramenta de fácil entendimento e por dispor informações de forma clara e precisa,
colabora com engajamento da equipe no processo de gestão de riscos.

5.3.2 - AVALIAÇÃO DOS RISCOS: envolve a comparação do seu nível com o limite de exposição a riscos, a fim
de determinar se o risco é aceitável. O limite de exposição a riscos representa o nível de risco acima do qual é desejável
o tratamento do risco. Espera-se que, com os resultados do tratamento, o nível de risco residual fique abaixo do limite de
exposição.

O processo de avaliação dos riscos permite à alta gestão estabelecer critérios para tratamentos deles, conforme seu
apetite a riscos. Ao ordenar os riscos mais críticos, o gestor terá uma visão clara sobre quais devem ser tratados com
maior grau de prioridade.

5.3.2.1 - RESPOSTA AOS RISCOS: consiste na seleção das ações destinadas a reter (eliminar); reduzir (mitigar);
transferir; ou aceitar (tolerar) o risco para o alcance dos resultados previstos.

Após as fases de identificação, análise e avalição dos riscos chegou o momento de se pensar na resposta que o gestor
do MEC dará a cada um dos riscos, conforme descrição da Figura 6, a seguir.
 19

FIGURA 6 - Respostas aos riscos (ameaças ou oportunidades)

RESPOSTAS AO RISCO OU
DESCRIÇÃO
OPORTUNIDADES

ações para remover a ameaçã de um

projeto ou de uma operação. Geralmente
Eliminar o risco
seu impacto é severo, desastroso.

ações para reduzir a probabilidade

Mitigar o risco de ocorrência e o potencial
impacto negativo dela.

ações de transferência do impacto

para terceiros. A propriedade e/
Transferir o risco ou responsabilidade é transferida
para este terceiro (EX.: contratação
de empresas terceirizadas).

não é tomada nenhuma ação para lidar

Aceitar/Tolerar o risco
com o risco. Seu impacto é muito baixo.

quando a área, empresa ou organização

toma ações para garantir que esta
Explorar a oportunidade
oportunidade se concretize, seja
num projeto ou numa operação

é quando são tomadas ações para

Melhorar a oportunidade aumentar a probabilidade (de ocorrer) e/
ou o (potencial) impacto positivo dela

quando a propriedade (e responsabilidade)

dela é atribuída a terceiros. Assume-se que
Compartilhar a oportunidade
este terceiro tenha melhores condições
de capturar esta oportunidade.

Fonte: Matriz de Gestão de Riscos. Assessoria Especial de Controle Interno. Ministério da Educação

5.3.2.2 - TIPOLOGIA DOS RISCOS: os eventos de risco podem ser classificados por uma ou mais de uma tipologia.
A intenção é permitir sintetizar informações para análise de priorização da alta gestão.

Na tabela abaixo, foram elencados alguns tipos de riscos mais comuns trazidos pela mais vasta literatura brasileira
sobre gestão de riscos:
 20

FIGURA 7 - Tipologia de Riscos

TIPOLOGIA DO RISCO DESCRIÇÃO (INTERPRETAÇÃO)

eventos que podem comprometer

a capacidade do MEC de contar
Orçamento/Financeiro com os recursos orçamentários e
financeiros necessários à realização
de suas atividades ou serviços.
eventos que podem comprometer
as atividades do MEC, normalmente
Operacional associados a falhas. deficiência ou
inadequação de processos internos,
pessoas, infraestrutura e/ou sistema
eventos que podem compometer a confiança
da sociedade (parceiros, usuários e/ou
Imagem/Reputação
fornecedores) em relação à capacidade do
MEC em cumprir sua missão institucional.

eventos derivados de alterações

Legal legislativas ou normativas que podem
comprometer as atividades do MEC.

outros riscos: culturais, de gestão,

de estratégia, de integridade entre
Demais riscos
outros que podem comprometer o
andamento das atividades do MEC.

Fonte: Livro ForRisco, 2019 - 2ª Edição, página 135, com adaptações.

Na figura acima foram explicitados os tipos de riscos mais comuns, tais como: orçamentários/financeiros; operacionais;
imagem/reputação; legais/conformidade e demais riscos. Os demais riscos podem ser culturais; estratégicos; de gestão; de
integridade; etc. Sobre os riscos à integridade vale informar como podem ser caracterizados, conforme definição adotada
pela Portaria CGU nº 1.089, de 2018:

Ar t. 2º, II – Riscos para a integridade: riscos que configurem ações ou

omissões que possam favorecer a ocorrência de fraudes ou atos de corrupção.

Parágrafo único. Os riscos para a integridade podem ser causa, evento ou

consequência de outros riscos, tais como financeiros, operacionais ou de imagem.

A partir da definição dada pela Portaria CGU nº 1.089, de 2018, a ocorrência de fraudes e atos de corrupção não são
as únicas formas de descumprir a integridade. Também são consideradas ações que caracterizam quebra da integridade
atos como: recebimento/oferta de propina; desvio de verbas; fraudes; abuso de poder/influência; nepotismo; conflito de
interesses; uso indevido e vazamento de informação sigilosa; e práticas antiéticas. Ressalta-se que o tratamento dos
riscos para a integridade considera o engajamento de toda a organização para a resolução dos desvios e quebras de
integridade. No MEC, a unidade responsável por auxiliar no processo de gestão de riscos à integridade é a Unidade de
Gestão da Integridade, conforme previsto na Portaria MEC nº 563, de 2020.

Por fim, após a etapa de avaliação e classificação das tipologias do risco, o servidor poderá verificar na sua matriz de
riscos do MEC o grau de criticidade do risco. Esse grau de criticidade é calculado automaticamente (possui fórmula no
excel), e esse cálculo é feito pelo valor médio de cada risco avaliado. Importante salientar que o grau de criticidade do risco
servirá como um termômetro, ou seja, para que o servidor e/ou gestor possam verificar e priorizar o tratamento dos riscos
mais críticos e relevantes, buscando soluções conjuntas com suas equipes para eliminar ou mitigar a sua probabilidade
de ocorrência e o seu impacto. Sabe-se que o grau de criticidade de risco poderá ser classificado como: crítico, relevante,
moderado ou baixo.
 21

5.4 - TRATAMENTO DOS RISCOS

Corresponde à fase de planejamento e realização de ações para modificar o nível do risco. Aqui, o gestor deve refletir
sobre a identificação de medidas de resposta ao risco. Para facilitar o trabalho, sugerimos algumas perguntas para reflexão:

• que medidas poderiam ser adotadas para reduzir a probabilidade de ocorrência do risco?

• que medidas poderiam ser adotadas para reduzir o impacto do risco no objetivo/resultado?

• é possível adotar medidas para transferir o risco?

Para efetuar o tratamento dos riscos sugerimos seguir os seguintes passos:

• identificar medidas de resposta ao risco;

• avaliar a viabilidade da implantação dessas medidas, tais como: análise do custo x benefício; viabilidade técnica;
tempestividade; efeitos colaterais do tratamento; etc.;

• decidir quais medidas serão implementadas; e

• elaborar plano de implementação das medidas para inclusão nos planos institucionais.

Um risco pode ser tanto prejudicial (ameaça) quanto benéfico (oportunidade) em um projeto. A incerteza, por sua vez,
é a falta de informação ou de conhecimento sobre o resultado de uma ação, decisão ou evento. O tratamento dos riscos
envolve a definição das medidas de tratamento que são adequadas para cada risco, com o propósito de reduzir os níveis
para a situação desejada. Possíveis ações para o tratamento dos riscos envolvem:

• Não iniciar (ou interromper) a atividade que dá origem ao risco.

• Remover a fonte do risco.

• Alterar a probabilidade.

• Alterar a consequência.

• Compartilhar o risco.

• Mitigar o risco.
 22

A Matriz de Risco elaborada pelo MEC conta com campos específicos para que as unidades lancem as informações
quanto as ações preventivas e corretivas para tratamento dos riscos, bem como campo para indicar os responsáveis por
essas ações, conforme pode ser observado na FIGURA 8, abaixo:

FIGURA 8 - Plano de ações para tratamento dos riscos

PLANO DE AÇÕES PARA TRATAMENTO DE RISCOS

Identificação da Unidade: Nome da Secretaria e/ou Subsecretaria

Data da elaboração e Nome do Responsável: xx/xx/xxxx feita por (nome do servidor)
Data da atualização (responsável): xx/xx/xxxx feita por (nome do responsável)
Análise e Tratamento dos riscos Análise da Criticidade por Tipologia
Grau de
Resposta Ação Ação Monitoramento Orçamentário/ Imagem/ Demais
Responsável Responsável Operacional Legal Média Criticidade
ao Risco Preventiva Corretiva (periodicidade) Financeiro Reputação Riscos (impacto)

Ação Ação 1- 4 - Quase 3- 3- 1-

Eliminar Nome Nome Mensal 2,40 Moderado
Preventiva Corretiva Improvável Certo Provável Provável Improvável

Aceitar/ Ação Ação 4 - Quase 4 - Quase 4 - Quase 4 - Quase

Nome Nome Semanal 2 - Remoto 3,60 Crítico
Tolerar Preventiva Corretiva Certo Certo Certo Certo

Ação Ação 3- 3- 3- 3- 4 - Quase

Tranferir Nome Nome Bimestral 3,20 Relevante
Preventiva Corretiva Provável Provável Provável Provável Certo

1- 1- 1- 1- 1-
Mitigar Improvável Improvável Improvável Improvável Improvável
1,00 Baixo

Fonte: Matriz de Gestão de Riscos. Assessoria Especial de Controle Interno. Ministério da Educação

Nesta etapa, deverão ser implementadas ações de controles preventivos e corretivos que compreendam o conjunto de
controles internos, tais como: regras, procedimentos, diretrizes, protocolos, rotinas ou conferências destinadas a enfrentar
os riscos e fornecer segurança razoável da consecução da missão da entidade e dos objetivos.

As ações preventivas podem ser entendidas como as melhorias de controle interno implementadas para impedir que
o evento de risco venha a acontecer. Já as ações corretivas servem para minimizar os impactos dos riscos no alcance
dos objetivos, caso os eventos de riscos se concretizem.

É extremamente relevante que as unidades do MEC, ao realizarem as suas análises para tratamento dos riscos,
elenquem em suas respectivas matrizes de riscos as medidas preventivas e/ou mitigadoras que visem a adoção e/ou as
melhorias de controles internos, o redesenho de processos, a realocação de pessoas, a realização de ações de capacitação,
o desenvolvimento ou aperfeiçoamento de soluções de TI, a readequação da estrutura organizacional e outros. Assim
sendo, o tratamento de riscos deve considerar os eventos de riscos identificados, além do custo-benefício e viabilidade
de se proceder as ações preventivas para diminuir a probabilidade de ocorrência do evento ou seu impacto na instituição.
 23

5.5 - MONITORAMENTO

O monitoramento das ações de tratamento de riscos envolve a verificação contínua ou periódica do funcionamento
da implementação das ações e dos resultados das medidas mitigadoras. Nesta etapa verifica-se o desempenho ou a
situação de elementos da gestão de riscos, podendo abranger a política, as atividades, os riscos, os planos de tratamento
de riscos, os controles e outros assuntos de interesse.

Na matriz de riscos do MEC, conforme FIGURA 8, pode-se verificar um campo específico de monitoramento onde será
registrada a periodicidade (diário, semanal, mensal, trimestral, anual) para se revisitar/revisar cada etapa do processo e
suas ações.

Importante ressaltar que a gestão de riscos é um processo contínuo e dinâmico: o grau, o tipo e as respostas aos riscos
podem variar ao longo do tempo. Ora, à medida que a unidade for implementando ações preventivas e corretivas no seu
processo, aquele risco inicialmente identificado poderá ser eliminado, por exemplo.

O monitoramento dos riscos de processos, unidades e projetos será realizado pelo respectivo gestor do risco, conforme
expresso no artigo 17 da Portaria MEC nº 563, de 2020. Caso sejam identificados mudanças ou fragilidades nos processos
organizacionais, o servidor e/ou colaborador deverá reportar imediatamente o fato ao responsável pelo gerenciamento
dos riscos do processo averiguado.

Cabe ressaltar que o monitoramento das ações e a atualização periódica da matriz de riscos proporcionará ao Comitê
de Governança, Integridade, Gestão de Riscos e Controle (CGIRC/MEC), com apoio permanente da Assessoria Especial de
Controle Interno (AECI), efetuar o acompanhamento e a supervisão da gestão de riscos, controles internos e integridade
no âmbito deste Ministério.

5.6 - COMUNICAÇÃO

A comunicação dos riscos é parte integrante de qualquer resposta a emergências e consiste na troca de informação,
aconselhamento e pareceres, em tempo real, entre gestores, colaboradores e sociedade. A comunicação é fundamental
para que todos os envolvidos enfrentem de uma forma mais positiva as mudanças nos processos que visam a melhoria
contínua (o abandono de práticas ineficientes, a implementação de novos e melhorados processos, métodos e tecnologias,
entre outros aspectos).

Ao inserir a comunicação como parte estratégica da gestão de riscos, criamos maior facilidade para que as informações
transitem de forma mais ágil e adequada por entre as várias partes interessadas (colaboradores, órgãos de controle,
fornecedores e sociedade). O objetivo é proporcionar avaliações mais rápidas e assertivas sobre os riscos aos quais o
MEC está exposto ou pode vir a se deparar. Todo o esforço de comunicação da organização ao fazer gestão de riscos
ajudará nos seguintes aspectos:

• conhecer a importância e a relevância da gestão de riscos;

• compreender o motivo das ações estarem sendo tomadas, tanto para diagnosticar quanto para tratar os riscos
organizacionais;
 24

• deixar clara as funções e responsabilidades de todos os envolvidos na estratégia de gestão de riscos;

A comunicação é uma parte importante na gestão de riscos, pois diminui ao máximo as dúvidas sobre o assunto. O
fluxo de comunicação pode ser dividido em duas direções:

A comunicação vertical ocorre no sentido da base para a alta gestão ou vice-versa, proporcionando à alta administração
informações dos riscos por todas as unidades organizacionais e proporcionando que os servidores tenham ciência dos
principais riscos que afetam ao MEC.

A comunicação horizontal é um procedimento utilizado para que os riscos de um processo que envolva diferentes
unidades administrativas e áreas finalísticas do MEC possam ser conhecidos por todos os que trabalham nesse processo.

6. INTEGRAÇÃO DA GESTÃO DE RISCO COM

PLANEJAMENTO ESTRATÉGICO INSTITUCIONAL
(PEI)
Um dos princípios estabelecidos na Política de Gestão de Riscos, Controles Internos e Integridade, no âmbito do MEC,
é o alinhamento estratégico e sistêmico. Assim, para que se tenha um bom gerenciamento de riscos, deve-se considerar
todos os elementos relevantes dispostos no Plano Estratégico do MEC, bem como observar as diretrizes que venham a
ser emanadas dos órgãos centrais dos sistemas federais.

Ao se formular a estratégia institucional, deverão ser considerados os riscos intrínsecos àquela estratégia (COSO 2017).
Além disso, deve ser considerado, também, que o risco da estratégia não está somente alinhado à missão, à visão e às
competências constitucionais do MEC, mas na maioria dos processos de trabalho que possuem ou não uma interface
para o atingimento dos objetivos estratégicos.

O gerenciamento dos riscos é uma ferramenta indispensável para o bom andamento do planejamento estratégico pois
possibilita a obtenção de informações úteis à tomada de decisão para a consecução dos objetivos institucionais, uma vez
que a estratégia e risco são termos que devem caminhar juntos. Assim sendo, o processo de formulação do planejamento
estratégico deverá considerar, objetivamente, os riscos associados ao atingimento dos objetivos e das metas estabelecidos,
de maneira a subsidiar decisão da alta administração com elementos consistentes capazes de proporcionar a adequada
resposta a cada risco identificado. As proposições de novas estratégias, objetivos, metas, iniciativas, normativos e demais
instrumentos de governança e gestão, no âmbito deste Ministério, deverão estar acompanhadas de análise dos riscos
associados à sua implementação bem como de respostas a estes riscos. Sugere-se que a gestão de riscos observe os
seguintes pontos:

• possibilitar a obtenção de informações úteis à tomada de decisão, visando à consecução dos objetivos institucionais;

• desenvolver capacidades que possibilitem avaliar diferentes possíveis cenários, de forma a contribuir para
identificação de vulnerabilidades que possam afetar o alcance desses objetivos;

• possibilitar que as informações da matriz de riscos sejam revisitadas e revisadas periodicamente, uma vez que
os eventos de riscos poderão ser eliminados e/ou controlados; e
 25

• viabilizar que a mensuração do desempenho da gestão de riscos seja realizada de forma contínua e/ou independente.

Os projetos, metas e ações incluídas no Plano Nacional de Educação (PNE) deverão ser objetos de especial atenção
e tratamento prioritário no tocante ao levantamento dos riscos, pois impactam diretamente no atingimento dos objetivos
definidos no planejamento estratégico do MEC. Outro aspecto importante a ser observado pelos gestores são os impactos
da pandemia do COVID-19 nos projetos prioritários do MEC.

7. CONSIDERAÇÕES FINAIS
Todos os agentes públicos em exercício no MEC, em todos os níveis e unidades, são responsáveis pela gestão dos
riscos inerentes ao exercício de suas atribuições, bem como pelo monitoramento da evolução dos níveis de riscos e da
efetividade das medidas de controles implementadas nos processos organizacionais em que estiverem envolvidos ou de
que tiverem conhecimento, devendo exercer as atividades de sua competência em estrita consonância com os princípios
e objetivos dispostos na Portaria MEC nº 563, de 2020.

O fortalecimento da integridade institucional do MEC deverá ser promovido por todos e para todos para que as
decisões sejam baseadas no autoconhecimento e diagnose de vulnerabilidades. Sabe-se que há uma arma poderosa
para proporcionar isso, que é precisamente o gerenciamento de riscos.

Pretende-se, com a elaboração e publicação deste manual, instruir e colaborar de forma eficaz, efetiva e eficiente com
a implantação de boas práticas de Gestão de Governança, Integridade, Gestão de Riscos e Controles Internos e para a
tomada de decisões dos servidores, colaboradores e gestores e da alta gestão do MEC.
 26

REFERÊNCIAS BIBLIOGRÁFICAS

ABNT – Associação Brasileira de Normas Técnicas. Gestão de riscos - Princípios e diretrizes. ABNT NBR ISO 31000:2009.
Rio de Janeiro, 2009.

ABNT – Associação Brasileira de Normas Técnicas. Segurança da sociedade - Sistemas de gestão de continuidade de
negócios – ABNT NBR ISSO 22313:2015. Rio de Janeiro, 2015

ASSI, M. Gestão de Riscos com Controles Internos. São Paulo, Saint Paul, 2012.

BRASIL. Manual de Riscos para a Integridade. Orientações para a administração pública federal direta, autárquica e
fundacional; Brasília; 2018, p. 9 – 10. Acessado em 11 de maio de 2021. Disponível em: https://www.gov.br/cgu/pt-br/
centrais-de-conteudo/publicacoes/integridade/arquivos/manual-gestao-de-riscos.pdf)

BRASIL. Tribunal de Contas da União. Manual de Gestão de Riscos do TCU. Segepres/Seplan – Brasília. Maio, 2018.

BRASIL. Tribunal de Contas da União – TCU. Roteiro de auditoria de gestão de riscos, Brasília, 2017.

BRASIL. Tribunal de Contas da União – TCU. Portal do TCU >Gestão de Riscos. Políticas de Gestão de Riscos>Gestão de
Riscos no TCU> Modelos de Referência. Disponível em: < Modelos de referência | Portal TCU . Acessado em 26/10/2021

BRASIL. Tribunal de Contas da União. Roteiro de Avaliação de Maturidade da Gestão de Riscos / Tribunal de Contas da
União. – Brasília: TCU, Secretaria de Métodos e Suporte ao Controle Externo, 2018. Disponível em : < Gestao de Riscos -
Avaliacao da Maturidade - V2.pdf . Acessado em 26/10/2021

BRASIL. Ministério do Planejamento, Desenvolvimento e Gestão. Manual de Gestão de Integridade, Riscos e Controles
Internos da Gestão. Versão 2.0 – 14/08/2017. Disponível em: https://www.gov.br/economia/pt-br/centrais-de-conteudo/
publicacoes/planejamento/controle-interno/manual_de_girc___versao_2_0.pdf Acessado em 30 de maio de 2021.

BRASIL. Ministério da Educação. Portaria nº 563 em 30 junho de 2020. Acessado em 12 de maio de 2021. Disponível em:
https://www.in.gov.br/en/web/dou/-/portaria-n-563-de-30-de-junho-de-2020-264422982)

COSO - COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREA- -DWAY COMMISSION - COSO. Enterprise Risk
Management - Integrating with Strategy and Performance. COSO 2017.

HM TREASURY, Her Majesty's Treasury. The Orange Book: Management of risk - Principles and concepts. Norwich, UK, 2009.

IBGC. Código das Melhores Práticas de Governança Corporativa. 5ª Ed. 2015 o ROSSETI, José P.; ANDRADE, Adriana.
Governança Corporativa - Fundamentos, Desenvolvimento e Tendências. São Paulo. Ed. Atlas, 2014.

Paulo Henrique de Souza Bermejo [et. al]. Livro ForRisco. Gerenciamento de riscos em instituições públicas na prática.
Brasília. Editora Evobiz. 2018.