Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 09/02/2021 - Diário Oficial do Estado do Ceará

                            • Calcular o risco inerente, a partir de critérios de probabilidade e impacto (área de atuação operacional com auxílio da área de atuação tática);
• Classificar o risco dentro das faixas apresentadas no quadro 3 (área de atuação operacional com auxílio da área de atuação tática);
• Avaliar a eficácia dos controles internos existentes, em relação aos objetivos do processo organizacional (área de atuação estratégica);
• Calcular o nível de risco residual (área de atuação operacional com auxílio da área de atuação tática).
NOTA 02: Risco Inerente e risco residual
Risco inerente é o risco a que uma organização está exposta sem considerar quaisquer medidas de controle que reduzam ou possam reduzir a probabili-
dade de sua ocorrência ou de seu impacto. 
Risco residual é o risco a que uma organização está exposta após a implementação de medidas de controle para o tratamento do risco.
Os quadros 1 e 2 trazem as escalas de probabilidade e impacto, respectivamente:
Quadro 1: Escala de Probabilidade
PROBABILIDADE 
DESCRIÇÃO DA PROBABILIDADE, DESCONSIDERANDO OS CONTROLES 
PESO
Muito baixa
Improvável (Em situações excepcionais, o evento poderá até ocorrer, mas nada nas circunstâncias indica essa possibilidade).
1
Baixa
Rara.(De forma inesperada ou casual, o evento poderá ocorrer, pois as circunstâncias pouco indicam essa possibilidade).
2
Média
Possível (De alguma forma, o evento poderá ocorrer, pois as circunstâncias indicam moderadamente essa possibilidade). 
5
Alta
Provável (De forma até esperada, o evento poderá ocorrer, pois as circunstâncias indicam fortemente essa possibilidade). 
8
Muito alta
Praticamente certa (De forma, inequívoca, o evento ocorrerá pois, as circunstâncias indicam claramente essa possibilidade).
10
Quadro 2: Escala de Impacto
IMPACTO
 DESCRIÇÃO DO IMPACTO NOS OBJETIVOS (ESTRATÉGICOS, OPERACIONAIS, DE INFORMAÇÃO/COMUNICAÇÃO/
DIVULGAÇÃO OU DE CONFORMIDADE) DO PROCESSO ORGANIZACIONAL, CASO O EVENTO OCORRA 
PESO
Muito baixo 
Mínimo impacto nos objetivos do processo organizacional.
 1
Baixo 
Pequeno impacto nos objetivos do processo organizacional. 
2
Médio 
Moderado impacto nos objetivos do processo organizacional, porém recuperável. 
5
Alto 
Significativo impacto nos objetivos do processo organizacional, de difícil reversão. 
8
Muito Alto 
Catastrófico impacto nos objetivos do processo organizacional, de forma irreversível. 
10
5.1. CÁLCULO DO RISCO INERENTE
A multiplicação entre os valores de probabilidade (quadro 1) e impacto (quadro 2) define o nível do risco inerente que, como citado na Nota 02, é o nível 
do risco sem considerar quaisquer controles que reduzem ou podem reduzir a probabilidade da sua ocorrência ou do seu impacto.
RI = NP x NI
Em que:
RI = nível do risco inerente
NP = nível de probabilidade do risco
NI = nível de impacto do risco
5.2. CLASSIFICAÇÃO DO RISCO INERENTE DENTRO DE FAIXAS DE RISCO
A partir do resultado do cálculo feito no tópico 5.1, o risco pode ser classificado dentro das seguintes faixas:
Quadro 3: Classificação do Risco
CLASSIFICAÇÃO
FAIXA
Risco Baixo - RB
0 – 9,99
Risco Médio - RM
10 – 39,99
Risco Alto - RA
40 – 79,99
Risco Extremo - RE
80 – 100
A seguinte matriz apresenta os possíveis resultados da combinação das escalas de probabilidade e impacto.
Quadro 4: Matriz de Riscos
v
5.3. AVALIAÇÃO DA EFICÁCIA DOS CONTROLES INTERNOS EXISTENTES
Após a classificação do risco (tópico 5.2), a área de atuação estratégica deve avaliar a eficácia dos controles internos existentes, em relação aos objetivos 
do processo organizacional. 
Para isso, é necessário verificar se os controles apontados durante a etapa de Análise dos Riscos (tópico 4) têm auxiliado no tratamento adequado desses 
riscos. 
O quadro 5 mostra os níveis de avaliação da eficácia dos controles existentes:
Quadro 5: Níveis de Avaliação dos Controles Internos Existentes
NÍVEL DE EFICÁCIA 
DOS CONTROLES 
INTERNOS
DESCRIÇÃO
FATOR DE 
AVALIAÇÃO DOS 
CONTROLES
Inexistente
Controles inexistentes, mal desenhados ou mal implementados, isto é, não funcionais.
1
Fraco
Controles têm abordagens ad hoc¹, tendem a ser aplicados caso a caso, a responsabilidade é 
individual, havendo elevado grau de confiança no conhecimento das pessoas.
 0,8
Mediano 
Controles implementados, mitigam alguns aspectos do risco, mas não contemplam todos os aspectos 
relevantes do risco devido a deficiências no desenho ou nas ferramentas utilizadas. 
0,6
Satisfatório 
Controles implementados e sustentados por ferramentas adequadas e, embora 
passíveis de aperfeiçoamento, mitigam o risco satisfatoriamente. 
0,4
Forte 
Controles implementados podem ser considerados a “melhor prática”, mitigando todos os aspectos relevantes do risco. 
0,2
1Controle ad-hoc: baseia-se na utilização de mecanismos não formais que promovem o controle, normalmente em ambientes muito dinâmicos e de grande 
complexidade.
65
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XIII Nº033  | FORTALEZA, 09 DE FEVEREIRO DE 2021

Fechar