Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 09/02/2021 - Diário Oficial do Estado do Ceará

                            5.4. CÁLCULO DO RISCO RESIDUAL
Após a avaliação dos controles existentes (tópico 5.3), a área de atuação operacional deverá calcular o risco residual. Como citado na Nota 02, o risco 
residual é o risco a que uma organização está exposta após a implementação de medidas de controle para o tratamento do risco.
O nível de risco residual corresponde ao valor final da multiplicação entre o valor do risco inerente e o fator de avaliação dos controles internos existentes. 
RR = RI x FC
Em que:
RR = nível do risco residual
RI = nível do risco inerente
FC = fator de avaliação dos controles existentes
O valor de risco residual pode fazer com que o risco se enquadre em uma faixa de classificação de risco (quadro 3) diferente da faixa definida para o risco 
inerente. 
O Apêndice I deste documento traz o modelo de planilha para o registro de informações produzidas na etapa de Avaliação de Riscos (colunas 9 a 13).
NOTA 03: Revisão do processo organizacional em novo ciclo do processo de gerenciamento de riscos
De forma geral, nos ciclos seguintes do processo de gerenciamento de riscos do processo organizacional, deve-se considerar o nível de risco inerente 
calculado no 1º ciclo e reavaliar os controles para o cálculo do risco residual. 
A comparação entre os níveis de riscos residuais de diferentes ciclos objetiva identificar se os controles definidos nos Planos de Tratamento estão sendo 
eficazes para tratar o risco.
6. TRATAMENTO DE RISCOS 
6.1 PRIORIZAÇÃO DOS RISCOS PARA TRATAMENTO
Nesta etapa, a área de atuação operacional, com auxílio da área de atuação tática, identificará quais riscos serão priorizados para tratamento. Para isso, 
devem ser considerados os valores dos níveis de riscos residuais calculados na etapa anterior (tópico 5.4). 
A faixa de classificação do risco residual deve ser considerada para a definição da atitude da área de atuação operacional em relação à priorização para 
tratamento. O quadro 6 mostra, por faixa de classificação, quais ações devem ser adotadas em relação ao risco e suas exceções.
Quadro 6: Atitude perante o risco para cada classificação
FAIXA DE 
CLASSIFICAÇÃO 
DO RISCO 
RESIDUAL 
AÇÃO NECESSÁRIA 
EXCEÇÃO
Risco Baixo 
Nível de risco dentro do apetite a risco, mas é possível que existam oportunidades 
de maior retorno que podem ser exploradas assumindo-se mais riscos, avaliando 
a relação custo x benefício, como diminuir o nível de controles. 
Caso o risco seja priorizado para implementação de 
medidas de tratamento, essa priorização deve ser 
justificada pelo responsável pelo processo.
Risco Médio 
Nível de risco dentro do apetite a risco. Geralmente nenhuma medida especial é necessária, 
porém requer atividades de monitoramento específicas e atenção da área na manutenção de 
respostas e controles para manter o risco nesse nível, ou reduzi-lo sem custos adicionais. 
Caso o risco seja priorizado para implementação de 
medidas de tratamento, essa priorização deve ser 
justificada pelo responsável pelo processo.
Risco Alto 
Nível de risco além do apetite a risco. Qualquer risco nesse nível deve ser comunicado ao 
gestor da área e ter uma ação tomada em período determinado. Postergação de medidas só 
com autorização do gestor da área em comum acordo com responsável pelo processo. 
Caso o risco não seja priorizado para implementação 
de medidas de tratamento, a não priorização deve 
ser justificada pelo responsável pelo processo.
Risco Extremo
 Nível de risco muito além do apetite a risco. Qualquer risco nesse nível deve ser comunicado 
à área de atuação estratégica e ao responsável pelo processo e ter uma resposta imediata. 
Postergação de medidas só com autorização da área de atuação estratégica. 
Caso o risco não seja priorizado para implementação 
de medidas de tratamento, a não priorização deve 
ser justificada pelo responsável pelo processo e 
aprovada pela área de atuação estratégica.
NOTA 04: Sobre o Apetite a Risco do Processo Organizacional
Segundo o inciso XIII, do art. 3º, do Decreto nº 33.805, de 09 de novembro de 2020, que estabelece a Política de Gestão de Riscos - PGR, apetite a risco é 
o “nível de risco que uma organização está disposta a aceitar”. 
Caso o órgão ou entidade opte por estabelecer apetite a risco diferente do proposto nesta metodologia, a área de atuação operacional deverá defini-lo com 
auxílio da área de atuação tática.
Neste caso, é importante que o apetite a risco seja estabelecido no início do processo de gerenciamento de riscos e aprovado pela área de gestão estraté-
gica. 
Uma vez definido, a organização declara que: 
- todos os riscos cujos níveis estejam dentro da(s) faixa(s) de apetite a risco podem ser aceitos, e uma possível priorização para tratamento deve ser justifi-
cada;
- todos os riscos cujos níveis estejam fora da(s) faixa(s) de apetite a risco serão tratados e monitorados, e uma possível falta de tratamento deve ser justifi-
cada.
O Apêndice I deste documento traz o modelo de planilha para o registro de informações produzidas na etapa de Priorização dos Riscos para Tratamento 
(colunas 14 a 16).
6.2 DEFINIÇÃO DE RESPOSTAS AOS RISCOS
Esta etapa objetiva definir as opções de tratamento para os riscos priorizados na etapa anterior (tópico 6.1).
Cada risco priorizado deve ser relacionado a uma opção de tratamento. A escolha da opção depende do nível do risco, conforme apresenta o quadro 7.
Quadro 7: Opções de tratamento do risco
OPÇÃO DE 
TRATAMENTO
 DESCRIÇÃO
Mitigar 
Um risco normalmente é mitigado quando é classificado como “Alto” ou “Extremo”. A implementação de controles, neste caso, apresenta um custo/benefício adequado. 
Mitigar o risco significa implementar controles que possam diminuir as causas ou as consequências dos riscos, identificadas na etapa de Identificação e Análise de Riscos.
Compartilhar 
Um risco normalmente é compartilhado quando é classificado como “Alto” ou “Extremo”, mas a implementação de controles não 
apresenta um custo/benefício adequado. Pode-se compartilhar o risco por meio de terceirização ou apólice de seguro.
Evitar 
Um risco normalmente é evitado quando é classificado como “Alto” ou “Extremo” e a implementação de controles apresenta um 
custo muito elevado, inviabilizando sua mitigação, ou não há entidades dispostas a compartilhar o risco. Evitar o risco significa 
encerrar o processo organizacional. Nesse caso, essa opção deve ser aprovada pela área de atuação estratégica.
Aceitar 
Um risco normalmente é aceito quando seu nível está nas faixas de apetite a risco. Nessa situação, nenhum novo controle precisa ser implementado para mitigar o risco.
Se a opção de tratamento do risco for MITIGAR, devem ser definidas medidas de tratamento e controle para esse risco. Essas medidas devem ser capazes 
de diminuir os níveis de probabilidade e/ou de impacto do risco a um nível dentro ou mais próximo possível das faixas de apetite a risco (risco “Baixo” ou 
“Médio”).
6.3 DEFINIÇÃO DE MEDIDAS DE TRATAMENTO E CONTROLE E ELABORAÇÃO DO PLANO DE TRATAMENTO
A área de atuação operacional, com auxílio da área de atuação tática, elaborará um plano de ação – Plano de Tratamento – para a implementação das 
medidas de tratamento e controle dos riscos nos processos organizacionais objeto do gerenciamento de risco. Esse plano de tratamento deve conter, pelo 
menos:
• Evento de risco que se deseja tratar;
• Projeto ou ação que implementará um conjunto de medidas de tratamento e controle;
• Medida(s) de tratamento e controle contemplada(s) no projeto ou ação;
• Objetivos/benefícios esperados com a implementação da(s) medida(s) de tratamento e controle;
• Área organizacional responsável pela implementação da(s) medida(s) de tratamento e controle;
• Áreas organizacionais corresponsáveis pela implementação da(s) medida(s) de tratamento e controle, isto é, áreas envolvidas na implementação dessa(s) 
medida(s);
• Servidor responsável pela implementação das medidas de tratamento e controle, que também deverá monitorar e reportar sua evolução;
• Breve descrição sobre a implementação: como será implementada a medida de tratamento e controle;
• Custo estimado para a implementação;
• Data prevista para início da implementação;
• Data prevista para o término da implementação;
66
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XIII Nº033  | FORTALEZA, 09 DE FEVEREIRO DE 2021

Fechar