Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 02/12/2022 - Diário Oficial do Estado do Ceará

                            103
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XIV Nº240  | FORTALEZA, 02 DE DEZEMBRO DE 2022
4.2.1 Metodologia de Cálculo do Risco Inerente
A multiplicação entre os valores de probabilidade (Quadro 1) e impacto (Quadro 2) define o nível do risco inerente, que, como citado na Nota 2, é 
o nível do risco sem considerar quaisquer controles que reduzem, ou podem reduzir, a probabilidade da sua ocorrência ou do seu impacto.
RI = NP x NI
Em que:
RI = nível do risco inerente
NP = nível de probabilidade do risco
NI = nível de impacto do risco
Exemplo:
Um risco qualquer da área financeira foi classificado com Probabilidade Média (Peso 5) e Impacto Alto (Peso 8). O valor do Risco Inerente seria:
RI = 5 x 8
RI = 40
4.2.2 Classificação do Risco Inerente
A partir do resultado do cálculo feito no tópico anterior, o risco pode ser classificado dentro das seguintes faixas:
Quadro 3: Classificação do Risco
CLASSIFICAÇÃO
FAIXA
Risco Baixo – RB
0 a 9,99
Risco Médio – RM
10 a 39,99
Risco Alto – RA
40 a 79,99
Risco Extremo – RE
80 a 100
Fonte: CGE
• No caso do exemplo apresentado, a área financeira teria um risco classificado como Alto.
Visualmente, temos a matriz probabilidade x impacto, que apresenta os possíveis resultados da combinação NP x NI.
Quadro 4: Matriz Probabilidade x Impacto
Fonte: CGE (Modificado)
4.2.3 Avaliação da eficácia dos controles existentes
Após a classificação do risco, a área de atuação estratégica deve avaliar a eficácia dos controles internos existentes, em relação aos objetivos do 
processo organizacional. Para isso, é necessário verificar se os controles apontados durante a etapa de Análise dos Riscos (tópico anterior) têm auxiliado no 
tratamento adequado desses riscos.
O Quadro 5 mostra os níveis de avaliação da eficácia dos controles existentes:
Quadro 5: Níveis da Avaliação dos Controles Internos Existentes
NÍVEL DE EFICÁCIA DOS 
CONTROLES EXISTENTES
DESCRIÇÃO
FATOR DE AVALIAÇÃO 
DOS CONTROLES
Inexistente
Controles inexistentes, mal desenhados ou mal implementados, isto é, não funcionais.
1
Fraco
Controles têm abordagens ad hoc , tendem a ser aplicados caso a caso, a responsabilidade sendo 
individual, havendo elevado grau de confiança no conhecimento das pessoas.
0,8
Mediano
Controles implementados mitigam alguns aspectos do risco, mas não contemplam todos os aspectos 
relevantes do risco devido a deficiências no desenho ou nas ferramentas utilizadas.
0,6
Satisfatório
Controles implementados e sustentados por ferramentas adequadas e que, embora 
passíveis de aperfeiçoamento, mitigam o risco satisfatoriamente.
0,4
Forte
Controles implementados podem ser considerados a “melhor prática”, mitigando todos os aspectos de risco relevantes.
0,2
Fonte: CGE
1  Controle ad-hoc: baseia-se na utilização de mecanismos não formais que promovem o controle, normalmente em ambientes muito dinâmicos e de grande 
complexidade
4.2.4 Metodologia de Cálculo do Risco Residual
Após a avaliação dos controles existentes (Tópico 5.3), a área de atuação operacional deverá calcular o risco residual. Como citado na Nota 02, o 
risco residual é o risco a que uma organização está exposta após a implementação de medidas de controle para o tratamento do risco.
O nível de risco residual corresponde ao valor final da multiplicação entre o valor do risco inerente e o fator de avaliação dos controles internos 
existentes.
RR = RI x FC
Em que:
RR = nível do risco residual
RI = nível do risco inerente
FC = fator de avaliação dos controles existentes
O valor de risco residual pode fazer com que o risco se enquadre em uma faixa de classificação de risco (Quadro 3) diferente da faixa definida para 
o risco inerente.
Exemplo:
Voltemos ao caso do risco classificado pela área financeira. Lá, o Risco Inerente ficou com o valor final de 40 (Risco Alto).
No entanto, a área adota algumas medidas de controles existentes, as quais foram classificadas com eficácia mediana (fator de avaliação 0,8), conforme Quadro 5.
Assim, o valor do Risco Residual será:
RR = 40 x 0,8
RR = 32
Note que o risco agora está enquadrado na faixa de Risco Médio, conforme Quadro 3.
4.3 TRATAMENTO DE RISCOS
O Tratamento de Riscos é a definição das opções de respostas aos riscos, de forma a adequar seus níveis ao apetite estabelecido para os processos

Fechar