Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOE 02/12/2022 - Diário Oficial do Estado do Ceará

                            104
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XIV Nº240  | FORTALEZA, 02 DE DEZEMBRO DE 2022
organizacionais, além da escolha das medidas de controle associadas a essas respostas.
4.3.1 Priorização dos Riscos para Tratamento
Nesta etapa, a área de atuação operacional, com auxílio da área de atuação tática, identificará quais riscos serão priorizados para tratamento. Para 
isso, devem ser considerados os valores dos níveis de riscos residuais calculados na etapa anterior.
A faixa de classificação do risco residual deve ser considerada para a definição da atitude da área de atuação operacional em relação à priorização 
para tratamento. O Quadro 6 mostra, por faixa de classificação, quais ações devem ser adotadas em relação ao risco e suas exceções.
Quadro 6: Atitude perante o risco para cada classificação
FAIXA DE CLASSIFICAÇÃO 
DO RISCO RESIDUAL
AÇÃO NECESSÁRIA
EXCEÇÃO
Risco Baixo
Nível de risco dentro do apetite a risco, mas é possível que existam oportunidades 
de maior retorno que podem ser exploradas assumindo-se mais riscos, 
avaliando a relação custo x benefício, para diminuir o nível de controles.
Caso o risco seja priorizado para implementação de 
medidas de tratamento, essa priorização deve ser 
justificada pelo responsável pelo processo.
Risco Médio
Nível de risco dentro do apetite a risco. Geralmente nenhuma medida especial é necessária, 
porém requer atividades de monitoramento específicas e atenção da área na manutenção de 
respostas e controles para manter o risco nesse nível, ou reduzi-lo, sem custos adicionais.
Caso o risco seja priorizado para implementação de 
medidas de tratamento, essa priorização deve ser 
justificada pelo responsável pelo processo.
Risco Alto
Nível de risco além do apetite a risco. Qualquer risco neste nível deve ser comunicado ao 
gestor da área e ter uma ação tomada em período determinado. Postergação de medidas só 
com autorização do gestor da área em comum acordo com responsável pelo processo.
Caso o risco não seja priorizado para implementação 
de medidas de tratamento, a não priorização deve 
ser justificada pelo responsável pelo processo
Risco Extremo
Nível de risco muito além do apetite a risco. Qualquer risco neste nível deve ser 
comunicado à área de atuação estratégica e ao responsável pelo processo e ter uma resposta 
imediata. Postergação de medidas só com autorização da área de atuação estratégica.
Caso o risco não seja priorizado para implementação de medidas de 
tratamento, a não priorização deve ser justificada pelo responsável 
pelo processo e aprovada pela área de atuação estratégica.
Fonte: CGE
NOTA: Sobre o Apetite a Risco do Processo Organizacional
Segundo o inciso XIII, do art. 3º, do Decreto nº 33.805, de 9 de novembro de 2020, que estabelece a Política de Gestão de Riscos – PGR, apetite a 
risco é o “nível de risco que uma organização está disposta a aceitar”.
Caso o órgão ou entidade opte por estabelecer apetite a risco diferente do proposto nesta metodologia, a área de atuação operacional deverá defini-lo 
com auxílio da área de atuação tática.
Neste caso, é importante que o apetite a risco seja estabelecido no início do processo de gerenciamento de riscos e aprovado pela área de gestão 
estratégica.
Uma vez definido, a organização declara que:
1 Todos os riscos, cujos níveis estejam dentro da(s) faixa(s) de apetite a risco, podem ser aceitos e uma possível priorização para tratamento deve 
ser justificada;
2 Todos os riscos, cujos níveis estejam fora da(s) faixa(s) de apetite a risco, serão tratados e monitorados e uma possível falta de tratamento deve 
ser justificada.
4.3.2 Definição de Respostas aos Riscos
Esta etapa objetiva definir as opções de tratamento para os riscos priorizados na etapa anterior. Cada risco priorizado deve ser relacionado a uma 
opção de tratamento. A escolha da opção depende do nível do risco, conforme apresenta o Quadro 7.
Quadro 7: Opções de tratamento
OPÇÃO DE 
TRATAMENTO
DESCRIÇÃO
Mitigar
Um risco normalmente é mitigado quando é classificado como “Alto” ou “Extremo”. A implementação de controles, neste caso, apresenta um custo/benefício adequado.
Mitigar o risco significa implementar controles que possam diminuir as causas ou as consequências dos riscos, identificadas na etapa de Identificação e Análise de Riscos.
Compartilhar
Um risco normalmente é compartilhado quando é classificado como “Alto” ou “Extremo”, mas a implementação de controles não 
apresenta um custo/benefício adequado. Pode-se compartilhar o risco por meio de terceirização ou apólice de seguro.
Evitar
Um risco normalmente é evitado quando é classificado como “Alto” ou “Extremo” e a implementação de controles apresenta um 
custo muito elevado, inviabilizando sua mitigação, ou não haja entidades dispostas a compartilhar o risco. Evitar o risco significa 
encerrar o processo organizacional. Nesse caso, essa opção deve ser aprovada pela área de atuação estratégica.
Aceitar
Um risco normalmente é aceito quando seu nível está nas faixas de apetite a risco. Nessa situação, nenhum novo controle precisa ser implementado para mitigar o risco.
Fonte: CGE
Se a opção de tratamento do risco for MITIGAR, devem ser definidas medidas de tratamento e controle para esse risco. Essas medidas devem ser 
capazes de diminuir os níveis de probabilidade e/ou de impacto do risco a um nível dentro, ou mais próximo possível, das faixas de apetite a risco (risco 
“Baixo” ou “Médio”).
4.3.3 Definição de medidas de tratamento e controle e elaboração do Plano de Tratamento
A área de atuação operacional, com auxílio da área de atuação tática, elaborará um plano de ação – Plano de Tratamento – para implementação das 
medidas de tratamento e controle dos riscos nos processos organizacionais objeto do gerenciamento de risco.
Esse plano de tratamento deve conter, pelo menos:
• Evento de risco que se deseja tratar;
• Projeto ou ação que implementará um conjunto de medidas de tratamento e controle;
• Medida(s) de tratamento e controle contemplada(s) no projeto ou ação;
• Objetivos/benefícios esperados com a implementação da(s) medida(s) de tratamento e controle;
• Área organizacional responsável pela implementação da(s) medida(s) de tratamento e controle;
•Áreas organizacionais corresponsáveis pela implementação da(s) medida(s) de tratamento e controle, isto é, áreas envolvidas na implementação 
dessa(s) medida(s);
• Servidor responsável pela implementação das medidas de tratamento e controle, que também deverá monitorar e reportar sua evolução;
• Breve descrição sobre a implementação: como será implementada a medida de tratamento e controle;
• Custo estimado para a implementação;
• Data prevista para início da implementação;
• Data prevista para o término da implementação;
• Situação/acompanhamento da implementação das medidas de tratamento e controle contempladas no projeto ou ação.
Se as iniciativas definidas no Plano de Tratamento envolverem mais de uma área, o responsável pelo processo de gerenciamento de riscos deve 
encaminhar a proposta de plano para que essas áreas validem as iniciativas de que participarem.
Após sua elaboração, o Plano de Tratamento deve ser aprovado pela área de atuação estratégica.
NOTA: Proposição de novos controles
É importante que, em uma primeira abordagem da elaboração do Plano de Tratamento, avalie-se a necessidade de melhorar ou extinguir controles 
já existentes. Somente depois dessa avaliação, e se ainda identificada a necessidade de redução do nível do risco, podem ser propostos novos controles, 
observados sempre critérios de eficiência e eficácia da sua implementação.
4.4 VALIDAÇÃO DO RESULTADO DO PROCESSO DE GERENCIAMENTO DE RISCOS
O resultado do processo de gerenciamento de riscos (entendimento do contexto, identificação de riscos, análise de riscos, avaliação de riscos, 
tratamento de riscos e definição de respostas aos riscos) de cada processo organizacional selecionado deve ser avaliado e validado pela área de atuação 
estratégica do órgão ou entidade.
Após a validação do resultado, a área de atuação estratégica deve:
• Encaminhar esse resultado às áreas do órgão ou entidade para conhecimento;
• Incluir as iniciativas previstas no Plano de Tratamento nas metas e atividades das respectivas áreas;
• Encaminhar o Plano de Tratamento aprovado às áreas corresponsáveis pelas iniciativas para que estas também incluam as ações em suas metas 
e atividades.
4.5 IMPLEMENTAÇÃO DO PLANO DE TRATAMENTO
A implementação do Plano de Tratamento envolve a participação da área responsável pelo processo organizacional e das áreas corresponsáveis, 
caso existam outras áreas envolvidas na implementação das medidas de tratamento e controle.
A responsabilidade primária pelo Plano de Tratamento permanece com a área responsável pelo processo organizacional. No Plano de Tratamento, 
deve ser indicado servidor responsável pela implementação das medidas de tratamento e controle, que também deverá monitorar e reportar a evolução destas.
4.6 COMUNICAÇÃO DE CONSULTA

Fechar