Gestão de Riscos e Controles no SERPRO
A Gestão de Riscos é o sistema de "alerta antecipado" do Serpro. Ela serve para identificar situações que podem afetar nossos serviços e agir antes que os problemas aconteçam. Isso garante que os sistemas do Governo funcionem com segurança e que o dinheiro público seja bem utilizado. Ela está integrada ao planejamento estratégico da empresa e é conduzida atualmente pela Superintendência de Controles, Riscos e Conformidade - SUPCR, responsável por coordenar e acompanhar as ações de tratamento dos riscos identificados.
A Metodologia de Gestão de Riscos e Controles baseia-se nos princípios da norma ABNT NBR ISO 31000:2018 e no modelo COSO ERM, integrando os diferentes tipos de risco à governança corporativa.
____________________________________________________________
1. Como nos Organizamos
Fonte: Modelo das Três Linhas - IIA (The Institute of Internal Auditors), 2020. Adaptação Serpro.
1ª Linha (Gestão e Operação): São as pessoas que fazem o trabalho no dia a dia. Elas identificam os riscos e aplicam os controles ali mesmo, na fonte.
2ª Linha (Monitoramento): Uma área especializada e responsável pela gestão de Controles e Riscos, que cria as regras, treina os times e confere se todos estão seguindo as orientações previstas na metodologia.
3ª Linha (Auditoria): Funciona como um juiz independente, testando se as outras duas linhas estão realmente funcionando.
____________________________________________________________
2. O que estamos vigiando? (Universo de Riscos)
A área de Gestão de Riscos e Controles do Serpro atua junto a 1ª linha no monitoramento de tudo o que pode gerar incerteza para o futuro da empresa, dividido em três dimensões:
. Riscos Operacionais: Falhas em sistemas, processos internos ou erros humanos que podem parar um serviço.
. Riscos de Projetos Estratégicos: Problemas que podem atrasar a entrega de novas soluções tecnológicas.
. Riscos Estratégicos: Ameaças ao futuro e aos grandes objetivos do Serpro.
Trimestralmente, todos os riscos estratégicos, os riscos de projetos estratégicos e os riscos operacionais considerados críticos (classificados com nível de risco atual muito alto ou alto) são informados à alta liderança para apoiar a tomada de decisão.
____________________________________________________________
. Integração com a estratégia e continuidade de negócios
A Gestão de Riscos está integrada ao Planejamento Estratégico, já que os riscos estratégicos são diretamente vinculados aos Objetivos Estratégicos e monitorados pela Diretoria Executiva e Conselho de Administração. E os operacionais críticos, que podem paralisar operações essenciais, tem resiliência garantida pelos Planos de Continuidade de Negócios (PCN).
A Gestão de Riscos não é uma atividade isolada. Ela está profundamente integrada a diversos instrumentos corporativos.
- Planejamento Estratégico: Os riscos estratégicos são diretamente vinculados aos Objetivos Estratégicos e monitorados pela Diretoria Executiva e Conselho de Administração.
- Continuidade de Negócios: Riscos críticos que podem paralisar operações essenciais estão vinculados aos Planos de Continuidade de Negócios (PCN), garantindo resiliência.
- ODS (Objetivos de Desenvolvimento Sustentável): A gestão de riscos considera os 17 ODS da ONU, vinculando riscos à agenda ESG (Ambiental, Social e Governança) e à sustentabilidade do negócio.
____________________________________________________________
3. Diretrizes de Riscos no Serpro
As diretrizes para gestão de riscos corporativos estão em dois documentos fundamentais: a Política, que estabelece a intenção, os princípios, as diretrizes e as responsabilidades da alta administração em relação aos riscos e a Metodologia, que traduz a política em etapas práticas, ferramentas e técnicas padronizadas para gerenciar os riscos.
Os dois documentos servem para orientar o atingimento dos objetivos e proteger o Serpro de ameaças inesperadas, garantindo que todos saibam como agir diante de incertezas.
Para conhecer o conteúdo completo da Política de Gestão de Riscos do Serpro e Metodologia de Gestão de Riscos do Serpro é só clicar no link do PDF que está no final desta página.
____________________________________________________________
4. Ciclo de Gestão dos Riscos
Seguimos um ciclo de 10 etapas para garantir que nada passe despercebido, incluindo a definição, análise, avaliação e priorização para o monitoramento dos riscos, a implementação prática de controles e a verificação da efetividade deles, para neutralizar a ameaça:
A figura apresenta as etapas do ciclo de gestão dos riscos, sendo:
1 - Definição do Escopo e Contexto; 2 - Identificação e Análise do Risco; 3 - Avaliação dos Riscos e Verificação dos Controles; 4 - Priorização para Tratamento dos Riscos; 5 - Definição dos Controles de Respostas aos Riscos ; 6 - Validação dos Resultados ; 7 - Registro, Relato e Contingência ; 8 - Comunicação e Consulta ; 9 - Análise Crítica e Monitoramento , e 10 - Implementação de Controles.
____________________________________________________________
5.Papeis e Responsabilidades
Para o sucesso do processo de gestão de riscos e controles, papéis claros foram definidos pela metodologia:
O gestor do risco é o responsável da Unidade, quem deve identificar, registrar e garantir o monitoramento e tratamento do risco. Os agentes de risco atuam em apoio direto ao gestor e colaboram para o registro nas ferramentas corporativas do andamento dos riscos e controles da unidade. Os especialistas da tipologia auxiliam a avaliação técnica do risco, emitindo um posicionamento acerca do apetite, impacto e controles. O responsável pelos controles é quem implementa as ações necessárias para evitar que o risco se materialize. A área de gestão dos riscos atua supervisionando a evolução das informações, monitorando o andamento dos riscos e controles e aumentando a maturidade desse assunto no Serpro.
____________________________________________________________
6. Apetite a Riscos
O Apetite a Riscos, definido pelo Conselho de Administração, é a tradução operacional da postura do Serpro diante das incertezas. Ele define o nível de exposição que a empresa está disposta a aceitar.
O Apetite é diferenciado para Riscos Negativos (ameaças) e Riscos Positivos (oportunidades).
____________________________________________________________
. Matriz para Riscos Negativos (Ameaças)
Para ameaças, quanto maior o potencial de perda, menor é o apetite da organização.
A Matriz de Calor é uma representação gráfica, com 25 posições, que objetiva enquadrar cada um dos riscos conforme o ponto de intersecção da probabilidade e do impacto. As cores da matriz vão identificar a prioridade que será dada ao tratamento do risco. Na matriz de calor de riscos negativos, os números maiores estão na parte superior direita com a coloração vermelho, pois representam maior probabilidade e impacto da ocorrência do evento, enquanto os riscos com menor potencial estão com a pontuação mais baixa, do lado inferior esquerdo e na coloração verde.
A escala de avaliação da probabilidade e do impacto varia de “muito baixo” até “muito alto” e, ao observar o enquadramento dos riscos nessa matriz, o Serpro evita perder tempo com problemas pequenos e foca energia no que pode comprometer o atingimento dos seus objetivos. Ou seja, riscos nas zonas verde e azul (pontuação 1 a 9) são apenas monitorados, enquanto os riscos posicionados nas zonas laranja e vermelha (pontuação 14 a 25) são riscos considerados críticos e que exigem atuação.
____________________________________________________________
. Matriz para Riscos Positivos (Oportunidades)
Para oportunidades, a lógica é inversa: quanto maior o potencial de ganho, maior é o apetite para aproveitá-la.
____________________________________________________________
. Conceito de Exposição a Riscos
A Gestão visa manter a exposição dentro dos limites do Apetite definido. O Apetite é definido pelo Conselho de Administração, o Apetite a Risco é a tradução operacional da postura do Serpro diante das incertezas. Ele define o nível de exposição que a empresa está disposta a aceitar. A gestão dos riscos tem por objetivo mantê-los dentro dos limites do Apetite definido. A figura abaixo ilustra o comportamento da exposição ao risco ao longo do tempo em relação aos limites: em que há necessidade de atuação da gestão, sempre que o risco estiver acima ou abaixo da faixa de apetite a risco definido como aceitável.
____________________________________________________________
7.Compromisso com o Futuro (ESG e ODS)
No Serpro, a gestão de riscos não olha apenas para o lucro ou para a tecnologia. As análises também observam a vinculação com os Objetivos de Desenvolvimento Sustentável da Organização das Nações Unidas e os pilares de ESG (impacto ambiental, social e em governança). Isso significa que gerir riscos no Serpro também é cuidar do Meio Ambiente, da Ética e da Responsabilidade Social.
Demais Conteúdos relacionados à Gestão de Riscos do SERPRO
-
Nova Declaração de Apetite a Riscos do Serpro (Ciclo 2026-2030) - (Publicado em Março/2026)
- Glossário de Gestão de Riscos e Controles do SERPRO (Publicado em Jan/2026)
- Metodologia de Gestão de Riscos e Controles (Publicado em Jan/2026)
Cursos:
- Atualizações da Metodologia de Gestão de Riscos e Controles Internos 2024
- Formação de Agentes de GRCI – módulo de Gestão de Riscos e Controles Internos
- A Tipologia e o Papel do Especialista de Tipologia na Gestão de Risco do SERPRO
PodCasts: Seminários de Gestão de Riscos e Controles (no Youtube)
- Tema: Propósito da Gestão de Riscos e Controles Internos. - Convidado do Seminário: Francisco Bessa
- Tema: Entendendo mais sobre o Apetite a Riscos. - Convidado do Seminário: Antônio Celso Ribeiro Brasiliano
- Tema: O que são indicadores (KRIs). - Convidado do Seminário: Walter Cunha
- Tema: Monitoramento como etapa essencial da gestão de riscos - Convidado do Seminário: Rodrigo Fontenelle
- Tema: Como Alcançar Maturidade na Gestão de Riscos - Convidado do Seminário: Salvatore Palumbo
Webinar: Gestão de Riscos e Controles no YouTube
- Visão prática da Gestão de Riscos no cotidiano:
F A Q
- Perguntas Frequentes sobre a Gestão de Riscos no Serpro
____________________________________________________________
1. O que é a Gestão de Riscos e por que ela é importante para mim?
A Gestão de Riscos é a forma como o Serpro se antecipa a problemas que possam afetar a prestação de serviços públicos. Para você, cidadão, isso significa maior segurança de que os sistemas do governo (como os de impostos ou documentos digitais) estarão disponíveis e protegidos contra falhas ou ataques.
____________________________________________________________
2. Como o Serpro garante que os Riscos estão sendo controlados?
Utilizamos o Modelo das Três Linhas, que divide as responsabilidades para que ninguém trabalhe sem supervisão:
- 1ª Linha: Quem executa o serviço cuida dos riscos no dia a dia.
- 2ª Linha: Uma área especializada define as regras e monitora se tudo está seguro.
- 3ª Linha: A Auditoria Interna avalia tudo de forma independente para garantir a transparência.
____________________________________________________________
3. Quais tipos de Riscos a empresa monitora?
Monitoramos três níveis principais, conforme mostrado no infográfico Universo dos Riscos Empresariais:
- Riscos Operacionais: Evitam falhas técnicas e erros humanos em nossos sistemas.
- Riscos de Projetos: Garantem que novos serviços sejam entregues no prazo e com o custo correto.
- Riscos Estratégicos: Protegem a visão de longo prazo e os objetivos globais da empresa.
____________________________________________________________
4. O que acontece quando um Risco é identificado?
Seguimos um Ciclo de 10 Etapas. Isso inclui identificar a causa do problema, avaliar o impacto, definir uma ação (como criar uma trava de segurança) e monitorar se essa ação funcionou. Tudo é registrado e reportado aos diretores
1 - Definição do Escopo e Contexto
2 - Identificação e Análise do Risco
3 - Avaliação dos Riscos e Verificação dos Controles
4 - Priorização para Tratamento dos Riscos
5 - Definição dos Controles para o Tratamento / Respostas aos Riscos (mitigar, transferir ou aceitar)
6 - Validação dos Resultados
7 - Registro, Relato e Contingência
8 - Comunicar as partes interessadas e Consulta
9 - Análise Crítica e Monitoramento
10 - Implementação de Controles.
____________________________________________________________
5. O Serpro aceita correr algum Risco?
Sim, isso é chamado de Apetite a Riscos. Como nenhuma atividade é 100% livre de incertezas, o Conselho de Administração define limites aceitáveis. Se um risco ultrapassa esse limite (fica "fora do apetite"), o Serpro deve agir imediatamente para trazê-lo de volta ao nível seguro.
____________________________________________________________
6. Como a Gestão de Riscos ajuda no Desenvolvimento Sustentável?
Nossa gestão de riscos não é isolada. Ela está conectada aos Objetivos de Desenvolvimento Sustentável (ODS) da ONU. Isso significa que, ao gerenciar riscos, também buscamos proteger o meio ambiente, promover a ética e garantir a responsabilidade social (agenda ESG).
____________________________________________________________
7. Como posso saber mais?
Você pode acessar nossa Metodologia, Política de Gestão de Riscos e assistir aos nossos Webinars e Podcasts educativos por meios dos links logo acima nesta página.
____________________________________________________________
|
Gestão de Riscos e
Controles do Serpro
SGAN Quadra 601 Módulo "V",
Edifício Sede, Brasília-DF, CEP: 70836-900
Telefone: (061) 2021-8075
E-mail: gestaoderiscos@serpro.gov.br
|