Capa do Ebook gratuito Analista Judiciário - Área Administrativa: Preparação para Gestão no Serviço Público

Analista Judiciário - Área Administrativa: Preparação para Gestão no Serviço Público

Novo curso

13 páginas
Todos os cursos > Concursos > Técnico Judiciário ::

Gestão de Riscos e Controles Internos para Analista Judiciário: mapeamento, mitigação e monitoramento

Capítulo 12

Tempo estimado de leitura: 12 minutos

+ Exercício

Conceitos essenciais: risco, controle e apetite a risco

Risco é o efeito da incerteza sobre os objetivos do órgão. Em processos administrativos, o risco se materializa como um evento que pode impedir, atrasar ou encarecer entregas, gerar falhas de conformidade, perdas financeiras, indisponibilidade de serviços, vazamento de dados ou dano reputacional.

Evento de risco descreve “o que pode acontecer” e deve ser formulado de modo objetivo, conectando causa e consequência. Exemplo: “Pagamento realizado sem a conferência de atesto, gerando despesa indevida”.

Controle interno é a medida (política, procedimento, validação, segregação, sistema, conciliação, auditoria, trilha de auditoria) desenhada para reduzir a probabilidade e/ou o impacto do risco. Controles podem ser:

  • Preventivos: atuam antes do evento (ex.: bloqueio sistêmico para pagamento sem atesto).
  • Detectivos: identificam o evento após ocorrer ou em curso (ex.: conciliação mensal e relatório de exceções).
  • Corretivos: tratam a causa e recuperam perdas (ex.: glosa, ressarcimento, ajuste de parametrização).

Apetite/tolerância a risco é o nível de risco aceitável para o órgão, traduzido em critérios práticos (por exemplo, “zero tolerância” para pagamentos sem lastro documental; tolerância baixa para indisponibilidade de sistemas críticos; tolerância moderada para atrasos não críticos).

Metodologia prática aplicada a processos administrativos

Visão geral do fluxo

  • 1) Definir escopo e objetivos do processo
  • 2) Identificar eventos de risco
  • 3) Analisar probabilidade e impacto (risco inerente)
  • 4) Mapear controles existentes e avaliar desenho/execução
  • 5) Estimar risco residual
  • 6) Definir tratamento (mitigar, evitar, transferir, aceitar) e plano de ação
  • 7) Monitorar por indicadores, testes e rotinas de acompanhamento
  • 8) Reportar e integrar à decisão e à prestação de contas

1) Definir escopo e objetivos do processo

Escolha um processo administrativo relevante (ex.: pagamento, folha, gestão documental). Delimite:

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • Objetivo: o que o processo precisa entregar (ex.: “pagar fornecedores com conformidade e tempestividade”).
  • Entradas/saídas: documentos, sistemas, autorizações.
  • Responsáveis: unidades e papéis (executor, conferente, aprovador).
  • Pontos críticos: etapas com maior valor financeiro, maior discricionariedade ou maior exposição a fraude/erro.

2) Identificar eventos de risco (catálogo prático)

Para identificar riscos, use perguntas operacionais:

  • Onde há decisão com pouca evidência documental?
  • Onde há lançamento manual ou reprocessamento?
  • Onde há acesso privilegiado a sistemas?
  • Onde há dependência de terceiros (fornecedores, bancos, sistemas)?
  • Onde há prazo legal ou risco de sanção?
  • Onde há dados pessoais ou sigilosos?

Registre cada risco com: evento, causas, consequências, categoria (operacional, conformidade, TI, financeiro, integridade), processo/etapa e responsável.

3) Analisar probabilidade e impacto (matriz simples e aplicável)

Uma forma prática é usar escala de 1 a 5 para probabilidade e impacto. Defina critérios objetivos para reduzir subjetividade.

  • Probabilidade (P): 1 (raro) a 5 (muito frequente), com base em histórico, volume, complexidade, mudanças recentes, fragilidade de controles.
  • Impacto (I): 1 (baixo) a 5 (crítico), considerando valor financeiro, paralisação de serviço, sanções, exposição de dados, repercussão.

Calcule o nível de risco como P x I e classifique (exemplo): 1–5 baixo, 6–10 médio, 11–15 alto, 16–25 crítico.

4) Definir controles preventivos e detectivos (desenho e evidência)

Para cada risco, identifique controles existentes e avalie:

  • Tipo: preventivo/detectivo/corretivo.
  • Natureza: manual, automatizado ou híbrido.
  • Frequência: por transação, diária, mensal, por amostragem.
  • Responsável: cargo/função (evitar personalizar em nome).
  • Evidência: qual documento/registro comprova a execução (log, checklist, relatório, assinatura eletrônica, trilha do sistema).

Avalie também segregação de funções: quem solicita não deve ser o mesmo que aprova e executa pagamento; quem administra perfis não deve ser o mesmo que audita logs.

5) Estimar risco residual e priorizar

Risco inerente é o risco sem controles. Risco residual é o risco após considerar controles existentes (e sua efetividade). Priorize riscos residuais altos/críticos para tratamento imediato.

6) Plano de tratamento (mitigação) e plano de ação

Defina a estratégia:

  • Mitigar: criar/fortalecer controles.
  • Evitar: alterar o processo para eliminar a atividade de risco.
  • Transferir: seguro/contrato/terceirização com cláusulas e fiscalização (sem transferir responsabilidade).
  • Aceitar: quando o custo do controle supera o benefício, com justificativa e aprovação.

O plano deve conter: ação, responsável, prazo, recursos, dependências, evidência de implementação e risco residual esperado.

7) Monitoramento: indicadores, testes e rotinas

Monitorar é garantir que controles continuam funcionando e que o risco não aumentou por mudanças (sistema, equipe, volume, norma). Combine:

  • Indicadores de controle (KCI): medem execução/qualidade do controle.
  • Indicadores de risco (KRI): sinalizam aumento de exposição.
  • Testes: amostragem de processos, revisão de logs, conciliações, trilhas de auditoria.
  • Rotina de reporte: periodicidade, destinatários, plano de resposta a desvios.

Exemplos práticos em áreas críticas

1) Contratações: riscos e controles em pontos sensíveis

Evento de risco: “Especificação técnica direcionada, reduzindo competitividade e elevando preço”.

  • Causas: requisitos excessivos, ausência de pesquisa de mercado robusta, baixa revisão técnica.
  • Consequências: sobrepreço, impugnações, nulidade, responsabilização.
  • Probabilidade/Impacto: P=3, I=5 (alto).
  • Controles preventivos: revisão por equipe multidisciplinar; checklist de justificativas técnicas; validação de pesquisa de preços com fontes diversas; padronização de termos de referência; registro de motivação.
  • Controles detectivos: relatório de exceções (itens com baixa competição, poucos participantes); análise pós-contratação (preço contratado vs. referência); auditoria por amostragem.
  • KCI: % de termos de referência revisados por 2ª instância; % de processos com checklist completo.
  • KRI: % de licitações com 1 único proponente; variação do preço contratado acima de X% da mediana de mercado.

Evento de risco: “Fiscalização contratual insuficiente, resultando em pagamento por serviço não executado”.

  • Controles preventivos: designação formal de fiscal e substituto; plano de fiscalização com critérios mensuráveis; exigência de evidências (relatórios, fotos, logs, medições).
  • Controles detectivos: conferência por amostragem do atesto; conciliação entre ordem de serviço, medição e nota fiscal; trilha de aprovações.

2) Folha de pagamento: integridade, conformidade e trilhas

Evento de risco: “Inclusão/alteração indevida de rubricas, gerando pagamento a maior”.

  • Causas: perfis excessivos no sistema, ausência de dupla checagem, parametrização inadequada.
  • Controles preventivos: segregação (cadastro x aprovação); perfis por menor privilégio; workflow de aprovação; bloqueio de rubricas sensíveis; validação automática de limites.
  • Controles detectivos: relatório mensal de alterações de cadastro e rubricas; comparação mês a mês (variações acima de limiar); conciliação com atos de pessoal; trilha de auditoria de acessos.
  • KCI: % de alterações com aprovação registrada; tempo médio de revisão pós-fechamento.
  • KRI: número de alterações manuais fora do padrão; % de contracheques com variação acima de X% sem justificativa.

3) Acesso a sistemas: perfis, logs e risco de fraude

Evento de risco: “Usuário com acesso privilegiado realiza operação crítica sem rastreabilidade adequada”.

  • Controles preventivos: gestão de identidades e acessos (IAM); autenticação forte; revisão periódica de perfis; segregação de ambientes; concessão temporária (just-in-time) para acessos elevados.
  • Controles detectivos: monitoramento de logs; alertas de operações críticas; revisão de acessos privilegiados; trilhas imutáveis (quando aplicável).
  • KCI: % de usuários revisados no ciclo; % de acessos privilegiados com justificativa e prazo.
  • KRI: tentativas de acesso negadas; operações críticas fora do horário padrão; acessos privilegiados sem ticket associado.

4) Gestão documental: autenticidade, integridade e disponibilidade

Evento de risco: “Documento essencial não é localizado no momento de auditoria/prestação de contas”.

  • Causas: classificação inadequada, ausência de metadados, armazenamento disperso, falta de política de retenção.
  • Controles preventivos: padronização de nomenclatura e metadados; repositório oficial; controle de versões; regras de guarda e temporalidade; assinatura eletrônica e validação de integridade.
  • Controles detectivos: auditoria de completude documental por amostragem; relatórios de pendências; verificação de integridade (hash/assinatura) quando aplicável.
  • KCI: % de processos com checklist documental completo; tempo médio para localizar documento solicitado.
  • KRI: número de solicitações de documentos não atendidas no prazo; volume de documentos fora do repositório oficial.

5) Pagamentos: conformidade do atesto, liquidação e conciliação

Evento de risco: “Pagamento duplicado ou a fornecedor incorreto”.

  • Controles preventivos: validação de dados bancários com dupla checagem; bloqueio sistêmico de duplicidade (mesma NF, valor, fornecedor); trilha de aprovação; segregação entre cadastro de fornecedor e autorização de pagamento.
  • Controles detectivos: conciliação bancária; relatório de pagamentos duplicados; revisão de exceções (pagamentos urgentes, fora do fluxo).
  • KCI: % de pagamentos com validação de duplicidade registrada; % de cadastros alterados com aprovação.
  • KRI: número de estornos; divergências na conciliação; pagamentos fora do calendário padrão.

Evento de risco: “Pagamento sem lastro documental (sem atesto/sem comprovação de entrega)”.

  • Controles preventivos: exigência de atesto formal; checklist de liquidação; bloqueio de pagamento sem anexos obrigatórios; parametrização de etapas no sistema.
  • Controles detectivos: auditoria mensal de pagamentos por amostragem; cruzamento entre recebimento/medição e pagamento.

Como documentar: matriz de riscos, indicadores e planos de tratamento

Modelo de matriz de riscos (estrutura mínima)

Uma matriz útil precisa ser objetiva e auditável. Campos recomendados:

  • Processo / etapa
  • Objetivo do processo
  • Evento de risco (formato causa–evento–consequência)
  • Causas
  • Consequências
  • Categoria do risco
  • Probabilidade (1–5) e justificativa
  • Impacto (1–5) e justificativa
  • Nível (P x I) e classificação
  • Controles existentes (preventivo/detectivo), frequência, responsável
  • Evidências do controle (onde verificar)
  • Avaliação do controle (desenho e execução: adequado/parcial/insuficiente)
  • Risco residual estimado
  • Tratamento proposto e prioridade
  • Plano de ação (o quê, quem, quando, evidência)
  • Status (não iniciado/em andamento/concluído) e data de revisão

Exemplo de registro (formato tabular em texto)

Processo: Pagamentos | Etapa: Liquidação e autorização
Evento de risco: Pagamento realizado sem atesto válido, gerando despesa indevida e responsabilização
Causas: urgência; ausência de bloqueio sistêmico; checklist não aplicado
Consequências: dano ao erário; glosas; apontamentos de auditoria; risco reputacional
P=3 (ocorre em picos de demanda) | I=5 (financeiro e conformidade) | Nível=15 (alto)
Controles existentes: checklist manual (mensal, por amostragem); aprovação por chefia (por transação)
Evidências: checklist assinado; trilha de aprovação no sistema
Avaliação: desenho parcial; execução inconsistente
Risco residual: alto
Tratamento: implementar bloqueio sistêmico + reforçar segregação + treinamento
Plano: (1) parametrizar sistema para exigir anexos (TI, 45 dias); (2) criar relatório de exceções (Finanças, 30 dias)
Status: em andamento | Revisão: trimestral

Indicadores de controle (KCI) e de risco (KRI): como escolher

Critérios práticos para bons indicadores:

  • Mensuráveis com dados disponíveis (sistema, planilha, logs).
  • Acionáveis: ao sair do padrão, existe resposta clara.
  • Relacionados ao controle (KCI) ou à exposição (KRI), evitando métricas genéricas.

Exemplos de KCI (controle):

  • % de pagamentos com checklist completo e anexos obrigatórios
  • % de acessos revisados no ciclo trimestral
  • % de alterações de folha com dupla aprovação
  • % de contratos com relatório de fiscalização no prazo

Exemplos de KRI (risco):

  • Nº de exceções de pagamento (fora do fluxo) por mês
  • Nº de acessos privilegiados ativos acima do limite definido
  • % de processos com documentação incompleta em auditoria interna
  • Variação anormal de despesas por rubrica

Plano de tratamento: padrão de documentação

Padronize o plano para facilitar cobrança e prestação de contas:

  • Ação: o que será feito (ex.: “implantar validação automática de duplicidade”).
  • Risco endereçado: referência ao ID da matriz.
  • Responsável: unidade e papel.
  • Prazo: data e marcos intermediários.
  • Recursos: TI, treinamento, normativo interno, ajustes de fluxo.
  • Evidência: print de parametrização, norma publicada, relatório gerado, ata de treinamento.
  • Resultado esperado: redução do risco residual (ex.: de alto para médio).

Integração do risco à tomada de decisão e à prestação de contas

Risco como critério de priorização

Use a matriz para orientar decisões rotineiras:

  • Priorização de trabalho: concentrar revisões e auditorias internas em riscos residuais altos/críticos.
  • Alocação de recursos: justificar necessidade de automação, reforço de equipe, treinamento ou melhoria de sistema com base em risco.
  • Definição de níveis de aprovação: transações de maior risco exigem validações adicionais (ex.: pagamentos urgentes, alterações sensíveis na folha, acessos privilegiados).

Risco em mudanças de processo e tecnologia

Antes de alterar fluxo, sistema ou regras, registre uma avaliação rápida:

  • O que muda na etapa e quais novos eventos de risco surgem?
  • Quais controles deixam de existir e quais serão substituídos?
  • Como será a evidência no novo cenário (logs, trilhas, relatórios)?
  • Qual indicador será acompanhado nas primeiras semanas (monitoramento intensivo)?

Prestação de contas: como evidenciar governança de riscos

Para sustentar prestação de contas, organize um dossiê de evidências por ciclo (trimestral/semestral):

  • Matriz de riscos vigente com histórico de revisões
  • Relatórios de indicadores (KCI/KRI) e análises de desvios
  • Testes de controles (amostras, achados, correções)
  • Planos de tratamento e comprovação de implementação
  • Registros de decisões baseadas em risco (atas, despachos, justificativas)

Na comunicação com gestores, apresente em formato executivo: top riscos residuais, controles críticos, exceções relevantes, ações em andamento e impactos esperados (redução de risco, conformidade, eficiência).

Agora responda o exercício sobre o conteúdo:

Ao mapear um evento de risco e seus controles em um processo administrativo, qual combinação descreve corretamente o papel de um controle preventivo em relação ao risco residual?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Controles preventivos atuam antes do evento para reduzir a chance e/ou o impacto do risco. O risco residual é estimado depois de considerar os controles existentes e sua efetividade (desenho e execução), diferindo do risco inerente.

Próximo capitúlo

Relatórios, indicadores e suporte à decisão no Judiciário: gestão orientada a evidências

Arrow Right Icon
Aprenda Técnico Judiciário

AprendaTécnico Judiciário

Encontre materiais preparatórios grátis para concurso técnico judiciário. Aulas e vários textos online e gratuitos para que você passe em seu concurso.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store