Mapa de Riscos: quando é obrigatório e como elaborar
A Lei 14.133/2021 elevou a gestão de riscos a obrigação legal. O Art. 169 determina que todas as contratações públicas devem submeter-se a práticas contínuas de gestão de riscos e controle preventivo, com três linhas de defesa: servidores e agentes (1ª), assessoramento jurídico e controle interno (2ª), e órgão central de controle e tribunal de contas (3ª).
Atenção: mapa de riscos ≠ matriz de riscos.
O mapa de riscos é o documento interno de planejamento que identifica, avalia e propõe tratamento para riscos ao longo de todo o processo de contratação — do planejamento à execução contratual. É elaborado pela equipe de planejamento e atualizado em cada fase.
A matriz de riscos é uma cláusula contratual (Art. 6º, XXVII) que aloca responsabilidades entre contratante e contratado por eventos supervenientes. É obrigatória em obras de grande vulto e contratações integradas/semi-integradas (Art. 22, §3º).
Quando o mapa de riscos é obrigatório:
• No âmbito federal, em toda contratação (IN SEGES 58/2022, Art. 18)
• O Art. 18, §1º, X, da Lei 14.133 exige 'análise de riscos' como elemento do ETP
• O Art. 169 exige gestão de riscos contínua em toda contratação
Por que isso importa. O TCU recomenda mapa de riscos em todas as contratações com incertezas relevantes. Servidor que não identifica e documenta riscos está mais exposto a questionamentos.
Fonte primária: TCU — Manual 5ª edição, seção 4.2 | Lei 14.133/2021, Art. 169
O ATA360 identifica riscos automaticamente com base em jurisprudência do TCU e padrões de contratações similares. Solicite acesso ou fale conosco.
1ª linha: servidores, agentes de licitação e autoridades na estrutura de governança. 2ª linha: unidades de assessoramento jurídico e controle interno do órgão. 3ª linha: órgão central de controle interno e tribunal de contas. As três linhas devem atuar com segregarão de funções (Art. 169, §3º, II). A implementação é responsabilidade da alta administração (Art. 169, §1º).
A matriz de riscos é cláusula contratual obrigatória em: obras e serviços de grande vulto (acima de R$ 261.968.421,04 em 2026), contratação integrada e contratação semi-integrada (Art. 22, §3º). Para demais contratações, é facultativa, mas o TCU recomenda sempre que houver incertezas relevantes. Na matriz, riscos cobertos por seguradoras devem ser preferencialmente transferidos ao contratado.
Identificar riscos (técnicos, operacionais, jurídicos, financeiros). Avaliar probabilidade e impacto de cada risco. Definir resposta: evitar, mitigar, transferir ou aceitar. Designar proprietário do risco (quem monitora). Documentar no processo. Atualizar em cada fase: planejamento, seleção e execução contratual. Referência: ABNT NBR ISO 31000 e Guia de Boas Práticas de Contratação de TI do TCU.
Art. 169 (gestão de riscos obrigatória). Art. 18, §1º, X (análise de riscos no ETP). Art. 6º, XXVII (definição de matriz de riscos). Art. 22 (matriz de riscos no edital). Art. 103 (matriz como cláusula contratual). Portaria SEGES 8.678/2021 (governança das contratações). IN SEGES 58/2022, Art. 18 (mapa de riscos no planejamento federal).
Cada dia SEM o ATA360 custa mais que imagina.
Se você tem função relacionada ao setor de compras e gestão pública, saiba que: O ATA360 foi feito para você tomar as melhores decisões.
