A auditoria de gestão de riscos representa o novo paradigma na atuação dos órgãos de controle, em que foco passa a ser o risco do não cumprimento da missão organizacional. Risco pode ser definido como a “possibilidade de ocorrência de um evento que afete adversamente a realização de objetivos” (TCU, 2017a). O artigo apresenta o processo adotado pelo Tribunal de Contas da União (TCU) para conduzir as auditorias de gestão de riscos no âmbito da Administração Pública brasileira. Ressalta-se que, na perspectiva do TCU, a auditoria de gestão de riscos permite avaliar a maturidade de gestão de riscos dos órgãos públicos. Trata-se de um estudo de caso, amparado em uma análise documental e descritiva. Assim, o artigo apresentou a contextualização do Tribunal, destacando a missão e as principais competências previstas no artigo 71 da Carta Magna. Como resultados, verificou-se que o TCU concebeu um modelo próprio de avaliação da maturidade organizacional em gestão de riscos composto por quatro dimensões: Ambiente; Processos; Parcerias; e Resultados. Percebeu-se, ainda, que o processo de auditoria proposto pelo Tribunal foi elaborado a partir do modelo COSO GRC 2004 e da norma NBR ISO 31000. Além disso, observou-se que as fases previstas do processo de auditoria - planejamento, execução e relatório - são executadas pelos agentes do TCU, sendo complementadas por duas etapas: entendimento da organização (antes do planejamento) e monitoramento (após a elaboração do relatório).

Risk management audit is the new paradigm in the performance of control bodies, that focus becomes the risk of non-compliance with organizational mission.. Risk can be defined as the "possibility of occurrence of an event that adversely affects achievement of objectives" (TCU, 2017a). The study presents the process adopted by the Brazilian Court of Audit (TCU) to conduct risk management audits within the Brazilian Public Administration. It is noteworthy that, from the perspective of the TCU, the risk management audit allows evaluating the maturity of risk management of public bodies. This is a case study, supported by a documental and descriptive analysis. Thus, the research presented the context of the Court, highlighting the mission and the main powers under article 71 of the Brazilian Constitution. As a result, it was found that the TCU has designed its own model for the assessment of organizational maturity in risk management consists of four dimensions: Environment; Processes; Partnerships; and Results. It was also realized that the audit process proposed by the Court was drawn up from the COSO GRC 2004 model and the ISO 31000 standard. In addition, it was noted that the planned phases of the audit process - planning, implementation and reporting - are performed by the TCU agents and are complemented by two steps: understanding of the organization (before planning) and monitoring (after report writing).