O conhecimento do grau de maturidade da gestão de riscos de organizações públicas é importante para que sejam feitas recomendações para a melhoria da governança e para a efetividade das políticas públicas. Há diversos modelos de referência (ou framework) para gestão de riscos.
Entretanto, há um modelo que introduziu a noção de que controles internos devem ser ferramentas de gestão e monitoração de riscos para o alcance de objetivos, e não apenas para riscos de origem financeira, deixando de lado a função de mero avaliador da conformidade legal das despesas públicas.
Esse modelo é conhecido como “Enterprise Risk Management”. A descrição acima refere-se ao modelo de referência apresentado à administração pública no Brasil pelo TCU e criado internacionalmente pelo(a):