Este artigo examina o processo de Gestão de Riscos de Segurança da Informação no âmbito do Tribunal de Contas da União (TCU). O objetivo principal é identificar de que forma esse processo foi implementado no TCU e se está aderente às normas nacionais e internacionais. A pesquisa, de caráter documental, amparou-se nos normativos internos editados pelo Tribunal para regulamentar seu Sistema de Gestão de Segurança da Informação (SGSI/TCU), nas normas internacionais ISO da família 27000 e nas normas editadas pelo Departamento de Segurança da Informação e Comunicações (DSIC) da Casa Militar da Presidência da República. Foi abordada, subsidiariamente, a metodologia prática adotada para a Gestão de Riscos de Segurança da Informação.