Inteligência em Riscos - Gestão Integrada em Riscos Corporativos

INTELIGNCIA EM RISCOS GESTO INTEGRADA EM RISCOS CORPORATIVOS
A n t o n i o C e l s o R i b e i r o B ra s i l i a n o
I NTELIGNCIA EM R ISCOS
G esto I ntegrada em R iscos C orporativos
1
Dados Internacionais de Catalogao na Publicao (CIP)
(Cmara Brasileira do Livro, SP, Brasil)
Brasiliano, Antonio Celso Ribeiro

Inteligncia em riscos : gesto integrada em riscos corporativos / Antonio Celso
Ribeiro Brasiliano. -- So Paulo : Sicurezza, 2016.
Bibliografia.
ISBN 978-85-87297-66-2
1. Administrao de riscos 2. Anlise de risco 3. Planejamento estratgico

4. Risco - Administrao I. Ttulo.
16-06217 CDD-658.155
ndices para catlogo sistemtico:

1. Gesto e anlise de riscos corporativos: Planejamento estratgico :
Administrao de empresas 658.155
Titulo Original:
Inteligncia em riscos: gesto integrada em riscos corporativos
Copyright 2016 by Antonio Celso Ribeiro Brasiliano
1a edio, Setembro 2016
Todos os direitos reservados. proibida a reproduo desta obra por qualquer meio,
em seu todo ou em partes, sem autorizao expressa do autor e do editor.
Direitos dessa edio cedidos por contrato para:
Sicurezza Gesto de Riscos Corporativos, Editora e Distribuidora Ltda

www.sicurezzaeditora.com.br
Telefone: 11 5531 6171
Email: editora@sicurezzaeditora.com.br
Coordenao: Enza Cirelli

Projeto Grfico : Marina Brasiliano
A n t o n i o C e l s o R i b e i r o B ra s i l i a n o
S o P aulo - 2016
Silvia, pelo incansvel apoio ao longo de minha vida.
Aos meus filhos, T e M, minha maior criao e fonte de incentivo.
Aos meus netos, Antonio e Anita, guerreiros da terceira gerao, que
renovam constantemente a energia da minha vida.
5
AGRADECIMENTOS
Esta terceira edio fruto das adaptaes, da evoluo, da inovao e tambm de

correes dos livros meus j publicados sobre Gesto e Anlise de Riscos Corporativos.
Esse processo, posso at chamar de destruio criativa, e deve ser sempre contnuo
e significa para mim momentos de grande crescimento e, ao mesmo tempo, de grandes
incertezas e vastos conhecimentos que foram compartilhados com muitas outras pessoas
alm da minha prpria. Agradeo em especial a algumas delas.
Enza, pelo fundamental suporte e apoio em todos os momentos complicados de

nossa caminhada empresarial e ainda pela compreenso da minha atribulada vida .
A Brasiliano que mais trabalhou comigo em projetos:

equipe de consultores da
Sandra, Gustavo, A lfredo, Pedro Paulo, Davis, Carlos Eduardo, Perella, Jefferson, Kssia,
Lucas e os pica-paus Junior e Adrison, pela pacincia de aturar um chefe ansioso.
Aos amigos e colegas deste nosso mercado VUCA, a quem seria impossvel nomear
individualmente , que incentivaram com palavras e gestos .
A todos meus alunos , tanto os do Curso de Especializao (mba), como os dos cursos
de extenso , grandes incentivadores desta luta contnua da pesquisa .
A todos os meus clientes, os verdadeiros protagonistas deste trabalho.
6
SUMRIO
Palavras do autor 8
1. Introduo 13
2. Contexto holstico da gesto de riscos corporativos 15
3. A gesto de riscos corporativos e os objetivos estratgicos da organizao 41
4. A gesto de riscos corporativos e as 3 linhas de defesa 47
5. Melhores prticas: frameworks de mercado 53
6. Conceito de risco Apetite ao risco 85
7. Conceito de risco Risco inerente e risco residual 90
8. Controles internos e a gesto de riscos 93
9. Fases do processo de gesto de riscos corporativos mtodo Brasiliano 97
10. Comunicao e consulta 100
11. Contexto estratgico 122
12. Identificao dos riscos 152
13. Anlise e avaliao de riscos inerente 185
14. Anlise e avaliao de riscos residual 205
15. Respostas aos riscos 215
16. Monitoramento e anlise crtica 233
17. Concluso 241
Referncias 243
Sobre o autor 247
7
PALAVRAS DO AUTOR
O atual contexto de Gesto de Riscos Corporativos das organizaes, no Brasil e no mundo, est cada vez mais
complexo e dinmico, exigindo um processo com alta flexibilidade e demandando um nvel elevado da rea de gesto de
riscos, bem como uma maior oportunidade na avaliao contnua e na resposta a potenciais cenrios de riscos.
Essa a principal razo da reviso completa do Processo de Gesto e Anlise de Riscos Corporativos, Mtodo Brasiliano
Avanado, incluindo a troca do nome para Inteligncia em Riscos Gesto Integrada em Riscos Corporativos, pois
as variadas disciplinas de riscos devem estar debaixo do mesmo framework, falando a mesma linguagem, de tal
forma que possa haver uma interpretao das informaes relevantes gerando a verdadeira inteligncia em riscos
na organizao. Essa Inteligncia em Riscos Corporativos, a integrao das disciplinas, agrega valor para o negcio e
previne contra as incertezas no ambiente de negcios, ajudando, dessa forma, a empresa a priorizar recursos. Outro
8
desafio prioritrio que se coloca integrar a estrutura de gesto de riscos (GR) aos processos e s estratgias da
organizao. Alm de mensurar os riscos da empresa, o objetivo destacado pelas organizaes a criao de uma
funo integrada s estratgias da organizao, que gere e preserve valor aos acionistas.
Este livro, totalmente remodelado, com novos critrios e novas ferramentas, alinhadas e integradas com os trs
frameworks essenciais: a ISO 31000, o COSO I Controles Internos, Revisado em 2013 e COSO II, ERM. O motivo da
integrao das trs estruturas em um s framework que o ambiente de negcio, hoje, passa por fortes mudanas,
exigindo dos gestores e de seus administradores um modelo de gesto de riscos flexvel, mas ao mesmo tempo
consistente e estruturado, a fim de atender as regulaes e as exigncias do mercado.
Hoje podemos dizer que o mercado empresarial passa pelo que chamamos de VUCA, uma sigla utilizada para
descrever a volatilidade (volatility), a incerteza (uncertainty), a complexidade (complexity) e a ambiguidade (ambiguity)
nos ambientes e nas situaes de negcio. VUCA em ingls, VICA em portugus. Oriunda do vocabulrio militar
americano, o uso comum do termo VUCA comeou no final dos anos 1990. O conceito VUCA expressa a complexidade
da nossa sociedade contempornea, devido interdependncia e a globalizao situaes que antes tinham pouco
impacto agora refletem em toda sociedade. Por exemplo, a catstrofe de Fukushima, em 2011, fez as montadoras
japonesas no Brasil pararem suas linhas produtivas devido falta de peas. Em outras palavras, a interdependncia
uma realidade no mundo globalizado e deve fazer parte da gesto de riscos.
Partindo dessa abordagem, o US Army War College formulou um programa de formao para o desenvolvimento
das lideranas militares, ao nvel estratgico, o qual contempla a adoo de metodologias adequadas para enfrentar
o VUCA e fazer frente a um ambiente extremamente agressivo e predador. O US Army War College caracteriza os
componentes desse contexto envolvente do seguinte modo:
- Volatilidade: marcada pelo ritmo elevado com que ocorrem mudanas com impacto na vida das sociedades desenvolvidas e,
concomitantemente, nas suas organizaes. Assim, no atual contexto da Era da Informao e do Conhecimento, os dados e as
evidncias existentes no momento presente podem no ser suficientes para a tomada de deciso. Antecipar e prever o que pode
acontecer, por exemplo, durante o perodo de execuo de um projeto, so dimenses, por vezes, absolutamente decisivas.
- Incerteza: uma caracterstica do contexto marcada pela necessidade de se assumir que o conhecimento sobre uma
dada situao sempre incompleto, potencializando, desse modo, o aparecimento de opinies divergentes sobre a melhor
9
estratgia a seguir, exigindo uma cuidadosa anlise do risco. De fato, cada vez mais difcil levantar cenrios futuros com
base em acontecimentos passados.
- Complexidade: caracterstica do contexto envolvente que est associada dificuldade de compreender o resultado das
interaes das vrias componentes de um sistema, uma vez que estas raramente so de natureza mecanicista e linear.
A Teoria da Complexidade vem, desse modo, mostrar a interdependncia essencial de todos os fenmenos. Nesse ponto,
a assuno de fenmenos complexos, no seio de uma organizao, impe a necessidade de admitir interaes no
lineares entre os componentes do sistema, com consequncias que se multiplicam rpida e imprevisivelmente. Carac-
terstica mais marcante dos sculos XX e XXI.
- Ambiguidade: descreve um tipo especfico de incerteza que resulta de diferenas na interpretao quando as evidn-
cias existentes so insuficientes para esclarecer o significado de um determinado fenmeno. Na prtica, no mbito
da gesto das organizaes, a consequncia desse fato a elevada probabilidade de as lideranas poderem interpre-
tar, legitimamente, eventos de formas diferentes, aumentando significativamente a probabilidade de erros na interpre-
tao desses eventos. A impreciso da realidade, o potencial de erros de leitura, os significados misto de condies;
a falta de ao, confuso entre causa e efeito e a falta de clareza. Para Greg Hutchins, especialista americano em
gesto da qualidade e gesto de risco: ns estamos saindo de um mundo linear de saber a soluo dos problemas
e tomar uma deciso clara para um mundo dinmico de entender o sentido, de tomada de deciso baseada no risco,
em condies VUCA.
O mundo VUCA ou VICA s pode ser gerenciado com base em riscos. Da a importncia de todos os gestores saberem
e/ou possurem a competncia de lidar com as incertezas.
O contexto VUCA baseado na prpria gesto de riscos, lidando com cenrios complexos e altamente dinmicos, em
que se exige dos gestores:
- viso do todo e no da parte; o gestor tem que enxergar a floresta e no a rvore;
- grande velocidade na tomada de deciso (o movimento mais importante, no podemos ficar parados, se ficarmos o
inimigo mata! O timo inimigo do bom; conhecem essa mxima?);
- no ortodoxia, pensar fora da caixa, no dogmatizar solues, ser criativo diante das incertezas;
10
- colaborao e cocriao entre as equipes, redes de colaborao, estar conectado para o entendimento rpido do contexto;
- agilidade, saber mover-se com grande flexibilidade, possuir estrutura leve para poder carregar.
Para se vencer no mundo VUCA, preciso possuir esses preceitos, o velho novo conceito da Gesto de Riscos. Por essa
razo que a Gesto de Riscos deve ser internalizada nas empresas de forma a possuir capilaridade em todos os processos
e respectivos nveis organizacionais. Com isso a mdia e a alta gerncias das organizaes estaro aptas a lidarem com o
mundo VUCA e, dessa forma, a empresa ter uma grande vantagem competitiva frente aos seus concorrentes.
Aps um grande perodo de economia pujante, o temor de uma recesso voltou a assombrar ns, brasileiros. As
incertezas econmicas e polticas impulsionam esse cenrio desafiador no Brasil, e ainda no h uma perspectiva
clara de quanto tempo ele durar e qual sua real profundidade.
Alm do esgotamento de um modelo de crescimento com base no consumo, o pas convive com inseguranas que
afetam o mercado de forma mais ampla, como custo de energia, escassez de recursos hdricos, falta de profissionais
qualificados e mudana demogrfica dos consumidores. Somese a isso a volatilidade do cmbio, o aumento da taxa
de juros e a presso inflacionria, e a temos um VUCA perfeito para gerenciar.
Crises so cclicas, inevitveis e frequentemente desafiadoras, mas sempre possvel aos lderes aproveitar as
oportunidades vindas com elas para obterem uma vantagem competitiva e posicionarem da melhor forma suas
empresas para o momento de retomada do crescimento.
Para apoiar a gesto da organizao nesse caminho desafiador, que apresento meu livro, o qual traz reflexes para
apoiar a travessia desse perodo, mantendonos atentos s oportunidades que possam surgir com a crise.
O livro rene as informaes e as orientaes para que os gestores de riscos, de qualquer disciplina, possam, de
forma prtica e objetiva, elaborar a sua gesto de riscos, enxergando e compreendendo as incertezas do futuro. Em
2015, o Brasil teve inmeros exemplos de concretizao de riscos corporativos com consequncias massivas para
as suas corporaes e respectivas comunidades, por falta direta ou indireta de um processo estruturado de gesto
de riscos. uma motivao para que os profissionais e os lderes repensem as causas e no cometam mais os erros
crassos que potencializaram os eventos.
11
Encerro este prefcio pedindo que os leitores faam uma reflexo acerca das palavras do explorador da Antrtica
Norman Vaughan, quando tiverem dificuldade de colocar em prtica o processo ou encontrar resistncia de seus
pares ou superiores:
Sonhe grande e ouse fracassar.
No tenhamos medo neste mundo de incerteza, se temos convico, vamos em frente!
Sucesso a todos!
Antonio Celso Ribeiro Brasiliano

abrasiliano@brasiliano.com.br
Setembro de 2016
12
1. INTRODUO
As empresas devem estar comprometidas com seus clientes, acionistas, parceiros comerciais e com a sociedade em
que atua, focando esforos em reduzir os riscos existentes e/ou os que possam se manifestar no futuro e tambm na
maximizao das oportunidades de negcio. Para tanto, necessrio conhecer os riscos que a afetam e seus impactos
sobre os seus negcios.
Os riscos permeiam todos os nveis das atividades do negcio e, se no forem gerenciados adequadamente, podero
resultar em perdas financeiras, deteriorao da imagem e reputao ou desencadear uma crise.
O gerenciamento de riscos tem se tornado um assunto de suma importncia no meio empresarial, uma vez que a
conscientizao da necessidade de administrao dos riscos potenciais , hoje, uma questo de competitividade e
sobrevivncia.
13
Para que seja eficaz, o gerenciamento de riscos deve fazer parte da cultura de qualquer empresa e deve estar inserido
em sua filosofia, nas prticas e nos processos de negcio.
O Mtodo Avanado de Gesto de Riscos Corporativos Mtodo Brasiliano fornece um processo para a identificao
e avaliao dos riscos. Esse mtodo descreve os passos a serem percorridos, as ferramentas a serem utilizadas, os
critrios a serem aplicados tanto na mensurao da probabilidade como do impacto, alm de estabelecer, tendo em
vista a criticidade e o apetite ao risco, a priorizao das aes a serem executadas. uma ferramenta de gesto,
integrada com as trs melhores e mais utilizadas prticas de mercado: ISO 31000, COSO I e COSO II. Portanto,
uma das nicas metodologias que integrou os trs conceitos em um nico framework, facilitando, dessa forma, a
utilizao por parte dos gestores.
14
2. CONTEXTO HOLSTICO
DA GESTO DE RISCOS
CORPORATIVOS
2.1 Origem da Gesto de Riscos
A origem da gerncia de risco teve seu incio efetivo nos Estados Unidos e em alguns pases da Europa, logo aps a
Segunda Guerra Mundial, quando os responsveis pela segurana das grandes empresas, bem como os responsveis
pelos seguros, comearam a examinar a possibilidade de reduzir os gastos com prmios de seguro e aumentar a
proteo da empresa, frente aos perigos reais e potenciais. S seria possvel atingir tais objetivos reduo dos custos
com uma profunda anlise das situaes de risco.
Alm da avaliao das probabilidades de perda, tornou-se necessrio identificar quais riscos poderiam ser
considerados inevitveis e quais poderiam ter a chance diminuda, de concretizao, de forma direta. Em cima desse
15
estudo detalhado, levantou-se a relao custo x benefcio das medidas de segurana a serem implantadas, bem como
a situao financeira da empresa, para escolha adequada do nvel de segurana a ser atingido.
A partir da dcada de 1970, o gerenciamento de riscos ligado rea de crdito e rea financeira tomou uma proporo
grande, tendo em vista os sinais dos tempos de mudana. A desregulamentao, a globalizao e a desintermediao
mudaram a definio dos mercados e alteraram os aspectos econmicos das operaes desses mercados.
Uma pesquisa recente, realizada pela British Bankers Association (BBA), levantou que 70% dos bancos do Reino Unido
consideravam seus riscos operacionais to importantes quanto os riscos de crdito e de mercado. Quase um quarto
desses bancos havia experimentado perdas relacionadas a operaes de US$ 1,6 milhes de dlares. Dados histricos
de perdas da Operational Risk Inc (ORI) sugerem que em mais de 50 casos instituies individuais perderam mais de US$
500 milhes cada uma, enquanto que, em 30 casos, empresas perderam acima de US$ 1 bilho cada uma.
Nesse enfoque, o entendimento de risco corporativo comeou a tomar outro corpo dentro das organizaes. Embora
o risco acompanhe o homem e seja inerente sua natureza, as organizaes comearam a observar e sentir que
nem todos os riscos eram iguais. O que ocorre quando se faz uma viagem de avio no igual ao de uma dona
de casa nas suas tarefas domsticas, nem esses dois eventos so comparveis ao de um navegante solitrio que
cruza o Atlntico. A era da crena excessiva na racionalidade gerencial parece ter chegado ao fim. Hoje, sabe-se que
o mundo organizacional mais complexo e ambguo do que se pensava. A atuao gerencial, hoje, convive com a
imprevisibilidade e com a ambiguidade. E um dos elementos principais dessa convivncia ter que tomar decises
baseadas em informaes incompletas e/ou em constante mudana. O mundo VUCA!
Os acontecimentos em 2001, desde o ataque terrorista de 11 de setembro at as grandes fraudes nas corporaes
americanas; e, em 2015, no Brasil, os casos de fraudes e corrupo passaram a sensibilizar os decisores quanto
necessidade de monitorar, de forma constante, as variveis internas e externas s empresas. Variveis essas que
poderiam influenciar sua Cadeia de Valor, ou seja, a necessidade de administrar riscos, tanto reais como os potenciais,
passa a ser, hoje, uma questo de competitividade e sobrevivncia.
Num cenrio em que as mudanas so velozes, as instabilidades, permanentes, e h um predomnio de alta

imprevisibilidade, a formulao de estratgias organizacionais j no pode combinar com mtodos tradicionais de projeo
e anlise. Mais uma vez o mundo VUCA comparece integrado com a gesto de riscos, visando gerenciar a incerteza.
16
2.2 A Nova Funo do Gerenciamento de
Riscos Corporativos Inteligncia em Riscos
Cabe, antes de prosseguir, definirmos a Gerncia de Riscos, sob o aspecto do seguro, no qual quase tudo comeou,
vejamos: O processo para conservar o poder de ganho e o patrimnio da empresa (ou pessoa) pela minimizao do
efeito financeiro de perdas acidentais (Jaime Cristy).
preciso, tambm, estabelecer a distino entre risco puro e risco especulativo. Os vrios autores e estudiosos,
principalmente norte-americanos, da Gerncia de Riscos, digamos, tradicional, tm classificado os riscos que podem
atingir uma empresa, basicamente, em riscos especulativos (ou dinmicos) e riscos puros (ou estticos).
A diferena principal entre essas duas categorias est no fato de que os riscos especulativos envolvem uma chance
de ganho ou uma mesma possibilidade de perda; ao passo que os riscos puros envolvem somente uma possibilidade
de perda, no existindo nenhuma chance de ganho ou de lucro.
Um exemplo clssico, que mostra essa diferena, o do proprietrio de um veculo, cujo risco (puro) que est
associado a ele o da perda potencial por coliso. Se ocorrer eventualmente uma coliso, o proprietrio sofrer, no
mnimo, uma perda financeira. Se no ocorrer nenhuma coliso, o proprietrio no ter, obviamente, nenhum ganho.
Hoje em dia a viso e o escopo do gerenciamento de risco corporativo ficou muito mais amplo, muito mais holstico,
abrangendo inmeras disciplinas nas empresas, decorrentes das atividades desenvolvidas nas organizaes. A
alta direo deve ter uma viso consolidada de suas exposies, sejam operacionais, sejam legais, financeiras ou
estratgicas. Para esse fim, necessria a criao de uma rea especfica, com uma estrutura e recursos definidos.
As atividades de um departamento de gerenciamento de riscos corporativos, dentro do enfoque moderno, abrange

inmeras disciplinas. Muitas dessas atividades so comuns a uma ampla gama de funes administrativas. Por essa
razo, que esse departamento deve possuir processo sistmico e contnuo de identificao de exposio, medio,
anlise, controle, preveno, reduo, avaliao e financiamento de riscos. Essa nova funo ajuda a integrar riscos
financeiros e no financeiros tradicionais a seguros e responsabilidade legal. uma rea que possui uma grande
17
abrangncia, mas com muitas interaes por meio de diferentes disciplinas e, portanto, com uma necessidade de uma
abordagem integrada. Algumas das disciplinas de riscos que devem interagir entre si so:
1) RISCOS ESTRATGICOS
2) RISCOS OPERACIONAIS LIGADOS OPERAO
3) RISCOS NOS PROCESSOS
4) RISCOS DE TECNOLOGIA DA INFORMAO
5) RISCOS DE MEIO AMBIENTE
6) RISCOS DE SADE E SEGURANA DO TRABALHADOR
7) RISCOS DE SEGURANA EMPRESARIAL
8) RISCOS FINANCEIROS
9) RISCOS LEGAIS
10) RISCOS SOCIAIS
11) RISCOS DE SUSTENTABILIDADE
12) RISCOS DE COMUNICAO
13) RISCOS DE FRAUDES
14) RISCOS NA CADEIA LOGSTICA
15) RISCOS NO PROJETO
16) OUTRAS TANTAS DISCIPLINAS
18
Essas disciplinas devem estar incorporadas com um nico framework e com polticas integradas, de modo que a
empresa fale uma mesma linguagem. Esse o principal desafio das empresas: integrar as disciplinas para que
possam possuir a chamada Inteligncia em Riscos Corporativos IRC.
O gerenciamento de riscos, sob esse enfoque, contribui para o fortalecimento e a eficcia operacional e financeira
da empresa, na medida em que proporciona mecanismos de alocao de recursos para o seu emprego mais eficiente
e eficaz, atingindo de forma direta a efetividade.
Portanto, a funo do gestor de riscos de integrar disciplinas e gerenciar as informaes das inmeras disciplinas
de riscos. O gestor de riscos tem que relacionar os diversos riscos e verificar as interdependncias entre eles. Hoje
por si s no existe mais a possibilidade de s ter como ferramenta de gesto a Matriz de Riscos, mas deve tambm
ter a Matriz de Impactos Cruzados para ver a motricidade entre riscos. Segundo o Frum Econmico Mundial, em seu
Relatrio de Riscos Globais de 2015 ressalta: A edio 2015 do relatrio de Riscos Globais completa uma dcada
destacando os riscos a longo prazo mais significantes ao redor do mundo, extraindo as perspectivas de especialistas
e dos tomadores de decises globais. Nesse tempo, a anlise mudou da identificao dos riscos a pensar atravs das
interconexes dos riscos e os potenciais efeitos-cascata que resultaro deles.
Podemos ento afirmar que a funo do gestor de riscos corporativos possuir Inteligncia em Riscos, levado para
a alta administrao os riscos considerados mais crticos, j com as conexes feitas.
Com o modelo a seguir entendemos a Inteligncia em Riscos em integrar solues e indicadores, fornecendo para
os decisores a viso holstica dos riscos considerados crticos e as respectivas solues integradas, com um farol de
monitoramento de acompanhamento das evolues. Dessa forma a organizao possuir verdadeiramente condies
operacionais de se antecipar de forma objetiva a possveis riscos, trabalhando de forma preventiva e no s de forma
reativa. A organizao ganha com isso velocidade e competitividade, fatores-chave de sucesso em um mundo VUCA!
19
A rea de GRC como integradora e analista das informaes estratgicas de riscos corporativos.
A abrangncia da rea da Gesto de Riscos Corporativos muito grande, deixando de ser somente uma abordagem
financeira e regulamentar trabalhista, tributria e de investimento. A tendncia que a rea de gesto de
riscos caminhe para fatores de interesse de seus stakeholders, com forte ateno imagem e reputao das
organizaes. Por essa razo a amplitude cresceu e acabou abrangendo a organizao como um todo, envolvendo as
mdias gerncias como responsveis na gesto de riscos corporativos. Dessa maneira a rea de riscos passa atuar
como uma rea de Inteligncia em Riscos, ou seja, de interpretao das informaes e utilizao de ferramentas
estratgicas. A figura abaixo demonstra esta abrangncia nas reas e processos das organizaes, incluindo os
fornecedores crticos/estratgicos.
20
Abrangncia da rea de Gesto de Riscos Corporativos nas empresas.
21
Outro ponto a destacar na nova funo do Gerenciamento de Riscos Corporativos e do seu gestor o foco de atuao,
que primordialmente o da preveno, o da antecipao, mas tambm, como resposta aos cenrios de riscos, tem que
ter estruturado respostas a emergncias, descontinuidade de negcio e de crises. Atualmente o mercado identificou
a necessidade de uma abordagem integrada gesto de riscos, envolvendo temas como mercado, estratgia, modelo
de negcio, segurana ciberntica, anticorrupo e reputao corporativa. Essa abordagem demanda compreender
e responder a interconectividade entre riscos de diferentes naturezas medida que, e muito impulsionado pela
tecnologia, os mais variados fatores podem gerar cenrios de descontinuidade e de crises, impactando as operaes
e os respectivos resultados das empresas no curto, mdio e longo prazo.
Frente a esse novo contexto, mundo VUCA, torna-se imperioso que as empresas intensifiquem esforos no
aprimoramento nas estruturas integradas Inteligncia em Riscos , em que o gestor possa enxergar e trabalhar tanto
a preveno como as contingncias. Na verdade a funo do gestor de riscos de um chapu de dois bicos: de um
lado a preveno e do outro as respostas para as emergncias, continuidade de negcio e crises empresariais. Tudo
isso integrado em um nico framework.
A funo da gesto de riscos, vista sob a tica estratgica, atua no aumento da resilincia empresarial. Nesse
sentido, a maturidade dessa funo interfere diretamente na qualidade e no entendimento global dos riscos, sejam
eles internos, sejam eles externos, que podem produzir relevantes cenrios de descontinuidade e ou de crises.
O grande passo da gesto de riscos est relacionado definio e qualificao de um panorama dos potenciais
cenrios de descontinuidade e de crise, que podem e ou devem serem gerados com base na avaliao geral de riscos
operacionais, legais e estratgicos, levando em considerao a linguagem comum de riscos e o impacto para as
operaes e a reputao da empresa. Essa base de potenciais cenrios de descontinuidade e ou de crises devero
orientar a estruturao dos planejamentos das respostas estruturadas e respectivas alternativas. nesse momento
que deve se definir, com extrema clareza, o nvel de complexidade e dimenso do impacto no contexto (empresa e
sociedade como um todo).
No quadro a seguir podemos visualizar uma viso holstica do processo preventivo e contingencial da funo do
gestor de riscos do sculo XXI.
22
Ocorre o evento
Processos
Aes nas Servios PREMISSA: Saber quais so
causas razes os cenrios de riscos!!
Vidas em perigo
dos Riscos
Indisponveis
Aes Imediatas
PREVENO Protocolos de emergncias
Recuperao
Acionamento das respostas Continuidade

Identificao de Negcios
Anlise
de Riscos Procedimentos Procedimentos de
Imediatos Continuidade Operacional
Aes e
Avaliao Operacionalizao Retomada
recursos
de Danos da Recuperao Operacional
Emergenciais
Viso holstica do processo macro de GRC, incluindo a preveno, emergncia, crise, continuidade e a recuperao dos negcios.
2.3 Categorias de Riscos

No h uma frmula para classificar riscos corporativos. No existe uma classificao de riscos que seja consensual,
exaustivo e aplicvel a todas as organizaes; a classificao deve ser desenvolvida de acordo com as caractersticas
de cada organizao, contemplando as particularidades da indstria, do mercado e do setor de atuao.
23
Por exemplo: os estoques de materiais de consumo so menos relevantes para um banco do que para uma indstria,
na qual pode representar um dos principais fatores de risco. Analogamente, as variveis relacionadas ao risco de
mercado so cruciais para um banco e podem no ser to relevantes para determinada organizao manufatureira.
Portanto, dependendo do tipo de segmento que a empresa atua podemos ter as seguintes categorias de riscos:
2.3.1 Risco de Mercado

O risco de mercado pode ser definido como uma medida numrica da incerteza relacionada aos retornos esperados
de um investimento, em decorrncia de variaes em fatores como taxas de juros, taxas de cmbio, preos de aes
e commodities. As principais subreas do risco de mercado so:
a) Risco de Taxas de Juros

Pode ser definido como o risco de perda no valor econmico de uma carteira, decorrente dos efeitos de mudanas
adversas das taxas de juros. Podemos citar como exemplos: 1) Eventual perda do valor de mercado de ttulos pblicos
(BBCs, brady bonds, etc.) ou privados (corporate eurobonds, etc.); 2) Encarecimento do custo de funding; 3) Queda da
taxa de reinvestimento.
b) Risco de Taxas de Cmbio

Pode ser definido como o risco de perdas devido a mudanas adversas nas taxas de cmbio. Dois exemplos: 1) Variao
nos preos de NTN-Ds, NBC-Es, NBC-Fs, de ativos internacionais negociados em moeda estrangeira, devido apreciao/
depreciao relativa de moedas; 2) Descasamentos em uma carteira indexada a alguma moeda estrangeira.
c) Risco de Commodities
Pode ser definido como o risco de perdas devido a mudanas no valor de mercado de carteiras de commodities. Exemplo:
Variao nos preos de carteiras constitudas por ouro, prata, platina, soja, caf, boi gordo, cacau, etc.
d) Risco de Aes
Pode ser definido como o risco de perdas devido a mudanas no valor de mercado de carteiras de aes. Exemplo: Variao nos
preos de carteiras constitudas por aes como Petrobras PN, Vale PN, Eletrobras PNB, ADRs de Usiminas PN, etc.
24
e) Risco de Liquidez
Pode ser definido como o risco de perdas devido incapacidade de se desfazer rapidamente uma posio, ou obter
funding, devido s condies de mercado. Exemplos: 1) Carteiras de eurobonds brasileiros, aes de segunda e terceira
linhas, alguns contratos futuros negociados na BM&F, etc.; 2) Situaes em que no possvel rolar dvidas nos mercados
financeiros; 3) Ajustes de margens que venham a consumir a liquidez da instituio.
f) Risco de Derivativos
Pode ser definido como o risco de perdas devido ao uso de derivativos (seja para especulao, seja para hedge). Exemplo:
Variao no valor de posies de contratos de swaps, futuros, a termo, opes, etc.
g) Risco de Hedge
Pode ser definido como o risco de perdas devido ao uso inapropriado de instrumentos para hedge. Exemplos: 1) Perdas
por falta de rebalanceamento dinmico de hedges em resposta a movimentos bruscos no mercado; 2) Hedge subtimo de
ativos/passivos (opes cambiais, brady bonds, etc.).
h) Risco de Concentrao (mercado)

Pode ser definido como o risco de perdas devido no diversificao do risco de mercado de carteiras de investimentos.
Exemplos: Investimentos excessivamente concentrados em poucos indexadores, moedas, ativos, vencimentos, etc.
2.3.2 Risco de Crdito

O risco de crdito pode ser definido como uma medida numrica da incerteza relacionada ao recebimento de um valor
contratado/compromissado, a ser pago por um tomador de um emprstimo, contraparte de um contrato ou emissor
de um ttulo, descontadas as expectativas de recuperao e realizao de garantias. As principais subreas do risco
de crdito so:
a) Risco de Inadimplncia
Pode ser definido como o risco de perda pela incapacidade de pagamento do tomador de um emprstimo, contraparte de
um contrato ou emissor de um ttulo. Exemplos: 1) No pagamento de juros e/ou principal de crdito pessoal, emprstimos
25
para pessoa jurdica, carto de crdito, leasing, etc.; 2) No pagamento de juros e/ou principal de ttulos de renda fixa
(nacionais/internacionais, pblicos/privados) pelo emissor.
b) Risco de Degradao de Crdito

Pode ser definido como o risco de perdas pela degradao da qualidade creditcia do tomador de um emprstimo, contra-
parte de uma transao ou emissor de um ttulo, levando a uma diminuio no valor de suas obrigaes. Exemplo: Perdas
em ttulos soberanos e/ou corporativos pela reduo do rating do pas emissor.
c) Risco de Degradao das Garantias

Pode ser definido como o risco de perdas pela degradao da qualidade das garantias oferecidas por um tomador de um
emprstimo, contraparte de uma transao ou emissor de um ttulo. Exemplos: 1) Emprstimos cujas garantias no mais
existam; 2) Depreciao no valor das garantias depositadas em bolsas de derivativos.
d) Risco Soberano
Pode ser definido como o risco de perdas pela incapacidade de um tomador de um emprstimo, contraparte de uma
transao ou emissor de um ttulo, em honrar seus compromissos em funo de restries impostas por seu pas-sede.
Exemplo: Transaes que envolvam transferncias internacionais de ttulos ou de cmbio.
e) Risco de Financiador
Pode ser definido como o risco de perdas por inadimplncia do financiador de uma transao, potencializada quando o
contrato no contempla acordo de liquidao por compensao de direitos e obrigaes (netting agreement). Exemplo:
Repurchase transactions que no contemplem o netting de direitos/obrigaes (ao contrrio dos ISMA Agreements).
f) Risco de Concentrao (crdito)

Pode ser definido como o risco de perdas em decorrncia da no diversificao de risco de crdito de investimentos. Exem-
plos: 1) Concentrar emprstimos em poucos setores da economia, classes de ativos, etc.; 2) Possuir parte substancial dos
passivos de um devedor (por exemplo, um emissor de debntures).
26
2.3.3 Risco Operacional
O risco operacional pode ser definido como uma medida numrica da incerteza dos retornos de uma instituio, caso
seus sistemas, prticas e medidas de controle no sejam capazes de resistir a falhas humanas, danos infraestrutura
de suporte, utilizao indevida de modelos matemticos ou produtos, alteraes no ambiente dos negcios, ou a
situaes adversas de mercado. As principais subreas do risco operacional so:
a) Risco de Overload
Pode ser definido como o risco de perdas por sobrecargas nos sistemas eltrico, telefnico, de processamento de dados,
etc. Exemplos: 1) Sistemas no operacionais em agncias bancrias, por acmulo de informao nos canais de comuni-
cao com a central de atendimento; 2) Linhas telefnicas constantemente ocupadas.
b) Risco de Obsolescncia
Pode ser definido como o risco de perdas pela no substituio frequente dos equipamentos e softwares antigos. Exemplos:
1) Verses atualizadas de softwares no compatveis com hardware antigo; 2) Impossibilidade de integrar sistemas com-
putacionais desenvolvidos em verses de softwares diferentes.
c) Risco de Presteza e Confiabilidade

Pode ser definido como o risco de perdas, pelo fato de informaes no poderem ser recebidas, processadas, arma-
zenadas e transmitidas em tempo hbil e de forma confivel. Exemplos: 1) Situaes em que informaes consolida-
das sobre exposio de um banco no podem ser obtidas em tempo hbil para anlise; 2) Impossibilidade de prestar
informaes precisas em determinados horrios devido atualizao de bancos de dados ocorrer por processamento
em batch.
d) Risco de Equipamento
Pode ser definido como o risco de perdas por falhas nos equipamentos eltricos, de processamento e transmisso de da-
dos telefnicos, de segurana, etc. Exemplos: 1) Redes de micros contaminados por vrus; 2) Discos rgidos danificados; 3)
Telefonia no operacional por falta de reparos.
27
e) Risco de Erro No Intencional
Pode ser definido como o risco de perdas em decorrncia de equvoco, omisso, distrao ou negligncia de funcionrios.
Exemplos: 1) Mal atendimento de correntistas (m vontade, falta de informao, etc.); 2) Posicionamento da tesouraria no
mercado contrrio ao especificado pelo Comit de Investimentos.
f) Risco de Fraudes
Pode ser definido como o risco de perdas em decorrncia de comportamentos fraudulentos (adulterao de controles,
descumprimento intencional de normas da empresa, desvio de valores, divulgao de informaes erradas, etc.). Ex-
emplos: 1) Desvio de dinheiro de agncia bancria; 2) Aceitao de incentivos de clientes para conceder crdito em
valores mais elevados.
g) Risco de Qualificao
Pode ser definido como o risco de perdas pelo fato de funcionrios desempenharem tarefas sem qualificao profissional
apropriada funo. Exemplos: 1) Uso de estratgias de hedge com derivativos, sem conhecimento por parte do operador
das limitaes desta; 2) Clculo de perdas e lucros em carteiras, sem conhecimento dos mercados; 3) Iniciar operaes em
mercados sofisticados, sem contar com equipes (back-office e front-office) devidamente preparadas.
h) Risco de Produtos e Servios

Pode ser definido como o risco de perdas em decorrncia da venda de produtos ou prestao de servios ocorrer de forma
indevida, ou sem atender s necessidades e demandas de clientes. Exemplos: 1) Envio de cartes de crdito sem consulta
prvia ao cliente; 2) Recomendar a clientes de perfil conservador o investimento em fundos de derivativos alavancados
diante de um bom desempenho no passado recente desses mesmos fundos.
i) Risco de Regulamentao
Pode ser definido como o risco de perdas em decorrncia de alteraes, impropriedades ou inexistncia de normas para
controles internos ou externos. Exemplos: 1) Alterao de margens de garantia ou de limites de oscilao em bolsas de
derivativos sem aviso antecipado ao mercado; 2) Front-office responsvel pela operao do back-office.
28
j) Risco de Modelagem
Pode ser definido como o risco de perdas pelo desenvolvimento, pela utilizao ou interpretao incorreta dos resultados
fornecidos por modelos, incluindo a utilizao de dados incorretos. Exemplos: 1) Utilizar software comprado de terceiros, sem
conhecimento de suas limitaes; 2) Utilizar modelos matemticos, sem conhecimento de suas hipteses simplificadoras.
k) Risco de Liquidao Financeira

Pode ser definido como o risco de perdas em decorrncia de falhas nos procedimentos e controles de finalizao das
transaes. Exemplos: 1) Envio e/ou recebimento de divisas em praas com diferentes fusos horrios, feriados, regras
operacionais, etc.
l) Risco Sistmico
Pode ser definido como o risco de perdas devido a alteraes no ambiente operacional. Exemplos: 1) Alterao abrupta de
limites operacionais em bolsas, levando todas as instituies financeiras a dificuldades; 2) Modificao repentina de base
de clculo de tributos corporativos.
m) Risco de Concentrao (operacional)

Pode ser definido como o risco de perdas por depender de poucos produtos, clientes e/ou mercados. Exemplo: Bancos que s
operem financiando clientes de determinado segmento (por exemplo, setor automotivo, crdito a lojistas, etc.).
n) Risco de Imagem
Pode ser definido como o risco de perdas em decorrncia de alteraes da reputao com clientes, concorrentes, rgos
governamentais, etc. Exemplo: Boatos sobre a sade de uma instituio, desencadeando corrida para saques.
o) Risco de Catstrofe
Pode ser definido como o risco de perdas devido a catstrofes (naturais ou no). Exemplos: 1) Desastres naturais (enchen-
tes) que dificultem a operao diria da instituio ou de reas crticas como centros de processamento, de telecomuni-
caes, etc. 2) Destruio do patrimnio da instituio por desastres que abalem a estrutura civil de prdios (coliso de
avies, caminhes, etc.), incndios, etc.
29
2.3.4 Risco Legal | Conformidade
O risco legal pode ser definido como uma medida numrica da incerteza dos retornos de uma instituio, caso seus
contratos no possam ser legalmente amparados por falta de representatividade por parte de um negociador, por
documentao insuficiente, insolvncia ou ilegalidade. As principais subreas do risco legal so:
a) Risco de Legislao
Pode ser definido como o risco de perdas decorrentes de sanes por reguladores e indenizaes por danos a terceiros
por violao da legislao vigente. Exemplos: 1) Multas por no cumprimento de exigibilidades; 2) Indenizaes pagas a
clientes por no cumprimento da legislao; 3) Interdio de projetos, obras, empresas por violao da legislao vigente;
4) Processo crime para uso administradores por violao.
b) Risco Tributrio
Pode ser definido como o risco de perdas devido criao ou nova interpretao da incidncia de tributos. Exemplos: 1) Criao
de impostos novos sobre ativos e/ou produtos; 2) Recolhimento de novas contribuies sobre receitas, no mais sobre lucros.
c) Risco de Contrato
Pode ser definido como o risco de perdas decorrentes de julgamentos desfavorveis por contratos omissos, malredigidos
ou sem o devido amparo legal. Exemplos: 1) Pessoa sem poder para assinar contratos representando a instituio; 2) No
execuo pronta de garantias, requerendo o acionamento do jurdico; 3) Responsabilidades cobertas nos contratos de
terceirizao colocadas de forma pouco objetivas.
2.3.5 Riscos Estratgicos

Os riscos estratgicos alvejam um ou mais elementos cruciais na concepo do modelo de negcio da empresa, ou
seja, afeta as atividades primrias da Cadeia de Valor. Em alguns casos podem at acabar com o vnculo da empresa
com o mercado. Em outros casos, diminuem a proposta de valor que a empresa oferece, que pode ser a base do fluxo
de receita. Podem tambm diluir os lucros dos quais dependem. s vezes destroem a gesto estratgica que ajuda a
30
empresa a monitorar e controlar a concorrncia. No pior cenrio possvel, riscos estratgicos podem ameaar todos os
pilares que sustentam os objetivos da empresa.
No contexto moderno seguindo a citao de Adrian J. Slywotzky, em seu livro Do risco oportunidade, h sete
grandes tipos de riscos estratgicos que qualquer empresa deve estar preparada para enfrentar. Embora a empresa
v continuar enfrentando outros tipos de riscos, dos tipos geopoltico, regulatrio, operacional, estes setes riscos
estratgicos compreendem a gama de riscos que expe a concepo do negcio da maioria das empresas. Em outras
palavras, a gesto de riscos, por conceito, passa tambm a lidar com a gesto estratgica e o monitoramento contnuo
dos objetivos empresariais.
Os sete riscos estratgicos so:
a) Sua grande iniciativa falha: isso significa nos projetos que so liderados, tais como lanamento de novos produtos, expan-
so do mercado, fuso, entre outros. De acordo com estudos realizados, a grande maioria dos projetos novos possuem uma
probabilidade real de sucesso em torno de 20%!
b) Seus clientes abandonam: a empresa foi surpreendida pelos clientes mudanas repentinas e imprevistas em suas
preferncias, prioridades e gostos? Nesse caso a base da receita poder ruir rapidamente, pois sem mercado no existe
empresa.
c) Seu setor chega a uma bifurcao na estrada: quando as mudanas na tecnologia ou concepo do negcio transformam
um setor, at 80% das empresas incumbentes no sobrevivem transio.
d) Um concorrente aparentemente invencvel aparece: quando a empresa encontrar um forte concorrente, ser possvel sobre-
viver e prosperar enquanto as outras empresas esto sendo destrudas.
e) Sua marca perde a fora: uma grande marca uma fortaleza de valor 40% das principais marcas j vivenciaram grandes
impactos. Isso ocorre quando os gestores da empresa possuem uma viso estreita das marcas, ignorando a integrao
entre marca, produto e concepo do negcio.
f) Seu setor torna-se zona de lucro zero: inmeros setores padeceram de maior concorrncia, maior poder do cliente e com-
presso de margem, at um ponto em que os lucros ficam praticamente zerados.
31
g) Sua empresa para de crescer: quando as vendas atingem estagnao, o impacto imediato e doloroso, tais como novos
talentos comeam a sair da empresa e ou novas iniciativas so paralisadas.
Cada um dos riscos listados acima podem, simplesmente, exterminar o negcio da empresa. Isso acontece porque os
riscos so ou menos desprezados ou ignorados pela gesto, que, ou partem do princpio que a estratgia da empresa
e os riscos que a ameaam so responsabilidade nica e exclusiva da direo, ou que esses tipos de riscos no iro
ocorrer em suas empresas.
2.3.6 Risco de Liquidez e/ou Atuarial

Esse tipo de risco especfico a Fundos de Penso, empresas de Previdncia Privada. decorrente da possibilidade
de perdas por inadequao dos nveis de contribuio necessrias manuteno dessas disponibilidade ao longo
do tempo, da especificao deficiente dos planos de benefcios e seus reflexos nas provises tcnicas exigidas.
Exemplos: Interpretao indevida de regulamentos ou critrios que subsidiam o clculo das provises tcnicas;
especificao inadequada dos planos de benefcios e das premissas atuariais; avaliao atuarial inadequada motivada
pela inconsistncia na base de informaes; adoo de premissas e hipteses que no confirmem, ou que se revelem
pouco aderentes ao grupo de participantes ou, ainda, do uso de metodologias que se mostrem inadequadas; diferenas
temporais entre fluxos de caixa gerados pelos ativos e passivos que implicam a falta de recursos para honrar obrigaes,
forando a transformao de um ativo em caixa.
A categorizao de riscos mais comum, como benchmarking de mercado : Estratgico, Operacional, Financeiro
e Legal. Essas quatro categorias devem possuir vasos comunicantes entre elas, visando no ficar com uma viso
limitada e ou segregada dos riscos.
32
2.4 Interconectividade entre Riscos
2.4.1 Conceito de Interconectividade

O relatrio de Riscos Globais de 2014, do Forum Mundial, salienta como os riscos globais no apenas so interconectados
mas tambm possuem impactos sistmicos. Para gerir os riscos corporativos eficientemente e construir a resilincia aos
seus impactos, esforos melhores so necessrios para entender, medir e prever a evoluo das interdependncias
(INTERCONECTIVIDADE) entre os riscos, suplementando as ferramentas tradicionais de gesto de riscos com novos
conceitos projetados para ambientes incertos. Se os riscos no forem eficazmente abordados e interpretados, os
prejuzos sero ampliados de forma geomtrica e em todas as disciplinas. Podemos citar como exemplo a crise financeira
de 2007/2008, na qual os impactos polticos, econmicos e sociais foram de longo alcance, de forma sistmica e de
uma capilaridade avassaladora.
A natureza sistmica dos riscos corporativos pede por uma viso estratgica holstica dentro da corporao. Assim como
sistemas de finanas, supply-chain, sade e energia, a Internet e o ambiente se tornam mais complexos e interdependncias e
seus nveis de resilincia determinam se eles se tornam o baluarte da estabilidade ou amplificadores de choques em cascata.
Fortalecer a resilincia requer a superao de desafios de ao coletivos por meio do entendimento dos vasos comunicantes
entre riscos. Podemos citar o terremoto e tsunami no Japo em 2011, que quebrou toda a cadeia logstica das empresas
automobilsticas ao redor do mundo. Depois do terremoto de 11 de maro, as fbricas automobilsticas japonesas deixaram
de fabrircar mais de 500.000 veculos, e as perdas chegaram a bilhes, segundo especialistas do setor. A China teria perdido
no final de abril 25.000 veculos; a Europa, 55.000; e a Amrica do Norte, 68.000, estima Carlos da Silva, analista da Global
Insight, contatado pela AFP. A maior montadora do mundo de automveis, a japonesa Toyota, anunciou reduo 50% a 70% de
sua produo na China at 3 de junho de 2011. Os problemas na cadeia de abastecimento de componentes eletrnicos e
materiais plsticos custaram Toyota uma perda produtiva de mais de meio milho de unidades em todo o mundo at junho
de 2011. O conceito de just in time ficou exposto, sendo revisado em funo da interdependncia.
Dessa maneira, no basta mais somente utilizar a Matriz de Riscos, cruzando probabilidade e impacto, pois essa
avaliao fornece a criticidade dos riscos, dentro de suas disciplinas. importante, mas no mais s isso! H
33
necessidade do entendimento da dinmica entre riscos, ou seja, da motricidade entre eles. Quais riscos possuem fora
e capacidade de influenciar outros riscos? A partir da podemos enxergar a verdadeira interconectividade entre riscos.
Sem o estudo da interconectividade, realizando o estudo somente por disciplina ou por categoria de riscos, a empresa
e seus gestores podem no enxergar os riscos sistmicos.
O risco sistmico (Goldin e Mariathasan, da Princeton University) o risco de colapsos em um sistema inteiro, oposto
ao colapso de partes e componentes individuais. Os riscos sistmicos so caracterizados por:
- pontos de ruptura modestos, combinados indiretamente para produzir grandes falhas;
- contgio ou compartilhamento de risco, como uma perda que desencadeia uma reao de outras;
- sistemas sendo incapazes de recuperar o equilbrio depois de um choque.
Esse estudo comeou na dcada de 1960 com o cientista Edward Lorenz, cientista do MIT Massachusetts Institute of
Technology, que poca conduzia pesquisas sobre previso do tempo. Descobriu variaes imperceptveis nos valores da
presso e temperatura, que combinadas geravam efeitos massivos em questes de dias nas previses do tempo. dele a
famosa pergunta: Pode o bater das asas de uma borboleta no Brasil causar um tornado no Texas? O famoso Efeito Borboleta!
Portanto, o risco sistmico est relacionado sensibilidade de pequenas variaes nas condies iniciais de
um sistema, que se desenvolvem e se combinam, produzindo um enorme efeito no sistema como um todo. Aes
inconsequentes, desconexas e de pouca importncia nas partes de um processo podem combinar e ocasionar impactos
massivos nos processos das empresas ou no modelo de negcio.
2.4.2 Criticidade e Motricidade de Riscos

O Relatrio de Riscos Globais de 2016, do Forum Mundial, mais uma vez salienta a importncia de elaborar o estudo
da conexes entre riscos, ou seja, de entender as influncias entre riscos. O que um risco influncia em outro? Qual
a motricidade dos riscos no contexto geral do quadro?
O que o Relatrio sugere, desde 2009, que no s faamos o estudo da Matriz de Risco de Probabilidade e Impacto
que identifica a criticidade do risco. (Figure 1)
34
35

A Matriz acima s demonstra quais riscos so mais crticos, quais so mais severos, ou seja, a Matriz de Criticidade
prioriza o tratamento frente a criticidade do seu impacto e probabilidade de seu acontecimento.
Esse estudo no demonstra a interconectividade entre riscos. O estudo das conexes entre riscos nos d uma viso
do risco sistmico.
Portanto, podemos concluir que a influncia de um risco no crtico pode, s vezes, ser estratgico, dentro de
um determinado contexto. Dentro dessa tica imperioso que o gestor passe ento a enxergar a motricidade e as
conexes entre os riscos. (Figure 2 e Figure 4)
36
37

38

As matrizes anteriores demonstram as interconectividades entre os riscos, salientando os riscos de maior motricidade,
maior influncia de um risco sobre o outro.
Ns, da Brasiliano & Associados, trabalhamos com a interconectividade entre riscos j alguns anos, visando entender
essa dinmica. Utilizamos para isso a Metodologia trazida da construo de cenrios prospectivos, a Matriz de Impactos
Cruzados MIC. A MIC foi adaptada da metodologia do cenarista francs Michael Godet que tem como base o Teorema
de Bayes, Probabilidades Condicionantes.
No nosso Processo de Gesto de Riscos, essa ferramenta ser descrita com maior detalhe, no captulo 12, itm 12.6
matriz de impactos cruzados, mas de forma geral a tcnica de impactos cruzados identifica os riscos considerados
motrizes e de ligao, ou seja, aqueles que possuem maior influncia entre os demais. Ponto importante a aplicao
da ferramenta. No se pode aplicar essa ferramenta em qualquer tipo de estudo, mas sim para estudos de riscos
estratgicos e/ou riscos crticos entre disciplinas. O objetivo enxergar quais riscos so os influenciadores.
Para priorizarmos o tratamento podemos cruzar as matrizes de risco e a matriz de impacto cruzado, tendo como
resultado uma Matriz de Priorizao de Riscos, conforme figura a seguir.
39
04 *01 *03 *02 01 - Manifestao pacfica com bloqueio parcial
05 *06 02 - Manifestao com atos de vandalismo /
MOTRIZ
12 depredao contra patrimnio pblico
13
03 - Manifestao com atos de vandalismo com
04 *10 *04 lanamentos de inflamveis contra o pblico local
Motricidade dos Riscos
05 *14 *05
LIGAO 12 *12 04 - Manifestao com atos de agresso contra o
efetivo da PM
13 *13
*15 05 - Tumulto
04 *08 *07
06 - Manifestao para conteno do pblico para o
05 *09 *11 local do evento
DEPENDENTE
12
13 07 - Atentado terrorista criminoso
08 - Assdio sexual
INDEPENDENTE 09 - Arrasto
10 - Briga entre torcidas uniformizadas
1 2 3 4 11 - Presena de grupos extremistas
12 - Presena de extremista solitrio

Criticidade dos Riscos
13 - Crimes comuns (roubo, furto, etc.)
14 - Movimentos de presso e reivindicatrios
15 - Violncia policial
Com essa Matriz de Priorizao, o gestor consegue visualizar os riscos que so realmente relevantes para a
organizao, pois seleciona, de forma cruzada, os crticos (probabilidade x impactos) versus sistmicos (motrizes x
dependentes). Essa ferramenta indita em processos de gesto de riscos, pois consegue fazer os gestores cruzarem
as duas Matrizes e a partir da entenderem os riscos de maior relevncia. Isso faz com que a organizao tenha maior
assertividade nas suas tomadas de decises.
40
3. A GESTO DE RISCOS
CORPORATIVOS E OS
OBJETIVOS ESTRATGICOS
DA ORGANIZAO
3.1 Objetivos do Gerenciamento de Riscos Corporativos
A premissa inerente ao gerenciamento de riscos corporativos que toda organizao existe para gerar valor s partes
interessadas. Todas as organizaes enfrentam incertezas, e o desafio de seus administradores determinar at que
ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforo para gerar valor s
partes interessadas.
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento
de riscos corporativos possibilita aos administradores tratar com eficcia as incertezas, bem como os riscos e as
oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.
41
O valor maximizado quando a organizao estabelece estratgias e objetivos para alcanar o equilbrio ideal entre
as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos
com eficcia e eficincia na busca dos objetivos da organizao. Os objetivos estratgicos do gerenciamento de riscos
corporativos, segundo as premissas do COSO II, publicado em 2004, so:
1. Alinhar o apetite a risco com a estratgia adotada
Os administradores avaliam o apetite a risco da organizao ao analisar as estratgias, definindo os objetivos a elas
relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
2. Fortalecer as decises em resposta aos riscos
O gerenciamento de riscos corporativos possibilita o rigor na identificao e na seleo de alternativas de respostas aos
riscos como evitar, reduzir, compartilhar e aceitar os riscos.
3. Reduzir as surpresas e prejuzos operacionais
As organizaes adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes,
reduzindo surpresas e custos ou prejuzos associados.
4. Identificar e administrar riscos mltiplos e entre empreendimentos
Toda organizao enfrenta uma gama de riscos que podem afetar diferentes reas da organizao. A gesto de riscos cor-
porativos possibilita uma resposta eficaz a impactos inter-relacionados e, tambm, respostas integradas aos diversos riscos.
5. Aproveitar oportunidades
Pelo fato de considerar todos os eventos em potencial, a organizao posiciona-se para identificar e aproveitar as
oportunidades de forma proativa.
6. Otimizar o capital
A obteno de informaes adequadas a respeito de riscos possibilita administrao conduzir uma avaliao eficaz das
necessidades de capital como um todo e aprimorar a alocao desse capital.
42
Essas qualidades, inerentes ao gerenciamento de riscos corporativos, ajudam os administradores a atingir as
metas de desempenho e de lucratividade da organizao, e evitam a perda de recursos. O gerenciamento de riscos
corporativos contribui para assegurar comunicao eficaz e cumprimento de leis e regulamentos, bem como evitar
danos reputao da organizao e suas consequncias. Em suma, o gerenciamento de riscos corporativos ajuda a
organizao a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso.
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo
representam riscos que podem impedir a criao de valor ou mesmo destruir o valor existente. Os de impacto positivo
podem contrabalanar os de impacto negativo ou podem representar oportunidades, que por sua vez representam
a possibilidade de um evento ocorrer e influenciar favoravelmente a realizao dos objetivos, apoiando a criao ou
a preservao de valor. A direo da organizao canaliza as oportunidades para seus processos de elaborao de
estratgias ou objetivos, formulando planos que visam ao aproveitamento destes.
3.2 Definio de Gerenciamento de Riscos Corporativos

A gesto de riscos corporativos trata riscos e oportunidades que afetam a criao ou a preservao de valor. O
processo de gesto de riscos corporativos deve ser efetivado de forma descentralizado, por todos os membros da
organizao. Portanto, uma definio que a Brasiliano utiliza bastante por ser eficaz, a que est escrita no COSO II:
O gerenciamento de riscos corporativos um processo conduzido em uma organizao pelo conselho de administrao,
diretoria e demais empregados, aplicado no estabelecimento de estratgias, formuladas para identificar em toda a
organizao eventos em potencial, capazes de afet-la, e administrar os riscos de modo a mant-los compatvel com o
apetite a risco da organizao e possibilitar garantia razovel do cumprimento dos seus objetivos.
Essa definio reflete certos conceitos fundamentais:
1. um processo contnuo e que flui pela organizao como um todo;
2. conduzido pelos profissionais em todos os nveis da organizao, ou seja, um processo descentralizado;
43
3. aplicado definio das estratgias, alinhado com seus objetivos estratgicos;
4. aplicado em toda a organizao, em todos os nveis e unidades, e inclui a formao de uma viso de portflio de todos
os riscos a que ela est exposta;
5. formulado para identificar eventos em potencial, cuja ocorrncia poder afetar a organizao, e para administrar os riscos
de acordo com seu apetite a risco;
6. capaz de propiciar garantia razovel para o conselho de administrao e a diretoria executiva de uma organizao do
cumprimento de seus objetivos, pois seus riscos esto gerenciados;
7. orientado para a realizao de objetivos em uma ou mais categorias distintas, mas dependentes.
Essa definio intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e
outras organizaes administram riscos, possibilitando uma base para sua aplicao em organizaes, indstrias e
setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos
estabelecidos por uma organizao especfica e fornece parmetros para definir a eficcia desse gerenciamento de
riscos. A figura abaixo reflete de forma direta as vantagens do processo de gerenciamento de riscos nas empresas,
tornando-as mais resilientes.
44
Contribuio do gerenciamento de riscos para o comprimento dos objetivos estratgicos.
3.3 Realizao de Objetivos

Com base na misso ou viso estabelecida por uma organizao, a administrao estabelece os planos principais,
seleciona as estratgias e determina o alinhamento dos objetivos nos nveis da organizao.
A estrutura de gerenciamento de riscos corporativos orientada a fim de alcanar os objetivos da organizao. O

processo do COSO II, publicado em 2004, sugere quatro objetivos que a estrutura de Gesto de Riscos Corporativos
deve contemplar. So eles:
45
1. Estratgicos metas gerais, alinhadas com o que suportem sua misso.
2. Operaes utilizao eficaz e eficiente dos recursos.
3. Comunicao confiabilidade de relatrios.
4. Conformidade cumprimento de leis e regulamentos aplicveis.
Essa classificao possibilita um enfoque nos aspectos distintos do gerenciamento de riscos de uma organizao.
Apesar dos objetivos serem distintos, eles se inter-relacionam, uma vez que determinado objetivo pode ser
classificado em mais de uma categoria, tratam de necessidades diferentes da organizao e podem permanecer sob
a responsabilidade direta de diferentes executivos. Essa classificao tambm permite diferenciar o que pode ser
esperado de cada categoria de objetivos.
Em razo de os objetivos relacionados com a confiabilidade e relatrios e o cumprimento de leis e regulamentos

estarem sob controle da organizao, pode-se esperar que o gerenciamento de riscos corporativos fornea uma garantia
razovel em relao ao atendimento desses objetivos. Entretanto, a realizao de objetivos estratgicos e operacionais
est sujeita ao de eventos externos nem sempre sob o controle da organizao; da mesma forma, em relao a
esses objetivos, o gerenciamento de riscos corporativos capaz de propiciar uma garantia razovel que a diretoria
executiva e o conselho de administrao, na funo de superviso, sero informados, no momento adequado, o quanto
a organizao est avanando na direo do atendimento dos objetivos.
46
4. A GESTO DE RISCOS
CORPORATIVOS E AS 3
LINHAS DE DEFESA
A economia brasileira tem sido acompanhada por movimentos profundos nas empresas nacionais e com esses
movimentos demandam e reforam a criticidade de uma Governana Corporativa efetiva e bem-estruturada, j que em
alguns casos a falta de requisitos mnimos de Governana Corporativa impede que algumas empresas consigam tirar
proveito deste momento pelo qual o Brasil e o mundo est passando. Adicionalmente, embora em muitos casos vrios
elementos de uma boa Governana Corporativa estejam presentes nas empresas, nem sempre eles so postos em
prtica da forma adequada.
Uma das ferramentas adequadas a Governana Corporativa, lanada em 21 de setembro de 2010 pela FERMA
Federao das Associaes Europeias de Gesto de Riscos e pelo ECIIA Confederao Europeia do Instituto
de Auditoria Interna, a Orientao sobre a 8a Diretriz Jurdica Europeia da Empresa (Art. 41), que recomenda a
47
implementao operacional para monitorar com eficcia a auditoria, controle interno e o sistema de gesto de
risco. O objetivo do documento foi o de auxiliar a gesto snior na implementao da gesto de riscos, controle
interno, compliance e auditoria interna e as relaes com a diretoria executiva e conselho. O documento estabelece
claramente as responsabilidades entre as reas e suas relaes. O conselho responsvel pela fiscalizao da
gesto de riscos da empresa e pelo framework de controle. Todos na empresa desempenham uma funo na
gesto eficaz de riscos, mas a responsabilidade primria para a gesto e o controle dos riscos delegada ao nvel
de gesto adequado dentro da empresa. Em outras palavras, o processo descentralizado e o dono do processo
o dono do risco. O CEO e o CFO possuem a responsabilidade final para o conselho para a gesto de riscos e o
framework de controle. Para cumprir essas tarefas eficientemente, eles buscam se assegurar de vrias fontes dentro
da organizao. O FERMA e o ECIIA apoiam o modelo das trs linhas de defesa como um ponto de partida para a
orientao regulatria futura. O modelo a seguir o original publicado.
Conselho / Comit Auditoria
Gesto Snior
1a Linha Defesa 2a Linha Defesa 3a Linha Defesa
Gesto de Riscos
Gesto Operacional
Conformidade Auditoria Interna

Controles Internos
Outros
48
Todos ns, cidados brasileiros, e, principalmente, profissionais da rea de gesto de riscos e auditoria, ficamos
estarrecidos com os acontecimentos de fraudes no Brasil. Estamos falando da operao Lava Jato, que a cada dia
consegue mais vitrias em termos de fazer justia e reduzir o nvel de impunidade no Brasil. Ficamos surpresos com a
facilidade com que os controles foram burlados e com o franco desconhecimento da alta gesto.
Ficou mais ntido com estas fraudes, que ainda inmeras empresas, profissionais de riscos e auditoria interna ainda
no apliquem e pratiquem uma melhor prtica chamada 3 Linhas de Defesa. Essa melhor prtica ou estratgia de
atuao da rea de gesto de riscos, compliance, controles internos e auditoria foi estruturada para descentralizar o
procresso de controle, dando aos usurios dos processos operacionais e estratgicos a responsabilidade primria de
realizar o respectivo controle, com uma superviso de reas corporativas e da auditoria interna, de tal forma que haja
cobertura em todos os nveis da empresa.
Segundo Marcelo Fridori, em seu artigo, ele escreve as justificativas da construo do Modelo das 3 Linhas de Defesa:
Com o crescimento significativo da complexidade no ambiente de negcios, as organizaes passaram a necessitar
de diferentes equipes de especialistas em controle interno, executivos de compliance, especialistas em gerenciamento
de riscos, auditores internos, entre outros, para gerenciar, em conjunto, de forma efetiva seus principais riscos
Deve-se ressaltar, entretanto, que a diviso das atividades relacionadas ao gerenciamento de riscos entre diversos
departamentos pode levar ineficcia de algumas das aes promovidas. Assim, passa a ser fortemente recomendvel
que os esforos empreendidos por todos sejam devidamente coordenados, de modo a garantir que os processos sejam
conduzidos de acordo com o que foi planejado. De acordo com o modelo apresentado, o conselho de administrao e
o diretor executivo, em nome da alta administrao, so responsveis pela superviso e monitoramento dos processos
de gesto de riscos e, para assumir de forma efetiva essas atribuies, eles necessitam de resultados provenientes
das vrias reas envolvidas com este assunto. Esse modelo ganhou rapidamente um reconhecimento mundial por
parte das organizaes e das entidades que representam as funes de gerenciamento de riscos e controles e, a
partir de 2013, passou a ser divulgado tambm atravs de uma Declarao de Posicionamento do IIA The Institute
of Internal Auditors.
O modelo das Trs Linhas de Defesa uma forma simples e eficaz de melhorar a comunicao do gerenciamento
de riscos e controle por meio do esclarecimento dos papis e responsabilidades essenciais. O modelo apresenta um
novo ponto de vista sobre as operaes, ajudando a garantir o sucesso contnuo das iniciativas de gerenciamento de
49
riscos, e aplicvel a qualquer organizao no importando seu tamanho ou complexidade. Mesmo em empresas
em que no exista uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de 3 Linhas de Defesa pode
melhorar a clareza dos riscos e controles e ajudar a aumentar a eficcia dos sistemas de gerenciamento de riscos.
No modelo de 3 Linhas de Defesa, o controle da gerncia a primeira linha de defesa no gerenciamento de riscos, as
diversas funes de controle de riscos e superviso de conformidade estabelecidas pela gerncia so a segunda linha
de defesa e a avaliao independente a terceira. Cada uma dessas trs linhas desempenha um papel distinto dentro
da estrutura mais ampla de governana da organizao. Na figura abaixo podemos visualizar holisticamente o modelo.
50
Embora os rgos de governana e a alta administrao no sejam considerados dentre as trs linhas desse
modelo, sistemas de gerenciamento de riscos, mas so papis essenciais. Os rgos de governana e a alta
administrao so as principais partes interessadas atendidas pelas linhas e so as partes em melhor posio
para ajudar a garantir que o modelo de 3 Linhas de Defesa seja aplicado aos processos de gerenciamento de riscos
e controle da organizao.
Esse modelo refora de forma incisiva que o dono do processo o dono do risco e de seus controles. Portanto,
os riscos corporativos s acontecem quando os donos do processo possuem comprometimento e maturidade de
praticarem os controles e respectivas metodologias, sugeridas e supervisionas pela segunda linha de defesa. A
segunda linha de defesa na verdade o grande guardio do processo, pois incentiva que a primeira linha pratique e ao
mesmo tempo supervisiona para identificar possveis falhas. A terceira linha, Auditoria Interna, realiza suas avaliaes
tanto na primeira como na segunda linha de defesa.
As trs linhas deveriam existir em todas as organizaes, no importando tamanho ou complexidade. O gerenciamento
de riscos, normalmente, mais slido quando h trs linhas de defesa separadas e claramente identificadas, com
papis esclarecidos.
Os riscos corporativos acabam sendo concretizadas quando h falhas de cobertura, principalmente entre a primeira e
segunda linha de defesa. Os riscos acontecem quando o dono do processo no est praticando o processo de Gesto
de Riscos e a segunda linha, a supervisora, falha em no identificar o risco e nem reportar e informar a alta gesto. A
situao piora mais ainda quando a terceira linha no identifica falha na segunda linha de defesa e por consequncia
fica mope para realizar uma auditoria baseada em riscos na primeira linha de defesa.
O processo das 3 Linhas de Defesa refora o que j escrevi no segundo captulo, quando citei que a rea de Gesto
de Riscos deveria poder realizar a Inteligncia em Riscos Corporativos IRC. Essa inteligncia s poder ser alcanada
se a empresa adotar a prtica do dono do processo ser dono do risco. O dono do processo ser o responsvel em
realizar a autoavaliao dos riscos e controles. Com esse processo rodando a segunda linha de defesa pode fazer seu
grande papel estratgico de interpretar e de realizar os estudos de interconectividade entre riscos, entre reas e entre
processos. Dessa forma, passa a agregar valor no processo estratgico e operacional. A auditoria interna, por sua vez,
51
utilizar como insumo as informaes tanto da segunda linha como da primeira para realizar seus testes de controles,
Chaves em processos crticos.
Esse o grande diferencial que as empresas devem possuir para operacionalizar, o dono do processo ser o dono do
risco, seja qual for a complexidade do processo. Infelizmente, ainda hoje no Brasil h uma grande resistncia por parte
dos usurios, chamados de mdia gerncia.
A Revista HSM de 2014, nmero 104, de maio/junho, ressalta em seu artigo intitulado Eu, gestor de riscos? A
importncia da mdia gerncia estar sensibilizada com esta nova tarefa. O artigo considera que as mdias gerncias
so as guardies dos seus processos. Escreve: Os especialistas consideram que a mudana de mentalidade desses
profissionais fundamental para um futuro mais seguro.
o gerente de linha que instala e monitora procedimentos de controle e segurana. Assim, o modo mais eficaz
de alcanar melhor gesto de riscos motivar esses funcionrios a prestar ateno suficiente a esse tipo de
responsabilidade.
Esse passa a ser o grande desafio do gestor de riscos: possuir maturidade e sensibilidade em convencer a empresa
que a gesto de riscos no pertence rea de Gerenciamento de Riscos, mas sim aos donos do processo.
52
5. MELHORES PRTICAS
FRAMEWORKS DE MERCADO
5.1 COSO The Committee of Sponsoring

Organizations of the Treadway Commission
O COSO uma organizao privada criada nos Estados Unidos em 1985 para previnir e evitar fraudes nas demonstraes
contbeis da empresa. Portanto, uma antiga organizao brigando para o quesito preveno a fraudes; porm, as
empresas fazem muito pouco para o processo preventivo acontecer.
O foco do COSO a implantao de controles internos efetivos, proporcionando uma garantia razovel para prevenir
fraudes. Em 1985, foi criada nos Estados Unidos a National Commission on Fraudulent Financial Reporting Comisso
Nacional sobre Fraudes em Relatrios Financeiros , iniciativa independente para estudar as causas da ocorrncia de
53
fraudes em relatrios financeiros e contbeis. Essa comisso era composta de representantes das principais associaes
de classe de profissionais ligados rea financeira. Seu primeiro objeto de estudo foram os controles internos.
O COSO uma entidade sem fins lucrativos, dedicada melhoria dos relatrios financeiros fundamentados na tica,
na efetividade dos controles internos e na governana corporativa, alm de ser patrocinado por cinco das principais
associaes de classe:
AICPA American Institute of Certified Public Accounts Instituto Americano de Contadores Pblicos Certificados;
AAA American Accounts Association Associao Americana de Contadores;
FEI Financial Executive International Executivos Financeiros Internacionais;
IIA The Institute of Internal Auditors Instituto dos Auditores Internos;
IMA Institute of Management Accountants Instituto de Contadores Gerenciais.
O comit trabalha com independncia em relao s suas atividades patrocinadoras.
5.1.1 COSO I Conceito e a Reviso 2013

Em 1992, o Comit de Organizaes Patrocinadoras da Comisso Treadway (COSO) lanou o seu Controle Interno
Framework Integrado. O framework original ganhou uma ampla aceitao e muito utilizado ao redor do mundo.
reconhecido como um framework pioneiro pelo design, pela implementao e pela conduo do controle interno e a
avaliao da eficcia do controle interno.
Nos vinte anos desde a sua criao do framework original, os negcios e os ambientes operacionais mudaram
dramaticamente, se tornando cada vez mais complexos, movidos tecnolgica e globalmente.
Ao mesmo tempo, as partes interessadas esto mais envolvidas, buscando uma transparncia e contabilidade
maiores para a integridade dos sistemas do controle interno que suportam as decises e a governana da organizao.
54
O COSO acredita que o Framework de Controles Internos permitir que as organizaes desenvolvam e mantenham
eficazmente os sistemas de controle interno podem melhorar a probabilidade de conquistar os objetivos da entidade e
adaptar-se s mudanas nos negcios e nos ambientes operacionais. Ele retm a definio primria do controle interno
e os seus cinco componentes. O requerimento para considerar os cinco componentes para avaliar a eficcia de um
sistema de controle interno permanecem imutveis, fundamentalmente.
O framework continua a enfatizar a importncia do julgamento da gesto no design, na implementao e na conduo

do controle interno, bem como na avaliao da eficcia de um sistema de controle interno.
Ao mesmo tempo, o framework inclui melhorias e esclarecimentos que tencionam facilitar o uso e a aplicao. No
framework atualizado, esses conceitos so agora princpios, os quais so associados com os cinco componentes, e
os quais fornecem esclarecimento para o usurio na projeo e na implementao dos sistemas de controle interno e
para compreender os requerimentos para o controle interno eficaz.
O framework foi melhorado ao expandir a categoria de relatrio financeiro de objetivos, para incluir outras formas
importantes de relatrio, como o no financeiro e o relatrio interno. Alm disso, o framework reflete as consideraes
de muitas mudanas nos negcios e nos ambientes operacionais nas vrias dcadas passadas, incluindo:
Espectativas para a fiscalizao da Governana
Globalizao dos mercados e das operaes
Mudanas e maiores complexidades dos negcios
Demandas e complexidades nas leis, regras, regulamentos e normas
Expectativas para competncias e contabilidades
Uso e dependncia de tecnologias em evoluo
Expectativas relacionadas preveno e deteco da fraude
55
5.1.2 Conceito da Estrututa de Controle Interno Framework do COSO I
O controle interno auxilia as entidades a conquistarem os objetivos importantes e a sustentarem e melhorarem o
desempenho. O Controle Interno Framework Integrado do COSO I permite que as organizaes desenvolvam eficaz
e eficientemente sistemas de controle interno que se adaptem ao negcios e ambientes operacionais mutveis,
mitiguem riscos a nveis aceitveis e apoiem tomadas de decises razoveis e a governana da organizao.
Projetar e implementar um sistema eficaz de controle interno pode ser um grande desafio; usar esse sistema eficaz e
eficientemente todos os dias pode ser intimidador. Novos modelos de negcios rapidamente mutveis, um uso maior e
a dependncia da tecnologia, requerimentos regulatrios e escrutnio elevados, globalizao e outros desafios exigem
que um sitema de controle interno seja gil na adaptao s mudanas nos negcios e nos ambientes regulatrios e
operacionais.
Um sistema eficaz de controle interno exige mais do que uma aderncia rigorosa s polticas e aos procedimentos:
exige o uso do julgamento. A gesto e a diretoria usam o julgamento para determinar o quanto de controle o suficiente.
A gesto e outro pessoal usam o julgamento todos os dias para selecionar, desenvolver e empregar controles por
meio da entidade. A gesto e os auditores internos, entre outro pessoal, aplicam o julgamento enquanto monitoram e
avaliam a eficcia do sistema do controle interno.
O framework auxilia a gesto, os conselhos, a diretoria, as partes interessadas externas e outros a interagir com a
entidade em seus respectivos deveres com relao ao controle interno, sem ser demasiado prescritivo.
Para a gesto, os conselhos e diretoria, o framework fornece:
Formas de aplicar o controle interno a qualquer tipo de entidade, independentemente da indstria ou da estrutura legal, aos
nveis da entidade, unidade operacional ou funo;
Uma abordagem baseada em princpios que fornea flexibilidade e permite o julgamento na projeo, implementao e
conduo dos princpios do controle interno que possam ser aplicados entidade, a nveis operacionais e funcionais;
Requerimentos para um sistema eficaz de controle interno ao considerar como os componentes e princpios esto
presentes e funcionando, e como os componentes funcionam juntos;
56
Formas de identificar e analisar os riscos, e de desenvolver e administrar respostas adequadas aos riscos dentro de nveis
aceitves e com foco maior em medidas antifraude (diga-se que a primeira estrutura a enfatizar a necessidade de
gerir o risco de fraude nas organizaes);
Uma oportunidade para expandir a aplicao do controle interno alm do relatrio financeiro para outras formas de
relatrio, operaes e objetivos de concordncia;
Uma oportunidade para eliminar controles ineficazes, redundantes ou ineficientes que forneam valor mnimo reduo de
riscos conquista dos objetivos da entidade.
Para as partes interessadas externas de uma entidade e outros que interajam com a entidade, a aplicao do
framework fornece:
Maior confiana no discernimento da diretoria dos sistemas de controle interno;
Maior confiana com relao conquista dos objetivos;
Maior confiana na habilidade da organizao em identificar, analisar e responder ao risco e s mudanas nos ambientes
comerciais e operacionais;
Maior compreenso do requerimento de um sistema eficaz de controle interno;
Maior compreenso de que, por meio do uso do julgamento, a gesto possa ser capaz de eliminar controles ineficazes,
redundantes ou ineficientes.
O controle interno no um processo em srie, mas um processo dinmico e integrado. O framework se aplica a
todas as entidades: rgos grandes, medianos, pequenos, lucrativos, no lucrativos e governamentais. Entretanto,
cada organizao pode escolher implementar o controle interno diferentemente. Por exemplo, um sistema menor
da entidade do controle interno pode ser menos formal e menos estruturado e ainda assim possuir um controle
interno eficaz.
57
5.1.3 Definindo o Controle Interno
O controle interno definido, segundo os conceitos do COSO I como: um processo efetivado pelo conselho de
diretores de uma entidade, pela gesto e outro pessoal, designado a fornecer garantia razovel com relao
conquista de objetivos relacionados operaes, relatrio e concordncia.
Essa definio reflete certos conceitos fundamentais. O controle interno :
Voltado para a conquista dos objetivos em uma ou mais categorias operaes, relatrios e compliance;
Um processo que consiste em tarefas em atividades em andamento um meio para um fim, no um fim em si;
Efetivado por pessoas no meramente sobre polticas e ou manuais de procedimentos, sistemas e formulrios, mas sobre
pessoas e as aes que elas empreendem a todos os nveis de uma organizao para afetar o controle interno;
Capaz de fornecer garantia razovel mas nenhuma garantia absoluta a uma gesto;
Adaptvel estrutura da entidade flexvel na aplicao para a entidade inteira ou para uma subsidiria particular, diviso,
unidade operacional ou processo comercial.
Essa definio intencionalmente ampla. Ela captura os conceitos importantes que so fundamentais como que as
oganizaes designam, implementam e conduzem os controles internos, fornecendo uma base para a aplicao por
meio das organizaes que funcionam em diferentes estruturas, indstrias e regies geogrficas da empresa.
5.1.4 O Framework do COSO I

O Framework do COSO I possui como elementos:
1. Objetivos
2. Elementos do Processo
3. reas da empresa que so atingidas pela disseminao dos princpios.
58
O Framework do COSO I um cubo tridimensional, onde h o cruzamento dos objetivos com o processo e os nves da empresa.
5.1.5 Objetivos
O Framework fornece trs categorias de objetivos, as quais permitem que as organizaes se foquem em diferentes
aspectos de controle interno:
Objetivos das Operaes Esses pertencem eficcia e eficincia das operaes da entidade, incluindo os objetivos de
desempenho operacional e da garantia dos ativos contra o prejuzo;
59
Relatrio dos Objetivos Esses pertencem aos relatrios financeiros internos e externos e no financeiros, e podem
abranger a confiana, a durabilidade, a transparncia ou outros termos como estabelecidos pelos reguladores, organismos
de normalizao reconhecidos ou polticas da entidade;
Objetivos de compliance Esses pertencem aderncia s leis e aos regulamentos aos quais a entidade sujeita.
5.1.6 Componentes do Controle Interno

O controle interno consiste de cinco componentes integrados.
5.1.6.1 Ambiente de Controle

O ambiente de controle o conjunto de normas, processos e estruturas que fornecem a base para desempenhar
o controle por meio da organizao. O conselho de diretores e a gesto snior estabelecem o mote com relao
importncia do controle interno, incluindo as normas esperadas de conduta. A gesto refora as espectativas nos
vrios nveis da organizao. O ambiente de controle compreende a integridade e os valores ticos da organizao;
os parmetros que permitem que o conselho de diretores empreendam as suas responsabilidades de fiscalizao
de governana; a estrutura organizacional e o emprego de autoridade e responsabilidade; o processo para atrair,
desenvolver e reter os indivduos competentes; e o rigor acerca das medidas de desempenho, incentivo e recompensas
para mover a contabilidade pelo desempenho. O ambiente de controle resultante possui um impacto persistente sobre
o sistema total de controle interno.
5.1.6.2 Avaliao de Riscos

Cada entidade confronta uma variedade de riscos de fontes internas e externas. A avaliao de riscos envolve um
processo dinmico e iterativo para identificar e avaliar os riscos para conquistar os objetivos. O riscos para a conquista
desses objetivos por meio da entidade so considerados relativos s tolerncias de riscos estabelecidos. Portanto, a
avaliao de riscos forma a base para determinar como esses riscos sero gerenciados.
60
Uma precondio avaliao de riscos o estabelecimento de objetivos, ligados a diferentes nveis da entidade. A
gesto especifica os objetivos dentro de categorias que se relacionam s operaes, aos relatrios e conformidade
com clareza o suficiente para ser capaz de identificar e analisar os riscos desses objetivos. A gesto tambm
considera a adequao dos objetivos para a entidade. A avaliao de riscos tambm exige que a gesto considere o
impacto de possveis mudanas no ambiente externo e dentro de seu prprio modelo comercial que possa tornar o
controle interno ineficaz.
5.1.6.3 Atividades de Controle

As atividades de controle so as aes estabelecidas por meio das polticas e dos procedimentos que ajudam a
assegurar as diretrizes da gesto para diminuir a probabiidade e mitigar os riscos para que a conquista dos objetivos
seja desempenhada. As atividades de controle so desempenhadas em todos os nveis da entidade, em vrios estgios
dentro dos processos comerciais e por meio do ambiente tecnolgico. Elas podem ser preventivas ou detectivas em
natureza e podem abranger uma gama de atividades manuais ou automticas, como autorizaes e aprovaes,
verificaes, reconciliaes e revises de desempenho comerciais. A segregao de tarefas normalmente construda
na seleo e no desenvolvimento das atividades de controle. Onde a segregao de tarefas no for prtica, a gesto
seleciona e desenvolve atividades de controle alternativas.
5.1.6.4 Informao e Comunicao

A informao necessria para que a entidade desempenhe as responsabilidades de controle interno para apoiar
a conquista de seus objetivos. A gesto obtm ou gera e usa a informao relevante e de qualidade de ambas as
fontes internas e externas para apoiar o funcionamento de outros componentes do controle interno. A comunicao
um processo contnuo e interativo de fornecimento, compartilhamento e obteno de informao necessria. A
comunicao interna a forma pela qual a informao disseminada e flui por meio da organizao. Ela permite que
o pessoal receba uma mensagem clara da gesto snior que controla as responsabilidades e que deve ser levados a
srio. A comunicao externa dupla: permite a comunicao de entrada de informao externa relevante e fornece
informao a partes externas em resposta a requerimentos e expectativas.
61
5.1.6.5 Monitoramento de Atividades
As avaliaes em andamento, separadas ou alguma combinao das duas so utilizadas para garantir se cada um dos
cinco componentes do controle interno, incluindo os controles para efetivar os princpios dentro de cada componente,
esto presentes e funcionando. As avaliaes em andamento, construdas nos processos comerciais a diferentes
nveis da entidade, fornecem uma informao em tempo hbil. Avaliaes separadas, conduzidas periodicamente,
variaro em escopo e frequncia, dependendo da avaliao dos riscos, da eficcia de avaliaes em andamento e
outras consideraes da gesto. As descobertas so avaliadas contra os critrios estabelecidos pelos reguladores,
rgos legisladores reconhecidos ou a gesto e o conselho de diretores, e as deficincias so comunicadas gesto
e ao conselho de diretores conforme o adequado.
5.1.7 Relao de Objetivos e Componentes

Uma relao direta existe entre os objetivos os quais so o que uma entidade luta para conseguir , os componentes
os quais representam o que exigido para conquistar os objetivos e a estrutura organizacional da entidade (as
unidades operacionais, as entidades legais e outros).
As trs categorias de objetivos operaes, relatrios e compliance so representados pelas colunas.
Os cinco componentes so representados pelas fileiras (linhas).
A estrutura organizacional de uma entidade representada pela terceira dimenso.
62
Objetivos da Organizao
al de
ion o ida
Monitoramento
O per
Di
ac
Co
vul
ga
nfo
rm
Ambiente de Controle
Avaliao de Risco
Atividade de Controle
informao e Comunicao
Atividades de Monitoramento
Todas as unidades
de negcios
Cinco elementos-chave da
gesto de controle interno
5.1.8 Componentes e Princpios

O framework COSO I estabelece dezessete princpios que representam os conceitos fundamentais associados a cada
componente. Por esses princpios serem extrados diretamente dos componentes, uma enpresa pode conseguir um
controle interno eficaz ao aplicar todos os princpios. Todos os princpios se aplicam s operaes, aos relatrios e aos
objetivos de conformidade. Os princpios apoiando os componentes do controle interno so listados a seguir.
5.1.8.1 Ambiente de Controle

1. A organizao demonstra um compromisso com a integridade e os valores ticos.
63
2. O conselho de diretores demonstra independncia da gesto e exercita a fiscalizao do desenvolvimento e desempenho
do controle interno.
3. A gesto estabelece, com a fiscalizao do conselho, estruturas, linhas de relatrio e autoridades e responsabilidades
adequadas na conquista dos objetivos.
4. A organizao demonstra um comprometimento para atrair, desenvolver e reter indivduos competentes adequados aos objetivos.
5. A organizao mantm os indivduos responsveis pelas suas responsabilidades de controle interno na conquista dos objetivos.
5.1.8.2 Avaliao de Riscos

6. A organizao especifica objetivos com clareza o suficiente para permitir a identificao e a avaliao dos riscos relaciona-
dos aos objetivos.
7. A organizao identifica os riscos para a conquista dos seus objetivos por meio da entidade e analisa os riscos como uma
base para determinar como os riscos devem ser administrados.
8. A organizao considera o potencial para a fraude na avaliao dos riscos para conseguir os objetivos (o Princpio 8 ressalta a im-
portncia de a empresa gerenciar o risco de fraude, sendo a nica estrutura de controle que descreve especificamente a questo
do risco de fraude. Portanto, os gestores de riscos e auditores devem abrir uma disciplina especfica de Risco de Fraude)
9. A organizao identifica e avalia as mudanas que poderiam impactar significantemente o sistema do controle interno.
5.1.8.3 Atividades de Controle

10. A organizao seleciona e desenvolve atividades de controle que contribuem mitigao de riscos para a conquista dos
objetivos a nveis aceitveis.
11. A organizao seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a conquista de objetivos.
12. A organizao emprega atividades de controle por meio de polticas que estabeleam o que esperado e procedimentos
que coloquem as polticas em ao.
64
5.1.8.4 Informao e Comunicao
13. A organizao obtm ou gera e usa informao relevante e de qualidade para sustentar o funcionamento do controle interno.
14. A organizao comunica internamente a informao, incluindo objetivos e responsabilidades pelo controle interno,
necessrios para apoiar o funcionamento do controle interno.
15. A organizao se comunica com as partes externas com relao s questes afetando o funcionamento do controle interno.
5.1.8.5 Atividades de Monitoramento

16. A organizao seleciona, desenvolve e desempenha avaliaes em andamento/e ou separadas para se certificarem se os
componentes do controle interno esto presentes e funcionando.
17. A organizao avalia e comunica as deficincias do controle interno em tempo hbil s partes responsveis por tomarem
medidas corretivas, incluindo a gesto snior e o conselho de diretores, conforme o adequado.
A utilizao do framework de forma integrada proporciona para a empresa uma estrutura de controle interno eficaz,
mitigando de forma direta tanto riscos oriundos de erros e displicncia como com a inteno de praticar desvios de
conduta a fraude.
65
5.2 COSO II ERM Enterprise Risk Management
5.2.1 Componentes do Gerenciamento de Riscos Metodologia COSO ERM

O COSO lanou em 2004 uma estrutura mais ampla, com um espectro mais estratgico. Essa estrutura foi concebida
para suportar o gerenciamento de riscos com uma viso corporativa, abrangendo toda e qualquer categoria de riscos.
O gerenciamento de riscos corporativos constitudo de oito componentes inter-relacionados, segundo o processo

COSO ERM (Enterprise Risk Management). So eles:
- Ambiente Interno: o ambiente interno compreende o tom de uma organizao e fornece a base pela qual os riscos so
identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade
e os valores ticos, alm do ambiente em que esses esto.
- Fixao de Objetivos: os objetivos devem existir antes que a administrao possa identificar os eventos em potencial que
podero afetar a sua realizao. O gerenciamento de riscos corporativos assegura que a administrao disponha de um
processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a misso da organi-
zao e sejam compatveis com o seu apetite a riscos.
- Identificao de Eventos: os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organi-
zao devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades so canalizadas para os
processos de estabelecimento de estratgias da administrao ou de seus objetivos.
- Avaliao de Riscos: os riscos so analisados, considerando-se a sua probabilidade e o impacto como base para de-
terminar o modo pelo qual devero ser administrados. Esses riscos so avaliados quanto sua condio de inerentes e
residuais.
- Resposta a Risco: a administrao escolhe as respostas aos riscos evitando, aceitando, reduzindo ou compartilhando ,
desenvolvendo uma srie de medidas para alinhar os riscos com a tolerncia e com o apetite a risco.
66
- Atividades de Controle: polticas e procedimentos so estabelecidos e implementados para assegurar que as respostas
aos riscos sejam executadas com eficcia.
- Informaes e Comunicaes: as informaes relevantes so identificadas, colhidas e comunicadas de forma e no prazo

que permitam que cumpram suas responsabilidades. A comunicao eficaz tambm ocorre em um sentido mais amplo,
fluindo em todos nveis da organizao.
- Monitoramento: a integridade da gesto de riscos corporativos monitorada e so feitas as modificaes necessrias. O

monitoramento realizado por meio de atividades gerenciais contnuas ou avaliaes independentes, ou de ambas as formas.
A rigor, o gerenciamento de riscos corporativos no um processo em srie pelo qual um componente afeta apenas o
prximo. um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os outros.
Viso Tridimensional da Metodologia COSO - ERM
67
5.2.2. Relacionamento entre Objetivos e os Componentes da Metodologia COSO ERM
Existe um relacionamento direto entre os objetivos, que uma organizao empenha-se em alcanar, e os componentes
do gerenciamento de riscos corporativos, que representam aquilo que necessrio para o seu alcance. Esse
relacionamento apresentado em uma matriz tridimensional em forma de cubo.
As quatro categorias de objetivos (estratgicos, operacionais, de comunicao e conformidade) esto representadas

nas colunas verticais. Os oito componentes, nas linhas horizontais e as unidades de uma organizao, na terceira
dimenso. Essa representao ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos
de uma organizao, ou na categoria de objetivos, componentes, unidade da organizao ou qualquer um dos
subconjuntos.
5.3 ISO 31000
5.3.1 Contexto
Durante os anos de 2007 e 2008 uma srie de questes de riscos desde a crise de liquidez nos mercados financeiros
at as preocupaes emergentes sobre terrorismo, clima, disponibilidade de alimentos, infraestrutura e energia focou
a ateno global na fragilidade da sistmica dos processos estratgicos das naes e consequentemente do mundo.
Uma conscientizao do risco e gerenciamento de risco cada vez mais vista como um pr-requisito para controle
efetivo tanto no setor privado como pblico.
Dentro desse contexto que no segundo semestre de 2009 foi lanada oficialmente a ISO 31000, que possui como
desafio integrar os diferentes conceitos da Gesto de Riscos Corporativos. A norma foi desenvolvida por uma comisso
especial da ISO (International Organization for Standardization) e teve sua numerao definida como ISO 31000.
68
A ISO 31000 surgiu da necessidade de harmonizar padres, regulamentaes e frameworks publicados anteriormente
e que de alguma forma esto relacionados com a gesto de riscos. A origem da norma, que pode ser aplicada por
empresas ou indivduos e fornece diretrizes para implementao de gesto de riscos em organizaes de qualquer tipo,
tamanho ou rea de atuao, vem da necessidade de as corporaes lidarem com as incertezas que podem afetar os
seus objetivos. Esses objetivos podem estar relacionados com vrias atividades da organizao, desde as iniciativas
estratgicas at as atividades operacionais, processos ou projetos. Assim, a norma pode ser aplicada aos vrios tipos
de riscos ligados aos diferentes setores da organizao, tais como financeiro, sade e meio ambiente, tecnologia
da informao, segurana empresarial, seguros, e de projetos, entre outros, incluindo a viso moderna de que risco
tambm oportunidade.
A ISO 31000 surge tambm para integrar as diversas metodologias e terminologias, pois hoje ainda h falta de
consenso em relao terminologia e aos conceitos utilizados para a gesto de riscos.
O resultado mais comum dessa equao que a gesto de riscos acaba sendo tratada de forma isolada, fazendo
com que vrios gestores (sade, meio ambiente, segurana de TI e empresarial, legal, financeiro, seguros, entre outros)
trabalhem em ilhas departamentais, o que ocasiona a utilizao de terminologias, sistemas, critrios e conceitos
diferentes para cada uma das reas da empresa. Isso quer dizer que cada departamento no possui o denominado
impacto cruzado, no enxerga o impacto do risco que est estudando em outras reas e ou processos.
A ISO 31000 possui processo consistente e uma estrutura abrangente para ajudar a assegurar que o risco ser
gerenciado de forma eficaz, eficiente e coerentemente. Por essa razo a abordagem genrica fornecendo os princpios
e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemtica, transparente e confivel, dentro de
qualquer escopo e contexto.
A ISO 31000 descreve as possibilidades que a gesto de riscos promove nas empresas:
- aumentar a probabilidade de atingir os objetivos;
- encorajar uma gesto proativa;
- estar atento para a necessidade de identificar e tratar os riscos em toda a organizao;
69
- melhorar a identificao de oportunidades e ameaas;
- atender s normas internacionais e requisitos e regulamentos pertinentes;
- melhorar o reporte das informaes financeiras;
- melhorar a governana;
- melhorar a confiana das partes interessadas;
- estabelecer uma base confivel para a tomada de deciso e o planejamento;
- melhorar os controles;
- alocar e utilizar eficazmente os recursos para o tratamento dos riscos;
- melhorar a eficcia e a eficincia operacional;
- melhorar o desempenho em sade e segurana, bem como proteo ao meio ambiente;
- melhorar a preveno de perdas e a gesto de incidentes;
- minimizar perdas;
- melhorar a aprendizagem organizacional; e
- aumentar a resilincia da organizao.
70
5.3.2 Organizao da Norma
5.3.2.1 Organizao
A norma possui a seguinte organizao:
Introduo
1. Escopo
2. Termos e Definies
3. Princpios
4. Estrutura
5. Processo
6. Anexos: A Atributos de uma gesto de riscos avanada
5.3.2.2 Estrutura
O sucesso da gesto de riscos depende da estrutura de gesto que fornece os fundamentos e os arranjos que iro
incorpor-la por meio de toda a organizao, em todos os nveis. A estrutura descreve os componentes necessrios da
estrutura gerenciar riscos e a forma como eles se inter-relacionam. O diagrama a seguir foi retirado da ISO 31000, no
qual explica a estrutura necessria para fazer o processo de gesto de riscos corporativos nas empresas.
71
Mandato e Comprometimento (4.2)
Concepo da Estrutura para Gerenciar Risco (4.3)

Entendimento da organizao e seu contexto (4.3.1)
Estabelecimento da poltica de gesto de riscos (4.3.2)
Responsabilizao (4.3.3)
Integrao nos processos organizacionais (4.3.4)
Recursos (4.3.5)
Estabelecimento de mecanismo de comunicao e reporte internos (4.3.6)
Estabelecimento de mecanismo de comunicao e reporte externos (4.3.7)
Implementao da Gesto de Riscos (4.4)

Melhoria Contnua da Estrutura (4.6) Implementao da estrutura para gerenciar riscos (4.4.1)
Implementao do processo de gesto de riscos (4.4.2)
Monitoramento e Anlise Crtica da Estrutura (4.5)
Relacionamento entre os componentes da estrututa para gerenciar riscos
5.3.2.3 Processo
O processo de Gesto de Riscos da ISO 31000 foi elaborado para ser:
- parte integrante da gesto;
- incorporado na cultura e nas prticas, e
- adaptado aos processos de negcio da organizao.
72
Ele compreende as seguintes atividades:
Processo de Gesto de Riscos
Genericamente, o processo estruturado sugerido possui sete fases claramente identificadas, sendo um processo
retroalimentativo, ou seja, segue os princpios do ciclo da qualidade PDCA: Plan Do Check Action.
A fase de comunicao e consulta abrange todas elas e inter-relacionada. Abrange tanto a comunicao interna
como a externa, assegurando que os responsveis e as partes interessadas compreendam os fundamentos sobre os
quais as decises so tomadas e as respectivas razes.
73
A fase do estabelecimento do contexto entender os fatores e as variveis externas, incluindo os fatores-chave, as
tendncias e as relaes com as partes interessadas externas e suas percepes de valores. J no contexto interno
entender seus objetivos estratgicos, a cultura, os processos, a estrutura e a estratgia. No contexto estratgico
se estabelece o processo de gesto de riscos com sua estrutura, seus critrios e os mtodos que a organizao
dever utilizar. Define-se metas e objetivos alm de responsabilidades e o apetite ao risco que a organizao quer
possuir.
A fase da identificao de riscos, no processo de avaliao de riscos, a listagem dos riscos que o processo, o
departamento e a empresa possui com as respectivas fontes de riscos. A identificao deve ser crtica, pois um risco
que no identificado nessa fase no ser includo em anlises posteriores. Fica claro que essa a fase estratgica,
pois nela que se entende os fatores de riscos, os fatores facilitadores da existncia do risco na empresa.
A fase de anlise de riscos desenvolve a compreenso dos riscos. Com a compreenso dos riscos que a empresa
poder tomar deciso sobre seu tratamento. Nessa fase, estima-se a Probabilidade e Consequncia do risco na
empresa. A anlise envolve a apreciao das causas e as fontes de risco, suas consequncias positivas e negativas, e
a probabilidade de que essas consequncias possam ocorrer. A norma no especifica critrios e mtodos, sendo que
a organizao que deve escolher, tendo em vista as caractersticas do negcio.
A fase da avaliao de riscos para auxiliar na tomada de decises com base nos resultados da anlise de riscos,
sobre quais riscos necessitam de tratamento e a prioridade para a implementao do tratamento. A avaliao de riscos
envolve comparar o nvel de risco encontrado durante a anlise de riscos. Deve-se utilizar uma Matriz de Riscos como
ferramenta de gesto.
A fase de Tratamento de Riscos envolve um processo cclico composto por:
- a avaliao do tratamento j realizado;
- a deciso se os nveis de risco residual so tolerveis;
- se no forem tolerveis, a definio e implementao de um novo tratamento;
- a avaliao e eficcia desse tratamento.
74
As opes de tratamento so as universais:
- a ao de evitar o risco;
- a tomada ou aumento do risco se o risco for positivo;
- a remoo da fonte de riscos;
- a alterao da probabilidade;
- a alterao das consequncias;
- o compartilhamento do risco; e
- a reteno do risco por uma deciso consistente e bem-embasada.
A ltima fase monitoramento e anlise crtica a fase da checagem ou das vigilncias regulares. Podem ser
regulares peridicas ou acontecerem em resposta a um fato especfico. Deve haver uma definio clara e direta das
responsabilidades de quem vai realizar o monitoramento e a anlise crtica.
5.3.2.4 Registros do Processo de Gesto de Riscos

As atividades de gesto de riscos devem ser rastreveis, ou seja, deve haver registros, pois estes fornecem os
fundamentos para melhoria dos mtodos e ferramentas, bem como de todo o processo.
5.3.2.5 Concluso
O grande desafio no desenvolvimento da ISO 31000 estava em estabelecer uma linguagem comum, bem como padronizar
as melhores prticas e abordagens para que as organizaes possam implementar a gesto de riscos em seus processos.
Por se tratar de uma proposta de convergncia alinhada com a viso integrada de ERM (Enterprise Risk Management),
a ISO 31000 no concorre com outras orientaes j existentes, fornecendo orientaes e alinhamento com outros
conjuntos de regras especficos.
75
5.4 ISO 31010
5.4.1 Introduo
A Norma ISO 31010 Gesto de riscos Tcnicas para o processo de avaliao de riscos pertence famlia da ISO
31000, foi publicada em 2010 e destina-se a refletir as boas prticas atuais na seleo e utilizao das tcnicas para
o processo de avaliao de riscos. Ela no se refere a novos conceitos em evoluo que no tenham atingido um nvel
satisfatrio de consenso profissional.
Essa Norma geral por natureza, de forma que pode dar orientaes para muitas indstrias e tipos de sistemas.
Pode haver normas mais especficas em vigor dentro dessas indstrias que estabelecem metodologias preferidas e
nveis de avaliao para aplicaes especficas. Se essas normas estiverem em harmonia com a Norma 31010, as
normas especficas geralmente sero suficientes.
5.4.2 Escopo da Norma

Essa Norma uma norma de apoio ISO 31000 e fornece orientaes sobre a seleo e aplicao de tcnicas
sistemticas para o processo de avaliao de riscos. O processo de avaliao de riscos conduzido de acordo com essa
Norma contribui para outras atividades de gesto de riscos.
A aplicao de uma srie de tcnicas introduzida, com referncias especficas a outras normas nas quais o conceito
e a aplicao de tcnicas so descritos mais detalhadamente.
Essa Norma no se destina certificao, uso regulatrio ou contratual, e no fornece critrios especficos para
identificar a necessidade de anlise de riscos, nem especifica o tipo de mtodo de anlise de riscos que requerido
para uma aplicao especfica.
76
A Norma 31010 no se refere a todas as tcnicas, e a omisso de uma tcnica nessa Norma no significa que ela
no vlida. O fato de um mtodo ser aplicvel a uma determinada circunstncia particular no significa que esse
mtodo seja necessariamente aplicado.
5.4.3 Conceito do Processo de Avaliao de Riscos

Segue o processo descrito na ISO 31000, com o mesmo framework.
5.4.4 Seleo de tcnicas para o processo de avaliao de riscos
5.4.4.1 Generalidades
Esta Seo descreve como as tcnicas para o processo de avaliao de riscos podem ser selecionadas. Os anexos
da norma listam e explicam em detalhes uma gama de ferramentas e tcnicas que podem ser utilizadas para realizar
um processo de avaliao de riscos ou auxiliar no processo de avaliao de riscos. Neste captulo, iremos apenas listar
as ferramentas e citar seu emprego. Algumas vezes pode ser necessrio empregar mais de um mtodo de avaliao.
5.4.4.2 Seleo de tcnicas
O processo de avaliao de riscos pode ser conduzido em vrios graus de profundidade e detalhe e utilizando um ou
muitos mtodos que vo do simples ao complexo. Convm que a forma de avaliao e seu resultado sejam compatveis
com os critrios de risco, desenvolvidos como parte do estabelecimento do contexto. Em termos gerais, convm que
as tcnicas apropriadas apresentem as seguintes caractersticas:
- convm que sejam justificveis e apropriadas situao ou organizao em questo;
- convm que proporcionem resultados de uma forma que aumente o entendimento da natureza do risco e de como ele pode
ser tratado;
77
- convm que sejam capazes de utilizar uma forma que seja rastrevel, repetvel e verificvel.
Convm que as razes para a escolha das tcnicas sejam dadas com relao pertinncia e adequao. Ao integrar
os resultados de diferentes estudos, convm que as tcnicas utilizadas e os resultados sejam comparveis.
Uma vez que a deciso tenha sido tomada para realizar um processo de avaliao de riscos e os objetivos e o escopo
tenham sido definidos, convm que as tcnicas sejam selecionadas com base em fatores aplicveis, tais como:
- os objetivos do estudo. Os objetivos do processo de avaliao de riscos tero uma influncia direta sobre as tcnicas utilizadas.
Por exemplo, se um estudo comparativo entre as diferentes opes est sendo realizado, pode ser aceitvel utilizar
modelos menos detalhados de consequncia para partes do sistema no afetadas pela diferena;
- as necessidades dos tomadores de deciso. Em alguns casos, um alto nvel de detalhe necessrio para tomar uma boa
deciso, em outros um entendimento mais geral suficiente;
- o tipo e a gama de riscos que esto sendo analisados;
- a magnitude potencial das consequncias. Convm que a deciso sobre a profundidade em que o processo de avaliao
de riscos conduzido reflita a percepo inicial das consequncias (embora isso possa ter que ser modificado uma vez que
uma avaliao preliminar foi concluda);
- o grau de especializao, recursos humanos e outros recursos necessrios. Um mtodo simples e bem-feito pode fornecer
melhores resultados do que um procedimento mais sofisticado e malfeito, contanto que atenda aos objetivos e o escopo do
processo de avaliao. Normalmente, convm que o esforo aplicado ao processo de avaliao seja compatvel com o nvel
potencial de risco que est sendo analisado;
- a disponibilidade de informaes e dados. Algumas tcnicas requerem mais informaes e dados do que outras;
- a necessidade de modificao/atualizao do processo de avaliao de riscos. O processo de avaliao pode necessitar

ser modificado/atualizado no futuro e algumas tcnicas so mais ajustveis do que outras a esse respeito;
- quaisquer requisitos regulamentares e contratuais.
78
Vrios fatores influenciam a seleo de uma abordagem ao processo de avaliao de riscos, tais como a
disponibilidade de recursos, a natureza e o grau de incerteza nos dados e informaes disponveis, bem como a
complexidade da aplicao.
5.4.4.3 Disponibilidade de recursos
Os recursos e as capacidades que podem afetar a seleo de tcnicas do processo de avaliao de riscos incluem:
- as habilidades, a experincia, a capacidade e a competncia da equipe do processo de avaliao de riscos;
- as restries de tempo e outros recursos dentro da organizao;
- o oramento disponvel, se recursos externos forem requeridos.
5.4.4.4 A natureza e o grau de incerteza
A natureza e o grau de incerteza requerem um entendimento da qualidade, quantidade e integridade das informaes
disponveis sobre o risco em considerao. Isso inclui quo disponveis e suficientes so as informaes sobre o risco,
suas fontes e causas, e suas consequncias para o atendimento dos objetivos. A incerteza pode ser proveniente da
qualidade pobre dos dados ou a falta de dados essenciais e confiveis. Para ilustrar, os mtodos de coleta de dados podem
se modificar, a forma que as organizaes utilizam tais mtodos pode ser alterada ou a organizao pode simplesmente
no ter implementado um mtodo de coleta eficaz para coleta de dados sobre o risco identificado.
A incerteza tambm pode ser inerente aos contextos externo e interno da organizao. Os dados disponveis nem
sempre fornecem uma base confivel para a previso do futuro. Para tipos singulares de riscos, os dados histricos
podem no estar disponveis ou pode haver diferentes interpretaes de dados disponveis por diferentes partes
interessadas. Os encarregados do processo de avaliao de riscos precisam entender o tipo e a natureza da incerteza
e interpretar suas implicaes para a confiabilidade dos resultados do processo de avaliao de riscos. Convm que
isso seja sempre comunicado aos tomadores de deciso.
79
5.4.4.5 Complexidade
Os riscos podem ser complexos em si mesmos, como, por exemplo, em sistemas complexos que precisam ter seus
riscos avaliados em todo o sistema ao invs de tratar cada componente separadamente e ignorando as interaes.
Em outros casos, tratar um risco individual pode ter implicaes em outros locais e pode impactar outras atividades.
Os impactos resultantes e as dependncias do risco necessitam ser entendidos para assegurar que na gesto de um
determinado risco uma situao intolervel no seja criada em outros locais. Entender a complexidade de um risco
individual ou de um portflio de riscos de uma organizao crucial para a seleo do mtodo adequado ou tcnicas
para o processo de avaliao de riscos.
5.4.4.6 Aplicao do processo de avaliao de riscos durante as fases do ciclo de vida
Muitas atividades, projetos e produtos podem ser considerados como tendo um ciclo de vida que se inicia a partir do
conceito e definio inicial, passa pela realizao e vai at o encerramento final que poder incluir a desmontagem e
descarte do equipamento.
O processo de avaliao de riscos pode ser aplicado em todos os estgios do ciclo de vida e normalmente aplicado
muitas vezes com diferentes nveis de detalhe para auxiliar nas decises que precisam ser tomadas em cada fase.
As fases dos ciclos de vida tm necessidades diferentes e requerem diferentes tcnicas. Por exemplo, durante a fase
de conceito e definio, quando uma oportunidade identificada, o processo de avaliao de riscos pode ser utilizado
para decidir se se quer continuar ou no.
Quando diversas opes estiverem disponveis, o processo de avaliao de riscos pode ser utilizado para avaliar
conceitos alternativos a fim de auxiliar na deciso sobre quais proporcionam o melhor equilbrio de riscos.
Durante a fase de projeto e desenvolvimento, o processo de avaliao de riscos contribui para:
- assegurar que os riscos do sistema sejam tolerveis,
- o processo de refinamento do projeto,
80
- os estudos de eficcia do custo,
- identificao dos riscos que impactam as fases subsequentes do ciclo de vida.
Conforme a atividade progride, o processo de avaliao de riscos pode ser utilizado para fornecer informaes que
auxiliem no desenvolvimento de procedimentos para condies normais e de emergncia.
5.4.4.7 Tipos de tcnicas do processo de avaliao de riscos
As tcnicas do processo de avaliao de riscos podem ser classificadas de vrias formas para auxiliar no entendimento
de seus pontos fortes e fracos relativos. A tabela no Anexo A correlacionam algumas tcnicas potenciais e suas
categorias para fins ilustrativos.
A seguir a tabela da descrio da tcnica com sua respectiva aplicao.
81
Tabela A1 Seleo de ferramentas e tcnicas para avaliao de riscos
Processo de avaliao de riscos
Identificao Anlise de riscos Avaliao

Ferramentas e tcnicas
de riscos Consequncia Probabilidade Nvel de risco de risco
Anlise de modos de falhas e

1 AA NA NA NA NA
efeito (IEC 68012)
Anlise crtica de modos de

2 AA AA AA AA AA
falhas e efeito (IEC 68012)
Anlise de rvore de falhas

3 A NA AA A A
(IEC 61025)
Estudos de perigo e
4 AA AA A A A
probabilidade (HAZOP)
Manuteno centrada em
5 AA AA AA AA AA
confiabilidade (IEC 60300-3-11)
6 Anlise de Markov (IEC 61665) A AA NA NA NA
Anlise de confiabilidade
7 AA AA AA AA A
humana
Anlise preliminar de perigos

8 AA NA NA NA NA
(APP)
Anlise de rvore de eventos

9 A AA A A NA
(ETA)
82

10 Brainstorming AA NA NA NA NA
Entrevistas estruturadas ou
11 AA NA NA NA NA
semiestruturadas
12 Tcnica de Delphi AA NA NA NA NA
13 Checklist AA NA NA NA NA
Matriz de probabilidade /
14 AA AA AA AA A
consequncia
Anlise de camadas de
15 Aw AA A A NA
proteo (LOPA)
Tcnica estruturada de What If?

16 AA AA AA AA AA
(SWIFT)
17 Anlise de rvore de decises NA AA AA A A
18 Anlise de gravata borboleta NA A AA AA A
19 Simulao de Monte Carlo NA NA NA NA AA
20 Anlise causa raiz (RCA) NA AA AA AA AA
83

Anlise de perigos e pontos

21 AA AA NA NA AA
crticos de controle (HACCP)
22 Avaliao de riscos ambientais AA AA AA AA AA
23 Anlises de cenrios AA AA A A A
Anlise de impacto nos

24 A AA A A A
negcios (BIA)
Anlise de causa e
25 A AA AA A A
consequncia
26 Anlise de causa e efeito AA AA NA NA NA
27 Anlise de circuitos ocultos A NA NA NA NA
Estatstica Bayesiana e redes

28 NA AA NA NA AA
Bayes
A tabela acima mostra a aplicao das tcnicas em cada etapa do processo de avaliao de riscos, definida como Altamente Aplicvel AA, Aplicvel A ou No Aplicvel NA.
84
6. CONCEITO DE RISCO
APETITE AO RISCO
6.1 Introduo
Todas as melhores prticas descritas no captulo anterior sugerem de forma direta que os gestores devem avaliar o
apetite a risco da organizao ao analisarem as estratgias, definindo os objetivos a elas relacionados e desenvolverem
mecanismos para gerenciar os respectivos riscos. Nesse caso especfico a gesto de riscos torna-se uma funo
estratgica, pois ajuda a empresa a criar valor em suas operaes. Para isso tem que assumir certos riscos. Isso
parte inerente de qualquer tipo de negcio.
Para obter os resultados desejados, as empresas modernas, no mundo VUCA, necessitam gerenciar seus riscos, e
para poderem fazer com eficcia devem possuir um processo estruturado, com metodologia e critrios estabelecidos,
devem possuir um sistema de gerenciamento de riscos corporativos.
85
Um ponto relevante da engrenagem do sistema de gerenciamento de riscos corporativos que deve estar definido e
implementado em toda a empresa a fixao do seu apetite aos riscos. Ento podemos perguntar: o que Apetite
ao Risco?
Apetite ao risco a quantidade de risco que a empresa deseja assumir para conseguir atingir seus objetivos. Ou
podemos dizer tambm que apetite ao risco a quantidade de riscos, no sentido mais amplo, que uma organizao
est disposta a aceitar em sua busca para agregar valor. O apetite ao risco reflete toda a filosofia administrativa de
uma organizao e, por sua vez, influencia a cultura e o estilo operacional desta.
A fixao do apetite ao risco permite determinar na empresa o binmio risco x benefcio, controlar e manter os riscos
em nveis desejados. Para tanto, a fim de possibilitar a concretizao de gerao de valor nas organizaes, estas
devem fazer um balano entre riscos x oportunidades x apetite ao risco, e, servir de guia para a tomada de decises,
alocao de recursos e a definio do alinhamento de toda empresa para a busca dos objetivos fixados, permitindo
fazer um monitoramento das aes, resultados e dos nveis de riscos associados.
Muitas organizaes consideram esse apetite de forma qualitativa, categorizando-o como elevado, moderado ou baixo,
enquanto outras organizaes adotam uma abordagem quantitativa que reflete e equilibra as metas de crescimento,
retorno e risco. Uma organizao dotada de um maior apetite ao risco poder desejar alocar grande parcela de seu capital
para reas de alto risco como mercados recm-emergentes. Por sua vez, uma organizao com um reduzido apetite a
risco poder limitar seu risco de curto prazo investindo apenas em mercados maduros e mais estveis.
O apetite ao risco est diretamente relacionado estratgia da organizao e levado em conta na ocasio de definir
as estratgias, visto que estas expem a organizao a diferentes riscos. O gerenciamento destes ajuda a administrao
a selecionar uma estratgia capaz de alinhar a criao de valor com o apetite a risco.
O processo de fixao do apetite ao risco especfico para cada empresa, tendo em vista que no existe um valor ou
uma frmula mgica prefixada que determina o respectivo apetite. A responsabilidade dessa definio do Conselho
de Administrao da Empresa, sugerido pela Diretoria Executiva, por meio do seu Presidente. Temos que levar em conta
que a natureza dos riscos, do ambiente de negcios, o ambiente interno da organizao, as estratgias e os objetivos
de negcio, so organismos vivos que podem e devem ser revistos sempre, pois esto em constantes mutao.
86
6.2 Tolerncia e Capacidade ao Risco
Na determinao do apetite ao risco temos que possuir outras duas mtricas que so a tolerncia e a capacidade
da empresa. Desse modo, enquanto o apetite o nvel de risco que a empresa quer aceitar, aquele com que se sente
cmoda, aquele onde os gestores podem aceitar e trabalhar com tranquilidade. J a tolerncia o desvio do nvel
do apetite ao risco. Por sua vez, a capacidade de assumir riscos, ser o nvel mximo de risco que a organizao
pode suportar na perseguio aos seus objetivos. Assim a tolerncia ao risco servir como um alerta para evitar que
a empresa chegue ao nvel estabelecido por sua capacidade, algo que colocaria em perigo a continuidade de seus
negcios. O grfico abaixo demonstra os trs nveis e suas explicaes.
Fonte: La Fbrica de Pensamiento Instituto de Auditores Internos de Espaa
87
Outro exemplo que podemos dar na prpria Matriz de Riscos, com mtricas qualitativas. Na Matriz de Riscos
abaixo, a empresa possui a Poltica de Riscos como apetite os quadrantes laranjas (quadrantes com os nmeros 1),
tendo os gestores que fazer Planos de Aes. A empresa no aceita e no Tolera (Tolerncia) riscos nos quadrantes
vermelhos. Porm, os riscos plotados nos quadrantes com os nmeros dois (2) so considerados no nvel de
Tolerncia e os riscos plotados nos quadrantes com o nmero trs (3) a Capacidade mxima.
ELEVADA
5 1 1 2 3 3
1 1 2 3
MUITO
ALTA
1 2 2
ALTA
3
Probabilidade
1 2
MDIA
1 1
BAIXA
MUITO LEVE LEVE MODERADO SEVERO MASSIVO
1 2 3 4 5
Impacto
88
O que isso significa na realidade? Que os riscos nos quadrantes vermelhos no so tolerados nessa empresa. Os
gestores devem fazer um esforo para que esses riscos no fiquem nos quadrantes vermelhos. A diferena entre a
Tolerncia e a Capacidade o nvel de alerta para a criticidade, priorizao e alocao de recursos, visando diminuir
as possibilidades de concretizao e respectivos impactos.
A grande importncia de se ter as mtricas qualitativas e ou quantitativas de apetite, tolerncia e capacidade

ao risco definidas que com essas definies claras e objetivas a organizao est protegida de um gerente geral
e ou diretor por exemplo ultrapassar o limite imposto. Essas definies devero constar na Poltica de Gesto de
Riscos da organizao, aprovada pelo Conselho e/ou Presidente da Empresa, evitando, dessa forma, quaisquer tipos
de questionamento.
89
7. CONCEITO DE RISCO
RISCO INERENTE E
RISCO RESIDUAL
Todas as melhores prticas citadas no captulo 5 sugerem, de forma enftica, que a empresa deve realizar duas
avaliaes de riscos em seus processos corporativos. So elas a avaliao de riscos inerentes e residuais. Para
isso temos tambm que entender o conceito de apetite ao risco, pois este ser o principal balizador das respostas
aos riscos.
Risco Inerente
Risco inerente o risco que uma organizao ter de enfrentar na falta de medidas que a administrao possa adotar
para alterar a probabilidade ou o impacto dos eventos. o risco associado ao negcio e existe independentemente de
qualquer ao tomada para sua reduo.
90
Avaliar o risco inerente significa avaliar a probabilidade e impacto da ocorrncia de um risco, desconsiderando-se a
estrutura de controles atual. Portanto, avaliamos os riscos sem levar em considerao seus controles preventivos ou
contingenciais.
Risco Residual
Risco residual aquele que ainda permanece aps a resposta da administrao. o risco remanescente aps a
implementao de atividades de controle que visam reduzir sua probabilidade e/ou impacto.
A avaliao de riscos aplicada primeiramente aos riscos inerentes. Aps a implantao de controles e ou sua
avaliao em termos de eficcia, o gestor passar a considerar se seus riscos residuais esto dentro do apetite ao
risco da empresa. Se estiver dentro do apetite ao risco, o gestor ir apenas monitorar, se estiver fora do apetite ao
risco, ter que implantar, desenhar novos controles, at que o residual do risco esteja dentro do respectivo apetite.
No grfico a seguir temos uma representao do risco inerente e residual.
Outro conceito importante que a diferena entre o risco inerente com o risco residual gera o resultado da eficcia
dos controles. Para o risco de fraude e aplicao de uma auditoria baseada em risco, esse processo implementado
de suma importncia.
91
,
Risco Residual
Exposio Residual: exposio

Reduo de risco inerente
ao risco aps tomar as medidas
em funo do nvel de
julgadas adequadas - Redutor
controle existente
Atuante do nvel de risco
Em funo do nvel de risco residual

Redutor de nvel de risco Intermedirio e de seu apetite ao risco, o gestor
poder sugerir novos controles para
reduzir a exposio residual e
alinhar com o apetite estabelecido.
Insuficiente
92
8. CONTROLES INTERNOS E
A GESTO DE RISCOS
8.1 Definio de Controle Interno
O controle interno definido, segundo o COSO I, como sendo:
um processo efetivado pelo conselho de diretores de uma entidade, pela gesto e outro pessoal, designado a fornecer
garantia razovel com relao conquista de objetivos relacionados a operaes, relatrio e concordncia. Essa definio
reflete certos conceitos fundamentais. O controle interno :
voltado para a conquista dos objetivosem uma ou mais categorias operaes, relatrios e cooperao
um processo consistindo de tarefas em atividades em andamento um meio para um fim, no um fim em si
93
efetivado por pessoas no merame sobre manuais de poltica e procedimento, sistemas e formulrios, mas sobre
pessoas e as aes que elas empreendem a todos os nveis de uma organizao para afetar o controle interno
capaz defornecer garantia razovel mas nenhuma garantia absoluta a uma gesto snior da entidade e um conselho
de diretores
adaptvel estrutura da entidade flexvel na aplicao para a entidade inteira ou para uma subsidiria particular,
diviso, unidade operacional ou processo comercial
Essa definio intencionalmente ampla. Ela captura os conceitos importantes que so fundamentais em relao a
como as organizaes designam, implementam e conduzem os controles internos, fornecendo uma base para a aplicao
por meio das organizaes que funcionam em diferentes estruturas, indstrias e regies geogrficas da entidade.
8.2 Integrao do Controle

Interno com a Gesto de Riscos
O processo de gesto de riscos deve estabelecer os requerimentos para um sistema eficaz de controle interno. Um
sistema eficaz fornece garantia razovel com relao conquista dos objetivos da organizao. Um sistema eficaz de
controle interno reduz, a um nvel aceitvel, o risco de no conseguir o objetivo da organizao. Ele requer que:
os princpios relevantes do processo de gesto de riscos esteja presente e funcionando. Presente se refere determi-
nao de que os componentes estejam implementados para conquistar os objetivos especificados. Funcionando se
refere determinao de que os princpios relevantes continuem a existir nas operaes e nos processos.
os princpios do processo de gesto de riscos funcionam juntos e de uma forma integrada. Funcionar juntos se refere
determinao de que todos os princpios reduzam, a um nvel aceitvel, o risco de no conquistar os objetivos. Os compo-
nentes do processo de gesto de riscos so interconectados, particularmente na forma pelas quais os princpios interagem
dentro e por meio deles.
94
quando um sistema de controle interno determinado como sendo eficaz, a gesto snior e o conselho de diretores pos-
suem uma garantia razovel, relativa aplicao dentro da estrutura da entidade, de que a organizao:
conquista operaes eficazes e eficientes quando os eventos externos so considerados improvveis de possurem impacto
significante sobre a conquista dos objetivos ou onde a organizao possa predizer razoavelmente a natureza e a durao
dos eventos externos e mitigar o impacto a um nvel aceitvel.
compreender a extenso a qual as operaes so administradas eficazmente e eficientemente quando os eventos externos
possam ter um impacto significante sobre a conquista dos objetivos ou onde a organizao possa predizer razoavelmente a
natureza e a durao dos eventos externos e mitigar o impacto a um nvel aceitvel.
prepara relatrios em conformidade com as regras, regulamentos e normas aplicveis ou com os objetivos de relatrio
especificados da entidade
concorda com as leis, as regras, os regulamentos e as normas externas aplicveis
O processo de gesto de riscos da empresa deve realizar, de forma contnua, o julgamento na projeo, implementao
e conduo do controle interno e na avaliao de sua eficcia. O uso do julgamento, dentro das fronteiras estabelecidas
pelas leis, regras, regulamentos e normas, melhora a habilidade da gesto de tomar decises melhores acerca do
controle interno, mas sem garantir resultados perfeitos.
O processo de gesto de riscos da organizao tem que reconhecer, fazendo parte da boa prtica de mercado, que
embora o controle interno fornea garantia razovel de conquistar os objetivos, as limitaes existem. O controle interno
no pode prevenir o mal julgamento ou as ms decises, ou os eventos externos que podem fazer uma organizao
falhar em conquistar os seus objetivos operacionais. Em outras palavras, mesmo um sistema eficaz de controle interno
pode experimentar uma falha. As limitaes podem resultar de:
adequao de objetivos estabelecidos como uma precondio ao controle interno;
realidade de que o julgamento humano na tomada de deciso pode ser defeituoso e sujeito a preconceito;
rupturas que possam acontecer por falhas humanas, como erros simples;
habilidade da gesto em substituir o controle interno;
95
habilidade da gesto, outro pessoal, e/ou terceiros em lograr os controles por meio do conluio;
eventos externos alm do controle da organizao.
Essas limitaes impedem o conselho e a gesto de possuir uma garantia absoluta da conquista dos objetivos da
entidade isto , o controle interno fornece garantia razovel, mas no absoluta. No bastasse essas limitaes
inerentes, a gesto deve estar ciente delas quando selecionar, desenvolver e empregar controles que minimizem,
extenso prtica, essas limitaes.
Isso muito importante, pois no existe sistema e processo considerado infalvel. A empresa e seus gestores devem
estar cientes que risco zero nunca vai existir, a no ser que a organizao no faa ou pratique a operao no seu
mercado. A inerncia do risco sempre ir existir.
96
9. FASES DO PROCESSO DE
GESTO DE RISCOS
CORPORATIVOS
MTODO BRASILIANO
O processo de Gesto de Riscos Corporativos, Mtodo Brasiliano Avanado, possui o framework adaptado da ISO
31000, porm todo o seu contedo, o como fazer com mtricas e ferramentas, possui os fundamentos integrados do
COSO I e II e da ISO 31000, utilizando ferramentas e tcnicas da ISO 31010.
Optamos por um framework integrado tendo em vista nossa experincia de 28 anos no mercado, em identificar que as
trs estruturas (COSO I, II e ISO 31000) possuem suas caractersticas prprias, mas juntas consideramos imbatveis
em termos de abrangncia e cobertura para todas as disciplinas de riscos.
A cara do framework foi adaptado da ISO 31000 porque o processo de comunicao e consulta muito mais profundo
e abrangente, possuindo uma filosofia de sensibilizao e capilarizao em toda a organizao e seus usurios, por meio de
programas de endomarketing, alm, claro, de dar tambm relevncia com os relatrios para todas as partes interessadas.
97
Nosso processo possui sete fases, conforme descrito abaixo:
Comunicao e Consulta
Contexto Estratgico
Identificao de Riscos
Anlise e Avaliao de Riscos Inerente
Anlise e Avaliao de Riscos Residual
Respostas aos Riscos
Monitoramento e Anlise Crtica
Na proxima pgina, o framework com os principais elementos do Processo de Gesto de Riscos Corporativos, Mtodo
Brasiliano Avanado.
Ressaltamos o emprego da realizao da anlise do risco inerente, sem levar em considerao os controles e/ou
sistemas de segurana, e depois a realizao da anlise do risco residual.
Nessa fase anlise do risco residual h necessidade de fazer uma avaliao da eficcia dos controles existentes e
operacionalizados para identificar se houve reduo da inerncia do risco. A ISO 31000 no enftica nesse quesito,
sendo que os COSO I e II sempre reforaram a importncia da realizao das duas avaliaes (inerente e residual).
98
Processo de Gesto e Anlise de Riscos - Mtodo Brasiliano
99

10. COMUNICAO
E CONSULTA
10.1 Importncia da Comunicao

A comunicao e consulta so importantes aspectos a serem considerados em cada fase do processo de gesto e
anlise de riscos corporativos.
importante desenvolver um plano de comunicao com as partes envolvidas internas e externas, logo no primeiro
estgio do processo.
A comunicao envolve dilogo entre as partes envolvidas, tendo como foco a consulta e no somente a comunicao
de via nica.
100
A comunicao interna e externa eficaz importante para assegurar que os responsveis pela implementao
da gesto de riscos e os investidores compreendam as bases sobre as quais as decises so tomadas, e porque
determinadas aes so necessrias.
A percepo do risco pode variar em funo de diferentes hipteses, conceitos e necessidades, e de questes e
interesses das partes envolvidas, por estarem relacionados ao risco ou aos assuntos em discusso.
As partes envolvidas tendem a julgar a aceitabilidade de um risco baseadas em sua prpria percepo do risco.
Uma vez que as partes envolvidas podem ter um impacto significativo nas decises tomadas, importante que sua
percepo do risco, bem como sua percepo dos benefcios, seja identificada e documentada, e as razes subjacentes,
compreendidas e abordadas.
10.2 Conceito de Endomarketing

Endomarketing um conceito que objetiva fortalecer as relaes internas da empresa. O endomarketing consiste
em realizar aes de marketing voltadas para seu pblico interno, com a finalidade de promover a integrao entre
os variados departamentos da organizao, visando compartilhar, no caso da gesto e anlise de riscos corporativos,
a importncia do processo de gerenciamento de riscos e que o dono do processo o dono do risco. O programa de
endomarketing tem de vender o conceito que a primeira linha de defesa a dona do risco, sem o engajamento da
primeira linha de defesa, a empresa fica extremamente vulnervel. A campanha ter que passar esse primeiro conceito
e depois a segunda linha de defesa, a rea de gesto de riscos, compliance e controles internos, realizar palestras e
treinamentos na metodologia com os critrios definidos em seu processo estruturado de gesto de riscos.
Como um dos objetivos do endomarketing a integrao, em que o pblico interno ir melhor interagir, cumprindo
com os objetivos da gesto e anlise de riscos corporativos com maior facilidade. O ferramental primordial o
treinamento e a divulgao. O treinamento interno motiva e valoriza as variadas funes dos colaboradores, visando
conquistar a confiana e maximizar a produtividade. J a divulgao faz com que todos os resultados e as metas
101
do processo de gesto e anlise de riscos estejam sendo circulados, reforando os critrios e a metodologia do
processo de GR, bem como interage todos os funcionrios, fazendo com que haja um sentimento de time, de equipe.
Todos se sentem comprometidos.
10.3 Endomarketing Especfico para Gesto de Riscos

O profissional de gesto de riscos, auditoria e de segurana necessitam entender e saber utilizar os recursos que
possuem, para poder sobressair e destacar o processo, reforando as medidas preventivas e proativas.
O endomarketing na gesto de riscos um trabalho de conscientizao dos riscos e de seus controles e sistemas.
um grande desafio para o departamento de marketing e recursos humanos implementar com a gesto de riscos um
programa eficiente e prtico.
O grande desafio saber vender que o processo de gesto e anlise de riscos corporativos ser til para todos
os usurios, pois tero condies de possuir uma viso de antecipao aos possveis problemas. Com essa viso
os colaboradores passam a prospectar cenrios de riscos, agindo de forma proativa e no somente reagindo aos
problemas. H a necessidade da implementao do endormarketing para que possa ser compreendido e haja uma
forte colaborao por parte do seu pblico interno.
O endomarketing na gesto e anlise de riscos possui trs premissas bsicas:
1. o pblico-alvo de sua campanha so todos os colaboradores da organizao, considerados como clientes internos. Como
todo cliente, este s pode ser conquistado e retido com um servio de qualidade;
2. o cliente interno como o externo possui expectativas e estas devem ser superadas, portanto, a gesto de riscos tem de
compreender a expectativa e a cultura dos colaboradores para realizar um ajuste fino no programa de divulgao;
3. a excelncia da operacionalizao do processo de gesto e anlise de riscos corporativos significa envolver os colabora-
dores e compromet-los com os objetivos do GR.
102
Essas trs premissas trazem como consequncia direta o entendimento por parte dos colaboradores do que a
Gesto e Anlise de Riscos e sua funo. O endomarketing passar a estimular o GR nos seguintes aspectos:
conscientizao da importncia na preveno dos sistemas e processos existentes;
orientao para o pblico interno em respeitar normas e procedimentos.
A Gesto de Riscos de Fraudes deve planejar o processo de comunicao como parte integrante da sua Poltica.
O processo de endomarketing deve ser realizado em conjunto com os departamentos de Recursos Humanos e
marketing, pois necessita conhecimento e informao especficos do pblico interno, informaes essas que o RH
j deve possuir.
Deve-se ter em mente que o treinamento a principal alavanca do processo de endomarketing. O treinamento precisa
ser percebido como momento timo para o envolvimento do colaborador, para valoriz-lo como pessoa e compromet-
lo com os objetivos da empresa. O treinamento sempre um investimento com retorno garantido em termos de
qualidade, excelncia e dedicao.
A empresa que no puder se vender para seu pblico interno tampouco vender para o externo. E isso muito
perigoso em uma poca de competitividade agressiva e grande turbulncia, como a que estamos vivendo.
Um programa de endomarketing transmite confiana e credibilidade, ao mesmo tempo em que os valores

compartilhados pela cultura organizacional iro com certeza incentivar a postura proativa em vez da reativa,
assumindo, dessa forma, um papel cada vez mais criativo, sugerindo solues viveis e lutando para que toda a
organizao possa cumprir seus objetivos.
10.4 Fases do Programa de Comunicao

A seguir, um framework com as fases de um programa completo de comunicao, que a rea de gesto de riscos
deve operacionalizar.
103
DIAGNSTICO
1
Avaliao do ambiente interno
Perfil do pblico-alvo Funcionrio
Imagem da Segurana
Expectativas e Aspiraes
DESENHO DO PROGRAMA
2 Estratgias de Comunicao
Objetivos Especficos
Ferramentas Necessrias
3 FASES DE IMPLANTAO
Exploratria Piloto
CONTROLE E AVALIAO
4 Medio dos Objetivos
Comparao
104
10.5 Exemplo de um Programa de Comunicao
1. Objetivo
Tem como objetivo principal informar e conscientizar os empregados sobre a sua importncia e engaj-los no processo de gesto de
riscos da BRASUCA, colaborando e contribuindo com informaes corretas, e participando ativamente do desenvolvimento do processo.
2. Pblico-Alvo
Aplica-se a todos os empregados da Gerncia de Riscos Corporativos e Comunicao Corporativa da BRASUCA.
3. Documentos Referenciados
P 01.258 Poltica de Gesto de Riscos Corporativos.
PR 01.05 Processo de Gesto de Riscos Corporativos.
4. Definies
Comunicao e consulta: processo contnuo e interativo que uma organizao conduz para fornecer, compartilhar ou obter
informaes e se envolver no dilogo com as partes interessadas e outros, com relao a gerenciar riscos.
Gesto de riscos: atividades coordenadas para dirigir e controlar uma organizao no que se refere a riscos.
5. Descrio da Metodologia
5.1. Viso Geral da Comunicao Corporativa sobre a Gesto de Riscos
O processo de comunicao de risco est primeiramente fundamentado na estrututura de controle da ISO 31000,
baseado nos prncipios da Comunicao e Consulta e dirigido s fases do framework a seguir.
105
5.2 Comunicao e Consulta
A Comunicao e a Consulta so as formas de estabelecer contato e relacionamento com os pblicos de

interesse da BRASUCA, internamente com os empregados e demais colaboradores contratados, e externamente,
com os stakeholders como: clientes, fornecedores, parceiros, entidades, associaes, ONGs, governo, imprensa,
comunidades, entre outros.
106
A Comunicao deve acompanhar todo o processo de levantamento de informaes e anlise de riscos. Ela
extremamente estratgica, porque tem a funo precpua de informar e sensibilizar cada um dos envolvidos no processo,
para que o programa alcance os melhores resultados.
A Consulta faz parte da comunicao com a funo de realizar o levantamento de informaes a partir do encontro
com os funcionrios e representantes da empresa envolvidos no processo de desenvolvimento do Gerenciamento
de Riscos.
Ela tem como finalidade obter informaes referentes a existncia, natureza, forma, probabilidade, impacto, avaliao,
aceitabilidade, tratamento ou outros aspectos da gesto de riscos.
As informaes colhidas por meio da Consulta embasam e orientam as partes no processo de tomada de deciso ou
de definio da direo a respeito de uma questo especfica.
A Comunicao e a Consulta so extremamente importantes porque combinadas promovem a compreenso e a

colaborao necessria para o conhecimento da realidade da empresa, seus riscos e suas necessidades, permitindo
que a equipe de desenvolvimento, os auditores, os consultores e os profissionais da BRASUCA construam um programa
consistente e eficaz.
5.3 Identificao e Estabelecimento do Contexto
Paralelamente campanha de lanamento, a equipe de Comunicao dever fazer o estudo do ambiente interno e
externo para a elaborao dos materiais das polticas de comunicao e preveno de riscos.
Essa ao ter como finalidade identificar os elementos, as caractersticas e suas variveis dos dois pblicos
simultaneamente. Dever identificar todos os fatores que estejam associados e impliquem o controle e o gerenciamento
dos riscos existentes, a fim de estabelecer o escopo e os critrios de gesto.
5.3.1 Contexto Interno
No contexto interno o processo de comunicao dever considerar o estudo administrativo, poltico e estratgico do
ambiente como, por exemplo, identificar e analisar:
107
Misso, viso e valores;
Polticas administrativas, de recursos humanos, sociais e ambientais;
Filosofias de negcios;
Cultura organizacional.
Alm disso, deve levantar tambm as polticas de comunicao corporativa e interna, a partir de seus planos,
programas, projetos, meios e veculos.
A anlise do contexto interno deve incluir especificamente tambm:
Governana, estrutura organizacional, funes e responsabilidades;
Polticas, objetivos e estratgias implementadas para atingi-los;
Capacidades compreendidas em termos de recursos e conhecimento (por exemplo: capital, tempo, pessoas, processos,
sistemas e tecnologias);
Percepes e valores de cada rea e setores internos;
Sistema de informao, fluxos de informao e processos de tomada de deciso (tanto formais quanto informais);
Nveis e prticas de relacionamentos internos entre reas e setores e suas percepes e seus valores;
Normas, diretrizes e modelos adotados pela organizao para processos e procedimentos;
Modelos, formas e nveis de abrangncia e extenso das relaes contratuais.
Todas as informaes levantadas e os materiais coletados devero ser analisados sob o ponto de vista de sua
utilizao para a criao das polticas de Gesto e de Comunicao de Riscos.
5.3.2 Contexto Externo
As aes de comunicao para o pblico externo devem ser definidas previamente e de acordo com as polticas de
comunicao da empresa e dos procedimentos orientados por sua cultura organizacional.
108
A campanha deve ter como objetivos:
Informar os principais pblicos de relacionamento com a empresa sobre o gerenciamento de riscos.
Orientar e conscientizar os representantes dos pblicos externos sobre a importncia do gerenciamento de riscos.
Posicionar a BRASUCA no mercado e fortalecer sua imagem corporativa
A campanha deve adotar como estratgia, a abertura de canais de comunicao diretos com os principais pblicos
de interesse e ser orientada para cada um desses pblicos, de acordo com suas caractersticas, seus interesses e
suas necessidades.
Os canais de comunicao que devem ser abertos so:
Assessoria de imprensa
Relacionamento direto com:
Clientes
Fornecedores
Entidades e Associaes
Comunidades ONGs
Relaes Governamentais
rgos Reguladores
5.4 O Processo de Comunicao
Para alcanar os resultados, o processo de comunicao deve permear todo o plano de desenvolvimento de anlise de
riscos at a fase de instalao do programa e permanecer ativo aps seu desenvolvimento. Ele de tal modo estratgico, que
sem a comunicao no poder existir o processo de gerenciamento de riscos, uma vez que se no houver sensibilizao,
no haver a participao necessria e desejada para o desenvolvimento adequado e pleno gerenciamento de riscos.
109
As aes do Plano de Comunicao e Consulta serviro para orientar todos os empregados e equipes e conscientiz-
los da importncia do processo em relao ao nvel de informao que devem absorver e o que devem fornecer aos
gestores de risco durante o processo de criao e implantao das polticas. Alm disso, deve servir para mant-los
envolvidos direta e posteriormente, para que possam agir corretamente diante de qualquer tipo de ocorrncia, seja
um indcio, seja uma crise ou uma emergncia.
Para a alta administrao e a rea de Gesto de Riscos Corporativos, o programa de comunicao deve conter todo o
direcionamento para as reas de negcios da BRASUCA e deve ser entendido e implantado por inteiro, pois seu contedo
deve contemplar a orientao estratgica do processo de gerenciamento de riscos e da Comunicao de Crises.
Para as demais reas e empregados, ele deve conter os mecanismos para envolver os funcionrios numa ao
conjunta que alimentar os grupos que estaro administrando o processo.
Para o pblico externo, ele deve estar preparado para mant-los bem-informados e harmonizados a fim de que
o processo caminhe de modo a receber a compreenso desses pblicos e, eventualmente, a contribuio que for
esperada deles nos objetivos do programa.
5.4.1 O Plano de Comunicao
O plano de comunicao deve ser estruturado para ser implantado com o pblico interno e externo e deve ter os
seguintes objetivos:
PBLICO INTERNO
Orientar e conscientizar o empregado sobre a importncia do programa;
Envolver e comprometer o empregado no processo.
PBLICO EXTERNO
Informar os principais pblicos de relacionamento com a empresa sobre o plano de riscos.
Orientar e conscientizar os representantes dos pblicos externos sobre a importncia dos riscos.
Posicionar a empresa no mercado e fortalecer sua imagem corporativa.
110
O plano de comunicao deve ter trs nveis de atuao e desenvolvimento:
Implantao e acompanhamento do programa de riscos.
Criao do manual de comunicao de crise.
Acompanhamento do processo de implantao da Poltica de Gesto de Riscos.
O procedimento para implantao dos trs nveis deve ser feito a partir da criao de uma Campanha de Comunicao,
que ter como aes:
Lanamento do programa;
Divulgao dos processos e passos de implantao;
Estudo do ambiente interno;
Estudo do ambiente externo;
Criao dos meios de comunicao;
Implantao dos meios e processos de informao.
5.4.2 Campanha de Comunicao
5.4.2.1 Lanamento e Desenvolvimento da Campanha
A BRASUCA far primeiro o lanamento interno da campanha, j que se trata de pblico estratgico e prioritrio, uma
vez que ele agente de integrao e colaborao no processo.
A campanha utilizar os recursos existentes de comunicao interna e tambm criar outros que forem necessrios
e adequados para transmitirem a mensagem do programa.
Os principais meios e veculos de comunicao a serem utilizados so:
Intranet, infos eletrnicas, blogs, twitters, vdeocast e podcasts;
111
E-mails, e-mails marketing, filmes e vdeos ilustrativos e educativos;
Flderes, banners, cartazes, jornal interno, revista e jornal mural.
A campanha deve ser dirigida a todos os empregados, prestadores de servio, parceiros da BRASUCA e desenvolver
a disseminao das informaes de forma geral, vertical e horizontal.
5.4.3 Redes de Comunicao
Alm da campanha por meio dos veculos, que disseminar todas as informaes, a equipe de comunicao
dever tambm desenvolver processos de relacionamento com a implantao de redes de comunicao, preparando
empregados de departamentos para serem agentes de comunicao, propagadores e coletores de informaes, a fim
de levarem as informaes s equipes e aos colegas de trabalho e tambm trazerem feedback para o comando da
equipe e do programa.
5.4.4 Grupos de Comunicao
Do mesmo modo que as redes, os grupos funcionam para serem articuladores das informaes, agindo de maneira
organizada em grupos de discusso e debates em torno dos temas que envolvem o programa. Os integrantes do
grupo, aps as reunies temticas, passam a ter a funo de disseminadores das informaes em suas reas e
equipes de trabalho.
Essa atividade de extrema importncia para o desenvolvimento do programa e seus objetivos, porque tem a
caracterstica de disseminar as informaes em todo o ambiente da BRASUCA e estimular os demais empregados
participao efetiva no programa.
J as aes especficas, que fazem parte do processo de consulta, devero tratar objetivamente os temas do
programa e terem como meta levantar com detalhes as informaes pesquisadas pelos consultores para alimentar
o programa de gesto de riscos. Para que alcancem os resultados desejados e de maneira rpida, essas aes
devem ser desenvolvidas e dirigidas aos grupos definidos como estratgicos, que atuaro diretamente no processo de
levantamento de informaes e consulta.
112
Para essas aes especficas, a equipe de comunicao deve desenvolver atividades com os grupos selecionados,
como encontros, seminrios e workshops. Essas atividades tm a finalidade de envolver o empregado e faz-lo vivenciar
os temas que esto sendo tratados.
5.4.5 Seminrios
Alguns assuntos e casos devero ser discutidos em maior profundidade. Para isso devem ser criados e organizados
seminrios temticos, que devem ir desde as filosofias e os princpios organizacionais como viso, misso e valores e
polticas e diretrizes organizacionais permeando os temas desenvolvidos pelo programa de gesto de riscos.
5.4.6 Workshops
Outros assuntos tcnicos que precisam ser compreendidos em profundidade com seus respectivos procedimentos
devem ser tema e objeto de workshops dirigidos a chefias, tcnicos, gerentes e diretores.
As Redes e os Grupos de Comunicao, os Seminrios e Workshops devero ter como objetivo transferir informaes
orientadas para que sejam discutidas em profundidade e analisadas de acordo com a experincia de cada integrante,
a fim de que passem a fazer parte da rotina de cada um de seus participantes.
Assim, de modo geral, devem ser considerados os seguintes aspectos:
Alm das orientaes gerais comuns, cada empregado deve conhecer profundamente as orientaes especficas de sua
rea, dos grupos de risco e dos seus riscos especficos.
Devem conhecer tambm os procedimentos e as medidas gerais e as diferenas entre planos de emergncia, contingncia
e comunicao e suas aes especficas por grupo e tipo de risco.
5.5 Plano de Comunicao Continuidade do Processo
5.5.1 Campanha Dirigida
O processo de comunicao deve ser contnuo, mesmo aps o perodo de levantamento de informaes, ou seja,
de comunicao e consulta. Para isso, a empresa deve criar uma campanha dirigida com os temas propostos pelo
Processo de Gesto de Riscos. Essa campanha deve ser desenvolvida com os seguintes processos:
113
114

5.5.2 Campanha de Comportamento
A campanha ser estruturada para ser desenvolvida em trs conceitos
VALORES
Deve ser o primeiro conceito a ser discutido com todos os empregados para que eles entrem e faam uma imerso
do ambiente cultural da BRASUCA. As concluses e os resultados do debate devero ser divulgados da mesma forma
e por meio dos mesmos mecanismos de comunicao da campanha de Comunicao e Consulta.
COMPORTAMENTOS ORGANIZACIONAIS
A segunda fase ser aplicada com a realizao de encontros e seminrios semanais com grupos de 30 funcionrios
e tero como temas a serem conhecidos e debatidos os tpicos definidos pela Poltica de Gesto de Riscos.
BIA Business Impact Analysis Matriz de Processos Resumos dos Processos;
Identificao de Riscos no Processo Fluxograma Riscos no Processo Diagrama do C&E;
115
Swot Anlise de Risco Matriz Vulnerabilidade Nvel de Risco Priorizao das Aes;
Matriz de Priorizao Matriz de Responsabilidade Plano de Ao;
Risco Assumido Monitoramento do Risco.
Com a anlise desses temas permeando os seminrios, os grupos tero oportunidade de avaliar os comportamentos
organizacionais e compreender as atitudes praticadas luz da cultura e polticas organizacionais.
PROTEO
O debate entre os grupos dever caminhar para a anlise ponderada dos melhores comportamentos que, baseados nos
critrios da Gesto de Riscos, levaro a empresa, a partir das atitudes individuais e de grupos, assegurar um ambiente
de permanente controle dos riscos e, em funo disso, altamente protegida contra os riscos corporativos existentes.
116
ETAPAS DO PROGRAMA:
ANLISE DO AMBIENTE
Avaliar como e quanto s equipes esto preparadas e receptivas para assimilar os novos conceitos.
Trabalhar os conceitos organizacionais segmentados nas pessoas e suas percepes sobre riscos.
PREPARAO DO AMBIENTE
Trabalho com os lderes formais e naturais
Promover a aceitao natural das pessoas
Fomentar a discusso sobre os temas
CAMPANHA DE COMUNICAO
Iniciar a campanha com divulgao de teasers baseados na construo do processo.
Despertar a curiosidade das pessoas sobre o tema.
O teaser ser seguido de campanha com peas como: cartazes, banners, terminal de consulta, intranet, volantes explicativos,
matrias no jornal interno, vdeos.
Durante os primeiros dias, a coordenao da campanha dever criar Quiz sobre os temas a serem abordados e
disponibilizados nos meios de comunicao interna.
TREINAMENTO LDERES
Durante o perodo de lanamento da campanha, realizar encontro de toda liderana estratgica.
Essa atividade tem como finalidade alinhar o conhecimento da liderana sobre a Gesto de Riscos, pois as lideranas
integrantes desse grupo sero responsveis pela execuo das atividades seguintes. O encontro ter como formato:
Abordagem conceitual e estratgica
Abordagem tcnica e prtica
117
Esse trabalho existe tambm para ressaltar a importncia do Lder no processo, como tambm para prepar-los para
o relacionamento e para serem multiplicadores dos princpios e tpicos da Gesto de Riscos.
IMERSO E SENSIBILIZAO
Os lderes realizam reunies e encontros com suas equipes e tratam de temas divulgados pela campanha interna,
informando que sero organizados encontros para aprofundamento dos temas e assuntos da Gesto de Riscos.
ENCONTROS E SEMINRIOS
Os lderes sero responsveis por realizarem encontros/seminrios com suas equipes. Os encontros sero em
nmero suficiente para alcanar todo o grupo liderado. Dessa forma, toda a empresa ser envolvida e participar do
processo de discusso. Os encontros devero ter abordagem conceitual, estratgica e prtica e serem realizados com
aes de envolvimento com dinmicas e vivncias, analogias e cases. Basicamente desenvolver o estudo dos valores
e da cultura organizacional, os comportamentos e os princpios da Gesto de Riscos. O conceito-chave dos encontros
dever ser o mesmo do conceito geral:
Conhecimento, Comportamento e Proteo
CENTRAL DE INFORMAES
Durante todo o perodo de realizao da campanha, a rea de comunicao da BRASUCA, alm de participar
das atividades, dever fazer o devido acompanhamento do processo e criar as condies necessrias para que
os grupos e todos os funcionrios recebam regularmente informaes sobre o programa e possam tambm se
manifestar e buscar esclarecimentos sobre tudo o que est acontecendo, como informaes sobre o programa,
atividades, participao, etc.
Para isso, a rea de comunicao dever montar uma Central de Informaes, que ter como objetivo coordenar o
desenvolvimento das aes de comunicao e fazer o controle de todo o processo. A Central de Informaes dever
servir como um canal permanente de disseminao e recepo de informaes.
A Central de Informaes ser coordenada e gerenciada pela rea de comunicao da empresa e orientada e supervisionada
por um comit formado por representantes das demais reas, com prioridade para as reas de Auditoria e Administrao.
118
A Central de Informaes funcionar por meio da coordenao de um profissional que ser o coordenador de
comunicao do programa e dos grupos e redes de comunicao. Ele dever fazer atendimento pessoal e por meio
um canal direto como telefone (ramal fixo e celular) e-mail e virtual pela intranet da empresa. Desse modo, qualquer
funcionrio que desejar se comunicar para esclarecer ou tirar dvidas a respeito do processo ou ainda encaminhar
sugestes ou crticas, poder faz-lo por meio desses canais.
GRUPO DE ATUAO PERMANENTE
O grupo de atuao permanente tem como objetivo observar, avaliar e manter o processo implantado da Gesto de
Riscos presente na mente das pessoas e entre os grupos e departamentos. Ele estar a postos sempre que uma
determinada necessidade surgir em qualquer rea ou departamento da BRASUCA. Sempre que houver qualquer tipo de
necessidade ou ocorrncia, o grupo dever:
Orientar os colaboradores e contratados sobre os procedimentos a serem observados e mantidos.
Manter os funcionrios da BRASUCA informados sobre o status da situao geral.
Acionar os meios internos, por rea, para avaliar e tomar a deciso necessria quando for necessrio.
O grupo de atuao dever ser formatado da seguinte maneira:
Cada rea dever indicar um membro que far parte do grupo.
O grupo dever se reunir mensalmente para avaliar as condies de cada rea e trocar informaes sobre os fatos e acon-
tecimentos, em especial, sobre a manuteno de tudo o que foi discutido durante a fase de comunicao dos riscos.
5.6 Recomendaes Finais sobre a Implantao da Filosofia e Plano de Comunicao
Em linhas gerais, o processo que dever ser seguido no momento do lanamento da campanha, seja o da Comunicao
e Consulta, seja o da Comunicao Dirigida, deve levar em conta as seguintes fases:
Definir o tema geral da campanha e a estrutura para a necessidade do momento.
Preparar o cronograma de atividade e as fases de avaliao e reviso.
119
Preparar as peas definidas para o lanamento criao e produo.
O teaser deve ser divulgado alguns dias antes do lanamento da campanha. Nesse momento, os grupos de comunicao
iniciam seu trabalho de relacionamento com os demais funcionrios visando estimular as discusses sobre o que foi
divulgado na forma do teaser.
O grupo deve manter esse clima por uns dois ou trs dias. Durante esse perodo, a equipe de comunicao deve
soltar um e-mail ou colocar uma informao adicional nos meios de comunicao internos para estimulara curiosidade.
No dia do lanamento, a empresa deve amanhecer com os cartazes e banners todos colocados e inicia-se a campanha
com informaes mais detalhadas do tipo como e o que a campanha, seus objetivos, atividades, etc.
Nesse dia pode-se fazer um evento caf da manh, almoo, um grande encontro ou encontros menores por reas,
por exemplo. Os veculos como blog, jornal e quadro mural vo sendo utilizados com informaes que vo alimentando
as atividades e os debates sobre os temas definidos no roteiro do programa.
Os grupos de comunicao comeam a fazer as reunies, outras aes vo sendo implementadas de acordo com a
evoluo do programa.
As avaliaes e as correes de rumo devem ser realizadas periodicamente, pelo menos a cada semana.
120
5.6.1 Timeline de Implantao da Campanha (Exemplo)
121

11. CONTEXTO
ESTRATGICO
11.1 Generalidades
Ao estabelecer o contexto, a organizao articula seus objetivos e define os parmetros externos e internos a
serem levados em considerao ao gerenciar riscos, e estabelece o escopo e os critrios de risco para o restante
do processo.
Portanto, temos trs contextos a serem definidos e alinhados:
- O Contexto Empresarial Interno;
- O Contexto Externo Cenrios;
122
- O Contexto de Gesto de Riscos: Poltica e processo de gesto de risco;
- Identificao dos processos crticos.
11.2 Contexto Empresarial Ambiente Interno

A primeira etapa diz respeito compreenso dos objetivos estratgicos e organizacionais da empresa, compreendendo sua
cadeia de valor e respectivos Fatores Crticos de Sucesso. importante que a rea de gesto de riscos esteja alinhada com os
objetivos estratgicos da empresa, seguindo as premissas da ISO 31000 e do COSO II, entendendo suas polticas, objetivos,
misso, valores e estratgias implementadas na organizao. Com base na misso estabelecida, a administrao planeja
objetivos principais, seleciona as estratgias e estabelece outros planos a serem adotados por toda a organizao, alinhados
com a estratgia e a ela vinculados. Embora muitos objetivos sejam especficos a uma determinada organizao, alguns
deles so amplamente compartilhados. Por exemplo, os objetivos comuns a praticamente todas as entidades so alcanar e
manter uma reputao favorvel tanto no segmento empresarial quanto com seus clientes, fornecer informaes confiveis s
partes interessadas e operar em conformidade com as leis e a regulamentao. A rea de gerenciamento de riscos deve estar
alinhada com todas essas premissas estratgicas da organizao, por esta razo do entendimento estratgico da empresa.
A ISO 31000 descreve sobre o ambiente interno das empresas o seguinte: O contexto interno algo dentro da
organizao que pode influenciar a maneira pela qual uma organizao gerenciar os riscos. Convm que ele seja
estabelecido, porque:
a. a gesto de riscos ocorre no contexto dos objetivos da organizao;
b. convm que os objetivos e os critrios de um determinado projeto, processo ou atividade sejam considerados tendo como
base os objetivos da organizao como um todo; e
c. algumas organizaes deixam de reconhecer oportunidades para atingir seus objetivos estratgicos, de projeto ou de neg-
cios, o que afeta o comprometimento, a credibilidade, a confiana e o valor organizacional.
123
necessrio compreender o contexto interno. Isso pode incluir, mas no est limitado:
- governana, estrutura organizacional, funes e responsabilidades;
- s polticas, objetivos e estratgias implementadas para atingilos;
- s capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos,
sistemas e tecnologias);
- aos sistemas de informao, fluxos de informao e processos de tomada de deciso (formais e informais);
- s relaes com as partes interessadas internas, e suas percepes e valores.
- s normas, diretrizes e modelos adotados pela organizao; e
- forma e extenso das relaes contratuais.
Para isso sugerimos que o gestor disponha de um checklist com o objetivo de melhor identificar as variveis que
compem o contexto empresarial. A seguir, uma sugesto genrica, a ttulo de exemplo:
1. A Empresa atua em qual segmento? Quais so os seus produtos e/ou servios?
2. Atualmente, qual a posio que da Empresa ocupa no ranking de seu segmento de atuao?
3. Quais so os concorrentes diretos da Empresa? E os indiretos?
4. Quais so os fornecedores-chave para a Empresa?
5. Quais so os objetivos estratgicos de mdio prazo?
6. A Empresa dispe de Cdigo de Conduta ou outras polticas relativas s prticas de negcio (valores ticos)?
7 Os colaboradores conhecem e entendem a(s) poltica(s) existentes na Empresa?
8. A Empresa pratica alguma poltica de incentivo para atingir suas metas? Ex.: Bnus para colaboradores.
9. H algum meio de monitoramento que tenha por finalidade verificar a efetiva prtica da(s) poltica(s) existente(s) na Empresa?
124
10. Atualmente, qual a estrutura organizacional da Empresa? (Organograma).
11. O Organograma geral atende s necessidades de negcio da Empresa? Caso no, qual a necessidade que julga
necessria e por qu?
12. Considerando a estrutura organizacional apresentada quais so as reas consideradas como reas-chave e respectivas
atividades crticas em termos de faturamento?
13. A Estrutura Organizacional da Empresa descentralizada, semi-integrada ou de sistema integrado?
14. A seguir figura ilustrativa do entendimento do contexto interno e externo:
Contexto Externo e Interno
125
11.3 Contexto Externo Cenrios
O contexto externo o ambiente externo no qual esto inseridas as variveis incontrolveis. Entender o contexto
externo importante para entender quais so as variveis que podem dificultar ou expor os objetivos estratgicos da
organizao e entender as interconectividades entre as variveis incontrolveis.
O contexto externo pode incluir, apesar no est limitado a:
- os ambientes cultural, social, poltico, legal, regulamentar, financeiro, tecnolgico, econmico, natural e competitivo, quer
seja internacional, quer seja nacional, regional ou local;
- os fatoreschave e as tendncias que tenham impacto sobre os objetivos da organizao; e
- as relaes com as partes interessadas externas e suas percepes e valores.
Podemos exemplificar os componentes do contexto externo:
- Localizao fsica da empresa: posio geogrfica da instalao (rios, estradas, elevao, condies climticas, etc.);
- Configurao socioeconmica da rea em que a empresa est instalada (populao vizinha, status social, rea urbana/
rural, instalaes policiais);
- Situao poltico-financeira do pas (legislao pertinente, identificao e anlise dos rgos que legitimam, planos
governamentais e poltica econmica e financeira).
A gesto de Riscos poder buscar a informao dessas variveis, de maneira direta ou indireta, por meio de duas
fontes:
- Fontes Primrias: so as fornecidas no ambiente da empresa (troca de informaes).
- Fontes Secundrias: fornecidas pelos rgos governamentais (colaborao integrada).
O nvel de detalhamento e profundidade depender da necessidade e da influncia do impacto sobre a empresa.
126
A natureza do ambiente muda com muita rapidez, levando a alteraes polticas e sociais. Essa rapidez exige da
empresa capacidade impressionante de resposta e adaptao. Como exemplo de problemas ambientais externos,
podemos citar:
- H previses de recesso econmica no pas, o que aumentar o desemprego. Qual ser a influncia desse fato sobre a
empresa? Aumentam as possibilidades de saque, furto, roubo, mudana de relacionamento? A empresa est preparada
para receber esse impacto?
- As condies climticas podem afetar a empresa? Ela est preparada para reagir a uma inundao? Existe plano de
emergncia com essa finalidade?
- Uma guerra pode ocorrer proximamente no Oriente Mdio? Qual o impacto na minha empresa, uma multinacional, que
apoia a interveno militar? H possibilidade de sabotagem ou ameaa de bomba?
Essas indagaes devem ser analisadas e seu impacto para a empresa projetado. A gesto de riscos abrange toda
a conjuntura ambiental, devendo avaliar todos os seus ngulos.
Nessa fase pode-se empregar a ferramenta de construo de cenrios utilizando a Matriz de Impactos Cruzados para
entender a motricidade das variveis externas nos objetivos estratgicos.
11.4 Contexto da Gesto de Riscos
11.4.1 Introduo
O contexto da gesto de riscos diz respeito estrutura organizacional da rea, ou seja, como a empresa pretende
gerenciar seus riscos, quais sero os critrios e metodologias a serem utilizadas. Isso tudo deve estar formalizado nos
127
documentos: Poltica de Gesto de Riscos, que fornece as diretrizes estratgicas, e Processo de Gesto de Riscos, que
fornece a metodologia com todos os critrios, descrevendo com detalhe como realiza a gesto de riscos.
A ISO 31000 descreve que o contexto do processo de gesto de riscos ir variar de acordo com as necessidades de
cada organizao. Ele pode envolver, apesar de no estar limitado a:
- a definio das metas e objetivos das atividades de gesto de riscos;
- a definio das responsabilidades pelo processo e dentro da gesto de riscos;
- a definio do escopo, bem como da profundidade e da amplitude das atividades da gesto de riscos a serem realizadas,
englobando incluses e excluses especficas;
- a definio da atividade, processo, funo, projeto, produto, servio ou ativo em termos de tempo e localizao;
- a definio das relaes entre um projeto, processo ou atividade especficos e outros projetos, processos ou atividades da
organizao;
- a definio das metodologias de avaliao de riscos;
- a definio da forma como so avaliados o desempenho e a eficcia na gesto dos riscos;
- a identificao e a especificao das decises que tm que ser tomadas; e
- a identificao, a definio ou a elaborao dos estudos necessrios, de sua extenso e objetivos, e dos recursos requeri-
dos para tais estudos. A ateno para esses e outros fatores pertinentes pode ajudar a assegurar que a abordagem ado-
tada para a gesto de riscos apropriada s circunstncias, organizao e aos riscos que afetam a realizao de seus
objetivos.
11.4.2 Critrios de Risco

Convm que a organizao defina os critrios a serem utilizados para avaliar a significncia do risco. Os critrios devem
ser definidos no incio de qualquer processo de gesto de riscos e devem ser analisados criticamente de forma contnua.
128
O processo a ser escolhido depende das caractersticas da empresa, no se limitando, especificamente, a nenhuma
mtrica e ou metodologia. A ISO 31000 cita os seguintes aspectos:
- a natureza e os tipos de causas e de consequncias que podem ocorrer e como elas sero medidas;
- como a probabilidade ser definida;
- a evoluo no tempo da probabilidade e/ou consequncia(s);
- como o nvel de risco deve ser determinado;
- os pontos de vista das partes interessadas;
- o nvel em que o risco se torna aceitvel ou tolervel, e se convm que combinaes de mltiplos riscos sejam levadas em
considerao e, em caso afirmativo, como e quais combinaes convm que sejam consideradas.
O ideal a definio clara e objetiva por meio de um documento estruturado, que deve ser a Poltica de Gesto de
Riscos. Na experincia da Brasiliano & Associados, sugerimos que a empresa tenha dois documentos:
- uma poltica que contm as diretrizes da diretoria e ou conselho, j determinando quem o dono dos riscos e a estrutura
apropriada (modelo no item 11.4);
- um processo descrito com detalhe sobre a metodologia a ser utilizada pela empresa, contendo os seguintes tpicos:
1. Objetivos
2. Definies e Conceitos dos termos a serem utilizados
3. Descrio do Processo de Gesto e Anlise de Riscos
3.1 Identificao dos Riscos Ferramenta
3.2 Anlise e Avaliao dos de Riscos Inerentes Critrios de Probabilidade e Impacto, Matriz e Nvel de Riscos
3.3 Anlise e Avaliao dos Riscos Residuais Avaliao dos Controles, Critrios de Probabilidade e Impacto,
Matriz e Nvel de Riscos
129
4. Respostas aos Riscos
5. Priorizao das aes
6. Monitoramento e Auditoria
7. Anexos Dicionrios de Riscos Conceituao dos riscos que a empresa ir utilizar
11.5 Modelo de Poltica de Gesto de Riscos
POLTICA DE GESTO DE RISCOS CORPORATIVOS
I. Objetivo.
Estabelecer princpios e diretrizes-chave que pautam a atuao da BRASUCA nas questes de Riscos Corporativos.
II. Campo de Aplicao.

Esse procedimento aplica-se a todas as unidades de negcio e reas corporativas da BRASUCA.
III. Responsabilidades e Autoridades.

Os responsveis envolvidos na gesto de riscos corporativos so:
1. Diretores BRASUCA;
2. Comit de Gesto de Riscos;
130
3. Gerncia de Riscos Corporativos / Gesto da Qualidade;
4. Gestores da BRASUCA / Gerentes;
5. Auditoria Interna;
6. Facilitadores das Anlises de Riscos Corporativos;
7. Funcionrios / Colaboradores.
1. Diretores BRASUCA
Analisar e decidir sobre o(s) risco(s) a ser(em) assumido(s) pela BRASUCA;
Inserir os itens de monitoramento previstos neste documento nas Reunies de Performance das reas sob sua gesto;
Indicar participantes para compor o Comit de Riscos, a fim de acompanhar e apoiar o Processo de Gesto de Riscos
Corporativos, evitando possveis conflitos de interesse na BRASUCA;
Garantir o cumprimento dos Planos de Ao das reas sob sua responsabilidade, tomando providncias quanto ao no
cumprimento das aes dentro do prazo previsto;
Disponibilizar recursos necessrios para o Sistema de Gesto de Riscos Corporativos;
Apoiar e incentivar o compromisso com o Processo de Gesto de Riscos Corporativos;
Participar das reunies anlises crticas anuais das Anlises de Riscos das unidades sob a sua responsabilidade, bem
como verificar o cumprimento das recomendaes / sugestes efetuadas.
2. Comit de Gesto de Riscos
Acompanhar a gesto integrada de riscos, validando e revisando periodicamente a matriz de riscos da BRASUCA, assim
como a estrutura de controles internos capazes de minimizar a ocorrncia de riscos;
Dar apoio s aes para o tratamento dos riscos, alocando recursos para tal fim e reportando-os Diretoria Executiva e
aos Conselhos de Administrao e Fiscal;
131
Avaliar o desempenho dos indicadores de riscos, de modo a alinh-los aos objetivos estratgicos da empresa;
Prover o alinhamento de assuntos estratgicos e operacionais no processo de gesto integrada de riscos;
Reportar Diretoria e Conselhos de Administrao e Fiscal os resultados do processo de gerenciamento dos riscos;
Revisar a Poltica de Gesto de Riscos.
3. Gerncia de Riscos Corporativos / Gesto da Qualidade
Apoiar o Comit de Riscos;
Implementar e gerenciar o Sistema de Gesto de Riscos Corporativos, assegurando a execuo dos processos de forma eficaz;
Assessorar e orientar as reas da BRASUCA, visando divulgao e a aplicao das prticas do Processo de Gesto de
Riscos Corporativos em todas as suas unidades;
Manter permanente dilogo com todas as unidades da BRASUCA, apoiando a melhoria contnua do Processo de Gesto de
Riscos Corporativos;
Assegurar que as estruturas de controle e gesto de riscos funcionem efetivamente;
Avaliar o estado atual da gesto de riscos, fornecendo uma viso que auxilie a administrao a identificar atuais e futuros
riscos e oportunidades associadas;
Analisar a performance de gerenciamento de riscos determinada pela BRASUCA;
Verificar se o tratamento dos riscos e o nvel organizacional tratado pela BRASUCA esto adequadamente endereados;
Aprimorar a eficincia na gesto de riscos;
Direcionar a priorizao dos riscos considerando a possibilidade de retorno, promovendo a alocao de recursos para o
tratamento de riscos associados ao aumento do valor agregado aos acionistas;
Fornecer conhecimento e habilidades tcnicas para o tratamento de riscos-chave;
132
Participar no desenho e na definio de controles internos, bem como dar suporte na conduo e na interpretao de
avaliaes dos riscos;
Reportar as aes preventivas e contingenciais;
Investigar as alegaes de impropriedades cometidas pelos empregados, ou contra a Empresa.
Esse papel diferencia a Gerncia de Riscos Corporativos, uma vez que ela no tem responsabilidade de estabelecer
e dirigir as operaes do negcio e o seu foco primrio monitorar e aprimorar a eficcia das atividades de gesto dos
riscos na BRASUCA.
4. Gestores da BRASUCA / Gerentes
Gerir, implementar e manter atualizada a Anlise de Riscos nas reas e nos contratos sob sua responsabilidade nos termos
deste documento;
Validar as Anlises de Riscos e o plano de ao referente, das reas sob sua responsabilidade;
Repassar para o Diretor responsvel pela rea o(s) Risco(s) que no puder(em) ser eliminado(s) ou reduzido(s), para a
anlise de Assumir o(s) Risco(s);
Indicar facilitador responsvel pelas Anlises de Riscos das reas sob sua responsabilidade;
Manter seu pessoal capacitado na realizao das Anlises de Riscos e cientes dos critrios de criticidade/significncia e
priorizao dos cenrios avaliados;
Coordenar as anlises crticas anuais das Anlises de Riscos da unidade sob a sua responsabilidade, bem como verificar o
cumprimento das recomendaes / sugestes efetuadas;
Garantir o cumprimento das aes estabelecidas em plano de ao dentro dos prazos programados, das reas sob sua
responsabilidade;
Inserir os itens de monitoramento do Processo de Gesto de Riscos Corporativos nas suas Reunies de Performance com
equipe e Diretoria;
133
Assegurar Diretoria os recursos necessrios (financeiros, humanos, materiais e de sistema) para propiciar o gerenciamen-
to efetivo dos riscos identificados nas reas e nos contratos sob sua responsabilidade;
Atender e seguir as diretrizes e procedimentos da BRASUCA relacionadas contratao e gesto de fornecedores e contratadas.
Os gestores da BRASUCA so responsveis pela deteco e preveno de fraude. Qualquer membro do time gerencial deve
estar alerta para qualquer indicao de irregularidade dentro de sua rea de responsabilidade. Em adio, tem a respon-
sabilidade de reportar imediatamente os atos suspeitos para o Gestor de Riscos Corporativos, no devendo tentar conduzir
pessoalmente investigaes, entrevistas ou interrogatrios.
O no cumprimento das aes previstas no Plano de Ao dentro do prazo estabelecido ser informada ao Diretor
responsvel da rea para as devidas providncias, a fim de decidir sobre Evitar, Assumir ou Reduzir o(s) Risco(s) a nveis
aceitveis.
5. Auditoria Interna da BRASUCA
Auditar os controles visando avaliar o funcionamento efetivo por meio de testes por amostragem dos riscos nos processos,
fraude, fsicos, patrimoniais, ambientais, de informaes, sade e segurana do trabalho;
Auditar os atendimentos legais os quais sero identificados no processo de Gesto de Riscos Corporativos.
6. Facilitadores de Anlise de Riscos Corporativos
Compartilhar ao seu gestor da BRASUCA mudanas ou propostas de mudanas na organizao, em suas atividades ou materiais;

Compartilhar ao seu gestor da BRASUCA as modificaes

no Processo de Gesto de Riscos Corporativos, incluindo mudan-
as temporrias, bem como seus impactos nas operaes, nos processos e nas atividades;
Comunicar e treinar a unidade na anlises de riscos, das reas sob sua responsabilidade;
Acompanhar a implementao das aes previstas no plano de ao oriundas das anlises de riscos, das reas sob sua
responsabilidade;
Inserir os itens de monitoramento nas Reunies de Performance da equipe e com o gestor BRASUCA;
134

Informar nas suas Reunies de Perfo
rmance, ou quando necessrio, ao gestor BRASUCA (das reas sob sua responsabi-
lidade) sobre as aes no cumpridas ou cumpridas em atraso do(s) Plano(s) de ao, assim como pontos que possam
comprometer o Processo de Gesto de Riscos Corporativos;
Apresentar os resultados das anlises de riscos e o plano de ao ao gestor BRASUCA da rea para sua BRASUCA ao;
Atualizar as anlises de riscos, das reas sob sua responsabilidade, sempre que necessrio;
Conduzir as anlises de riscos da unidade nos termos deste documento;
Controlar toda a documentao relativa s anlises de riscos da unidade ou rea.
7. Funcionrios / Colaboradores
Conhecer as anlises de riscos da sua unidade de trabalho;
Cumprir as aes, sob sua responsabilidade, previstas no Plano de Ao dentro do prazo estabelecido;
Participar dos programas e das campanhas da BRASUCA relacionadas ao tema;
Comunicar qualquer desvio ou ao de melhoria que possa existir nas anlises de riscos.
Todos os funcionrios tm a responsabilidade de relatar possveis suspeitas ou informaes a eles fornecidas sobre
a possibilidade de atividades fraudulentas ou corruptas por parte de qualquer executivo, funcionrio, fornecedor ou
qualquer outra parte associada BRASUCA. Qualquer pessoa que possui embasamento razovel para acreditar que
atos fraudulentos ou corruptos tenham ocorrido tem a responsabilidade de reportar imediatamente os atos suspeitos
e no deve tentar conduzir pessoalmente investigaes, entrevistas ou interrogatrios.
IV. Consideraes Gerais.

Documentos referenciados:
ABNT ISO GUIA 73:2009 Gesto de Riscos Vocabulrio.
ABNT NBR ISO 31.000:2009 Gesto de Riscos Princpios e Diretrizes.
135
ABNT NBR ISO 31.010:2012 Gesto de Riscos Tcnicas para o Processo de Avaliao de Riscos.
V. Termos e Definies.
Funcionrios / Colaboradores: todos aqueles que possuem vnculo empregatcio com a BRASUCA.
Facilitadores: representantes das reas indicados pelos gestores, responsveis pelas Anlises de Riscos de suas
reas.
Gestores: ocupantes de cargo de liderana, tais como Gerentes, Coordenadores e Supervisores que tenham equipes
sob sua gesto.
VI. Descrio do Processo.
1. Princpios
A Poltica de Gesto de Riscos Corporativos da BRASUCA possui um processo de Gesto e Anlise de Riscos e est
baseado em prticas nacionais e internacionais, utilizando o conceito de gesto retroalimentativa, ciclo do PDCA com
monitoramento do sistema de gesto por indicadores e verificao por anlise crtica, gerando melhoria contnua.
Esse processo deve ser conduzido pelos gestores da BRASUCA e seus respectivos colaboradores, aplicado no
estabelecimento de estratgias formuladas para identificar, em todas as reas, eventos em potencial, capazes de
afetar tanto os objetivos estratgicos como os operacionais, e administrar os riscos para mant-los compatveis com
o apetite definido, e possibilitar garantia razovel do cumprimento dos objetivos da Empresa.
2. Compromissos
Por meio dessa Poltica de Gesto de Riscos Corporativos a BRASUCA, estabelece como compromissos:
Proporcionar um ambiente saudvel e seguro s pessoas, ao patrimnio e s suas operaes;
136
Atender aos requisitos dos produtos e servios, mitigar os riscos com impactos significativos aos processos, ao meio am-
biente, bem como os perigos e os riscos no trabalho, patrimnio, riscos de fraude e informaes, atendendo legislao e
outros requisitos subscritos que se relacionem operao;
Prevenir a poluio do ar, da gua e do solo, e destinar adequadamente seus resduos;
Promover a melhoria contnua do desempenho do Sistema de Gesto de Riscos Corporativos;
Garantir a interao entre os envolvidos disponibilizando informao por meio de eficazes canais de comunicao;
Obrigaes em cumprir as leis e regulamentos locais, nacionais e internacionais, normas e polticas interna, aplicveis aos
seus negcios;
Treinar, conscientizar e desenvolver a competncia em gesto de riscos dos empregados;
Incentivar a aplicao de tecnologias na melhoria contnua dos aspectos de riscos nas suas instalaes e operaes; e
Fornecer condies para que a Gerncia de Riscos Corporativos possa contribuir com a BRASUCA de forma a alcanar com
sucesso sua misso e atingir sua viso.
A Poltica de Gesto de Riscos Corporativos ajuda os gestores a tratar com eficcia as incertezas, mitigando riscos,
a fim de melhorar a capacidade de alcanar os objetivos da BRASUCA. O reconhecimento dos riscos em processos,
fraude, patrimoniais, ambientais, de informaes, pessoais, trabalho e de atendimentos legais, fator inerente no
processo decisrio, requer que a administrao analise as informaes em relao aos ambientes interno e externo,
utilize seus recursos, bem como ajuste as atividades frente aos riscos levantados e analisados.
3. Processo de Gesto de Riscos
O Processo de Gesto de Riscos Corporativos da BRASUCA possui como base o framework da Norma ISO 31000
Gesto de Riscos.
A BRASUCA no admite riscos no quadrante vermelho e nvel de risco no nvel 3 e 4, so considerados como inaceitveis
devendo possuir aes para tratamento por parte dos gestores. Caso no ocorra a resposta ao risco dentro do prazo
estimado para tratamento deste, a pendncia existente ser encaminhada ao Diretor da rea para providncias.
137
3.1. Risco Assumido
O risco assumido quando o Diretor da rea responsvel pelo processo ou atividade decide o assumir, tendo em
vista relao custobenefcio ou por questes estratgicas. No entanto, contra a Poltica de Riscos BRASUCA a
possibilidade de assumir riscos no quadrante vermelho e nvel de risco 3 e 4.
3.2. Reviso do Processo de Gesto de Riscos
As reas da BRASUCA devem revisar seus riscos, por meio do Processo de Gesto de Riscos Corporativos descritos
nessa poltica, sempre que necessrio ou em um perodo mximo de doze meses, com o objetivo de monitorar os riscos
e os fatores de riscos do ambiente interno e externo.
A implementao do plano de ao da rea ser monitorada quinzenalmente pela rea de Gesto de Riscos Corporativos.
4. Fraude e Corrupo
A BRASUCA tem tolerncia zero prtica e ocultao de atos fraudulentos ou ilegais. Alegaes de tais atos sero
investigados at sua concluso lgica, incluindo aes legais, processos criminais e aes disciplinares onde houver garantia.
A equipe da Gesto de Riscos Corporativos tratar com confidencialidade toda informao recebida e proteger
a reputao dos questionados, restringindo o acesso a toda informao relacionada s alegaes e investigao
somente queles que legitimamente necessitam ter conhecimento. Onde uma investigao concluir que a ocorrncia
de um ato fraudulento provvel, o Gerente de Gesto de Riscos Corporativos informar ao gestor superior da natureza
a possvel extenso das atividades.
138
VII. Registro da Operao.
Tempo de
Identificao Armazenamento Proteo Recuperao Descarte
reteno
Software
VIII. Histrico das Revises.
Data da Reviso Data da Reviso

Elaborador Alteraes
Anterior Atual
Brasiliano & Associados Emisso

26/11/14 26/05/15
/ Gesto da Qualidade inicial
11.6 Identificao e Definio de Processos, Atividades ou reas Criticas
11.6.1 Introduo
O BIA - Business Impact Analysis, ou Anlise de Impacto no Negcio uma ferramenta que possibilita avaliar processos,
reas ou atividades e inseri-los dentro de uma escala de criticidades visualizada por meio de uma Matriz.
139
O objetivo de realizar o BIA em primeiro lugar o gestor enxergar qual o processo/atividade/rea considerada
crtica ou estratgica para a empresa e montar o seu plano de implantao ou de priorizao para comear a gesto
de riscos. Essa ferramenta vale para toda e qualquer tipo de disciplina de riscos, segurana corporativa, por exemplo,
passa a enxergar qual rea dentro da empresa a segurana tem que colocar maior foco de atuao. Em termos de
processos, os gestores de cada departamento passam a visualizar quais processos so considerados estratgicos
para o negcio. Dessa maneira, podem colocar maior foco, dar maior ateno, alocar maiores recursos na diminuio e
mitigao dos riscos. uma ferramenta que veio da rea de tecnologia da informao (TI), com o objetivo de identificar
quais sistemas deveriam ter prioridade em termos de backup, prioridade para entrar em funcionamento, entre outros. A
ISO 31010 Tcnicas e Ferramentas de Anlise e Avaliao de Riscos selecionou o BIA para ser empregado na seleo
de consequncias/impacto. O BIA tradicionalmente na rea de TI empregado com dois critrios, o do impacto e do
tempo de retorno da operao (quanto tempo a empresa aguenta ficar sem o sistema?). Com base nesses critrios
temos condies de elaborar uma escala de criticidade de sistemas.
Os processos crticos e ou reas crticas de uma empresa so aquelas que impactam diretamente a cadeia de
valor, se deixarem de funcionar. Ou seja vai impactar a proposta de valor que a empresa est propondo para o
mercado. Estes processos aliceram a vantagem competitiva da corporao. Portanto a viso que o gestor tem
que ter a estratgica, focada nas atividades primrias e nas atividades secundrias que suportam as primrias.
O ponto crucial pensar que a Cadeia de Valor da empresa o conjunto de atividades desempenhada de
forma nica e distinta, diferente daquelas desempenhada pelos concorrentes. A essncia da estratgia e da
vantagem competitiva se situa nos processos crticos, na deciso de executar atividades diferentes daquelas da
concorrncia. A empresa adequa a cadeia de valor a sua proposta de valor. Portanto muito estratgico para o
gestor de riscos saber quais so os processos crticos da organizao, pois estes devem estar alinhados com os
objetivos estratgicos, elevando a Gesto de Riscos para o nvel da alta gesto corporativa. Abaixo o modelo da
cadeia de Valor de Michael Porter.
140
Cadeia de Valor das atividades Integradas que so desempenhadas de forma diferente do concorrente,
fazendo com que a empresa possua uma real Vantagem Competitiva.
141
A Brasiliano & Associados aproveitou os dois macrocritrios (impacto e tempo), j mundialmente utilizados pelo
BIA, e implementou dentro de cada macrocritrio outros parmetros com o objetivo de montar uma matriz em trs
nveis.
Como resultado temos uma escala de processos/atividades/reas considerados estratgicos e ou crticos para o
negcio, podendo o gestor de cada rea e o prprio gestor de riscos saber quais processos devem ser monitorados de
forma mais constante.
Portanto, o BIA uma ferramenta estratgica e holstica no processo de gesto de riscos, pois direciona cada gestor,
como se fosse uma bssola, para pilotar, monitorar os processos realmente essenciais
11.6.2 Critrios do BIA

Para a anlise de Impacto no Negcio so utilizados dois critrios de avaliao:
a. Impacto no Negcio: Qual impacto na empresa, que a inatividade de um determinado processo ou determinada rea
provocam? Vejam que a pergunta sempre est voltada para a empresa, nunca para o departamento ou a gerncia. O im-
pacto tem que ser medido com o foco nos objetivos estratgicos da empresa. Para a avaliao do Impacto no Negcio
so utilizados 4 subcritrios sendo eles: Imagem, Financeiro, Legal e Operacional.
b. Tempo de Tolerncia: Tempo de tolerncia o tempo mximo que um processo, atividade ou rea estudada podem ficar
paralisados sem comprometer de forma significativa as operaes da empresa.
Avaliao do Impacto no Negcio: Para avaliar o impacto no negcio da empresa, os gestores devero utilizar
um peso diferenciado para cada subcritrio, tendo em vista o nvel de importncia no contexto da empresa.
Segue abaixo os quatro subcritrios com os respectivos pesos, sendo apenas uma sugesto:
142
Critrios de Impacto
Cada subcritrio de impacto possui os seguintes critrios para pontuao. Estes critrios nas tabelas podem mudar,
de acordo com as caractersticas de cada empresa. A seguir:
143
Imagem Pontuao
Repercusso prolongada ou no na mdia internacional: Possvel boicote aos

servios, manifestaes de massa. Preocupao pblica/da mdia/poltica
nacional e internacional. Restrio ou revogao de uma ou mltiplas licenas
de funcionamento. Tambm tende a mobilizar grupos de ao. Ateno para 05
reaes de sindicatos de trabalhadores e de rede sociais e possveis greves de
funcionrios. Impacto sobre o preo das aes/avaliao de crdito. Viabilidade
financeira ameaada. Repercusso internacional no ambiente organizacional.
Repercusso nacional: Preocupao pblica/da mdia/poltica nacional.

Repercusses com autoridades governamentais e representantes de nvel nacional
e/ou regional; possibilidade de medidas restritivas organizao. Restrio
04
ou revogao de uma ou mltiplas licenas de funcionamento. Tambm tende
a mobilizar grupos de ao. Ateno para possveis reaes de sindicatos de
trabalhadores e de redes sociais. Repercusso nacional no ambiente organizacional.
Repercusso regional: Preocupao pblica/da mdia/poltica dentro do estado.

Pode haver envolvimento adverso de grupos de ao e/ou do governo local.
03
Ateno para possveis reaes de sindicatos de trabalhadores e de redes sociais.
Repercusso local no ambiente organizacional.
Repercusso local: Envolve algum interesse pblico local do muncipio e/ou alguma
ateno poltica local e/ou mdia local, com possveis aspectos adversos para as 02
operaes. Repercusso limitada no ambiente organizacional.
Sem repercusso: Situaes nas quais no h o conhecimento do pblico, mas

no existe interesse pblico. A ocorrncia no ultrapassa os limites internos da 01
organizao e/ou de suas unidades.
144
Financeiro Pontuao
Massivo: Acima de R$ 300.000,00 05
Crtica: De R$ 150.000,00 a R$ 300.000,00 04
Grave: De R$ 100.000,00 a R$ 150.000,00 03
Moderada: De R$ 50.000,00 a R$ 100.000,00 02
Leve: At R$ 50.000,00 01
Operacional Pontuao
Massivo: Impacta outros processos muito fortemente. 05
Severo: Impacta outros processos de forma direta. 04
Moderado: Impacta levemente outros processos. 03
Leve: Impacta somente o prprio processo. 02
Insignificante: No impacta nada. 01
145
Legal Pontuao
Massivo: Questes legais em que h possibilidade de abertura de fiscalizao/

investigao/processo na empresa, havendo descumprimento nos procedimentos
ou legislao e ainda em que no h argumentos e provas para inibir a aplicao
de multas ou pagamentos indenizaes, havendo tambm possibilidade da 05
suspenso das atividades da empresa, priso de empregados. Uma ou mltiplas
aes judiciais e multas de valor alto. Ao judicial muito sria incluindo aes
populares. Encerramento legal das operaes.
Crtica: Questes legais em que h possibilidade de abertura de fiscalizao/

investigao/processo na empresa, havendo descumprimento dos procedimentos
04
de multas ou pagamentos de indenizaes.
Graves: Questes legais em que h possibilidade de abertura de fiscalizao/

investigao/processo na empresa, havendo pequenas falhas nos procedimentos
03
ou legislao e ainda em que h argumentos e provas para inibir parcialmente a
aplicao de multas ou pagamentos indenizaes.
Moderada: Questes legais em que h possibilidade de abertura de fiscalizao/

investigao/processo na empresa, porm h argumentos e provas contundentes 02
para inibir a aplicao de multas ou pagamento de indenizaes.
Leve: Questes legais sem qualquer impacto. 01
146
Determinao do Nvel de Impacto: O Nvel de Impacto o resultado da mdia ponderada dos quatro critrios de
impacto (multiplicao do peso versus a nota dividido pela soma dos pesos), conforme demonstrado abaixo:
O resultado do nvel de impacto a tabela abaixo.
Grau de Impacto Escala Nvel de Impacto
4,51 5,00 5 Massivo
3,51 4,50 4 Severo
2,51 3,50 3 Moderado
1,51 2,50 2 Leve
1,00 1,50 1 Muito leve
Avaliao do Tempo de Tolerncia: Como parte da avaliao do impacto, temos que estimar por quanto tempo o
processo, a atividade ou a rea analisada pode ficar indisponvel (fora do ar). O importante avaliar o tempo necessrio
para que o processo volte a ser operacional, mesmo que em condies precrias. Esta escala poder variar, de acordo
com as caracteristicas do negcio. A escala de valorao para a tolerncia de tempo, como sugesto, a seguinte:
147
Tempo em horas Pontuao
at 4 horas 6
At 1 Dia 24 horas 5
At 2 Dias 48 horas 4
Mais de 10 Dias mais de 240 horas 1
11.6.3 Matriz de Processos Crticos BIA Business Impact Analysis

O resultado do cruzamento do nvel de impacto com o nvel de avaliao da tolerncia ao tempo uma matriz, que
define o nvel de criticidade de cada processo/atividade/rea, o que determina a escala Crtico, Moderado e Leve. Com
base nessa matriz o gestor pode determinar a prioridade de implantao, monitorao e alocao de recursos, para a
gesto de riscos. Temos ento trs nveis de classificao:
CRTICOS (HOT) MODERADOS (WARM) LEVES (COLD)
Segunda prioridade:
Prioritrio: No pode parar, Terceira prioridade: Pode ser
Possui um nvel mdio de
primordial para as operaes considerado como suporte
importncia para a empresa,
da empresa e deve possuir para processos, atividades
devendo cada gestor ter
uma ateno especial dos ou reas consideradas
um senso de urgncia no
gestores. crticas e moderadas.
tratamento.
148
Matriz do BIA
149

11.6.4 Exemplo de BIA de Processos
Relevncia do Impacto Tolerncia de Tempo Status
N0 Macroprocesso Processo Imagem Financeiro Legislao Operacional Nota Mdia ponderada do impacto Nvel de impacto Nvel de tolerncia Crtico / Moderado / Leve
4 3 2 2 11 - - - -
1 Administrativo Contas a Receber 4 5 1 4 41,0 3,73 Severo 5 Crtico
2 Administrativo Contas a Pagar 3 1 3 1 23,0 2,09 Leve 1 Leve
3 Administrativo Recursos Humanos 3 1 2 3 25,0 2,27 Leve 2 Leve
4 Administrativo Marketing 4 2 1 3 30,0 2,73 Moderado 1 Moderado
Recebimento de
5 Estoque 4 3 2 4 37,0 3,36 Moderado 3 Moderado
Materias
6 Estoque Sada de Materias 5 4 2 5 46,0 4,18 Severo 4 Crtico
Venda de Produtos/
7 Vendas 4 4 2 5 42,0 3,82 Severo 6 Crtico
Servios
Compra de
8 Compras 4 3 2 4 37,0 3,36 Moderado 4 Moderado
Matria-prima
Compra de
9 Compras Materiais de 1 1 1 2 13,0 1,18 Muito Leve 1 Leve
Escritrio
Servios de
10 Operacional 5 5 1 5 47,0 4,27 Severo 6 Crtico
Mecnica
Identificao dos Processos Crticos
150
LEGENDA
Cor Quadrante Processo
1 Crtico Contas a Receber
6 Crtico Sada de Materias
7 Crtico Venda de Produtos/Servios
10 Crtico Servios de Mecnica
4 Moderado Marketing
5 Moderado Recebimento de Materias
8 Moderado Compra de Matria-Prima
2 Leve Contas a Pagar
3 Leve Recursos Humanos
9 Muito Leve Compra de Materiais de Escritrio
Matriz do BIA - Resultado
Nesse exemplo temos processos listados, sendo que quatro foram considerados crticos, trs moderados e trs
leves. A priorizao da implantao do processo de gesto de riscos e o respectivo monitoramento fica sendo para
os processos de contas a receber, sada de materiais, vendas de produtos e servios de mecnica. Nesses quatro
processos no poder ter riscos no quadrante vermelho, pois em caso de concretizao o impacto ser massivo e/ou
severo. Dessa forma, o gestor dono do risco (primeira linha de defesa) ter que operacionalizar o processo de gesto
de riscos e a rea de gesto de riscos (segunda linha de defesa) realizar o monitoramento e a auditoria verificar se
o processo est rodando. Assim, o ciclo fica abrangente e a empresa, protegida.
151
12. IDENTIFICAO
DOS RISCOS
12.1 Anlise Situacional Fluxograma do Processo: Mapear a Condio de Segurana

do Ambiente em Estudo, Identificar os Controles e Compreender o Histrico
A identificao dos riscos possui seis subfases, todas interligadas e interdependentes, com o objetivo de identificar
as principais causas dos riscos versus os processos crticos de cada rea.
12.1.1 Introduo
Para possuir uma viso holstica e bem-acurada dos riscos e de seus fatores de riscos h a necessidade de realizar
uma avaliao das condies que estaremos realizando o estudo. Isso significa que pode ser desde um processo, ou
152
um conjunto de processos, ou os processos de um departamento ou at mesmo as condies de controle e segurana
da empresa.
A viso holstica e bem-acurada dos riscos e de seus fatores de riscos pede que se realize:
a. uma avaliao das condies de segurana do processo ou da rea, sendo assim, o gestor deve percorrer o processo,
com o objetivo de identificar pontos fortes e fracos, que sirvam de fatores para mitigar ou potencializar a concretizao
dos riscos. A viso para identificar fragilidades (pontos fracos) deve ser, sempre, pensando como burlar os controles
existentes. Nessa fase necessrio evidenciar as fragilidades;
b. mapear histrico de ocorrncias (caso exista);
c. identificar controles na rea.
Os dados para a anlise situacional devem ser extrados a partir de visitas in loco na empresa e no percorrer dos
processos, por meio de entrevistas com gestores, anlise de plantas baixas, estudo de normas existentes, seguindo
os testes:
a. teste de compreenso: permite conhecer o funcionamento dos processos e reas existentes na empresa, bem como o fluxo
operacional da unidade.
b. teste de observncia: Permite verificar a ao dos processos, controles, normas e sistemas integrados aplicados e utiliza-
dos na empresa.
Esse estudo das condies deve responder a pelo menos duas perguntas:
1. O que pode acontecer? Lista de riscos.
2. Como e porque pode acontecer? Causas e Cenrios de Riscos.
Podemos utilizar como referncia a ferramenta: 2W 1H What? Why? How?
O processo de conhecer as condies um diagnstico que deve responder a pergunta bsica: Qual a situao real da
empresa, processos e ou departamentos quanto aos seus aspectos de controle e segurana, frente sua poltica de gesto
153
de riscos e aos seus objetivos estratgicos?. Essa anlise deve ser efetuada da forma mais realista possvel, pois qualquer
distoro prejudicar todo o resto do processo de desenvolvimento e implantao de medidas preventivas e mitigatrias.
Qualquer empresa inserida em um contexto, em que uma multiplicidade de variveis e foras pode provocar mudanas
ou abalar as estruturas organizacionais. Esse contexto, que poderemos chamar de ambiente, varia constantemente e
deve ser encarado tanto sob o ponto de vista interno como externo.
Sob o ponto de vista da gesto de riscos e da segurana, a variao permanente do ambiente cria oportunidades ou
ameaas empresa. O diagnstico corresponde a uma anlise, ou uma fotografia, e possui duas premissas bsicas
que devem ser consideradas:
a. o ambiente em que a empresa est inserida e suas mltiplas variveis.
b. o ambiente proporciona simultaneamente oportunidades que devem ser usufrudas e as ameaas que devem ser evitadas.
A anlise do ambiente interno e externo deve ser integrada e contnua. A empresa deve ter pleno conhecimento de
seus pontos fortes e fracos para enfrentar as diversas situaes, sejam contingenciais, sejam de rotina.
12.1.2 Anlise das Variveis Externas

A anlise das variveis externas tem por finalidade estudar a relao existente entre a empresa e seu ambiente,
em termos de oportunidades e ameaas. Esse estudo j deve ter sido realizado frente aos objetivos estratgicos da
empresa, no Contexto Estratgico.
12.1.3 Anlise das Variveis Internas

A anlise das variveis internas do processo e ou da empresa tem por finalidade evidenciar as qualidades e as
deficincias de processos, controles e sistemas que a corporao possui. A viso para a realizao desse diagnstico
deve ser conjuntural, abrangendo todos os segmentos da organizao.
154
Quando se inicia o diagnstico, deve-se ter definido: quais so os processos a serem estudados e quais controles e
sistemas esto operacionalizados. Sem esses dois parmetros difcil avaliar os pontos fortes e fracos de um sistema
ou processo. Listamos abaixo, a ttulo de exemplo, os itens bsicos a serem analisados:
1) Cultura dos Funcionrios, 2) Turno de Trabalho dos Funcionrios, 3) Finalidade da Empresa, 4) Relao Funcionrio-
-Empresa, 5) reas Fsicas, 6) Servios Contratados, 7) Experincia Anterior, 8) Indenizao, 9) Barreira Perimetral,10)
Segurana de Edifcios, 11) Sistema de Iluminao, 12) Controle de Chaves, 13) Controles, 14) Proteo a Incndios,
l5) Corpo de Segurana, 16) Sistemas Integrados, 17) Planos Formalizados Existentes: Segurana, Emergncia e de
Continuidade de Negcios
Listamos outro checklist na rea de processos, a ttulo de exemplo:
1. A Empresa aplica algum meio de conciliao das informaes das reas-chave?
2. A Empresa dispe de unidades de negcio localizadas fora de sua Sede? Elas so convenientemente monitoradas quanto
a produo, resultados, ambiente, meios, controles, etc.? Como?
3. A Empresa dispe de estoque para peas e/ou produtos acabados?
4. Quais so os tipos de controles utilizados pelas reas-chave em suas atividades crticas? (Relatrios, planilhas, etc).
5. A Alta Administrao d a devida ateno aos seus considerados controles internos?
6. H uma clara estrutura dos papis e responsabilidades individuais dos colaboradores no contexto da Empresa? (Descrio
de cargos e o que cada um contempla.)
7. As equipes das reas esto bem-dimensionadas, considerando, inclusive, os recursos necessrios para a boa execuo de
suas atividades?
8. Os colaboradores possuem pleno conhecimento de suas atividades (importncia, o que fazem, por que fazem)?
9. A Empresa possui programa de Reciclagem/Treinamentos Espordicos para com seus colaboradores?
10. Caso sim, qual a frequncia?
155
11. Quais so as ferramentas tecnolgicas disponveis para a execuo das atividades da Empresa?
12. Os recursos de TI atuais atendem s necessidades de execuo e controle das atividades/operaes da Empresa?
13. Existe um plano de treinamento especfico para o usurio dos sistemas de informao?
14. Existe um plano de instruo de negcios/recuperao de desastre formalizado?
15. Os sistemas dos aplicativos utilizados atendem s necessidades do processo envolvido?
16. Os sistemas dos aplicativos utilizados so vulnerveis a acessos e alteraes de dados?
17. Existem procedimentos formalizados para garantir a segurana da informao?
18. So realizados backups peridicos para as atividades/informaes crticas do processo?
19. As informaes crticas transmitidas interna ou externamente so criptografadas durante o processo?
20. Existe um responsvel de segurana de informao a nvel executivo?
21. Existem sistemas e controles especficos para captura de dados relativos a eventos de segurana, incluindo todas as fontes
vlidas, por exemplo, nomes de usurios?
22. Existem procedimentos peridicos de anlise desses dados e eventos?
12.2.4 Formas de Realizar um Diagnstico

A melhor maneira de realizar um diagnstico colher as informaes em campo, ou seja, olhar o que realmente est
acontecendo. H trs maneiras de realizar a busca dessas informaes:
a. entrevistas
as entrevistas, geralmente nos nveis institucional, intermedirio e operacional, tm por objetivo conhecer como pensam
tanto as pessoas que operam, como os usurios do processo.
156
b. verificao de documentos
a verificao de documentos, tais como planos e normas, tem por meta conhecer o que preconizam as condutas e qual a
poltica de riscos da empresa.
c. trabalho de campo
o trabalho de campo tem por finalidade comparar se o que est escrito e falado, e o que realmente acontece.
o ideal que o diagnstico possa ser realizado a partir desses trs mtodos, para garantir uma noo clara e especfica
das reais condies.
157
Exemplo de anlise situacional voltada para segurana corporativa:
rea Descritivo No Controle
Segurana Portaria Guarita C1 Grades
Segurana Segurana Perimetral C2 Concertinas
Segurana Ambiente Interno

No Falha
Segurana Prdio Administrativo
F1 Sistema de Escoamento de gua
Segurana CD Galpo
F2 Proximidade com morros
Segurana Docas
F3 Vegetao fechada
Segurana reas Tcnicas
F4 Ausncia de Cerca Eltrica
Segurana Central de Segurana
F5 Ausncia de CFTV no Permetro
Ausncia de Monitoramento da Cabine

F6
Primria
Proximidade da Cabine Primria com a via

F7
Pblica
F29 Consumo de lcool e Drogas
Anlise Situacional Segurana
158
Exemplo de anlise situacional voltada para processos:
rea Atividade / Descritivo da rea No Controle
Cliente Atendimento na loja? Senha e contra senha do gerente regional

C1
para desconto
Cliente Sim: acessar a loja para realizao do servio
Acessar o sistema e verificar o cadastro do

Vendas
cliente
Vendas Possui cadastro? No Fator de Risco
Vendas No: realizar o cadastro do cliente no sistema Conluio entre gerente regional e gerente
F3
do dia
Vendas Sim: abrir ordem de servio?
Ausncia das anlises de concesses de
Vendas Informar valores de servios ao cliente F7
descontos
Vendas Necessrio negociar valor?
Sim: aplicar valor de desconto

Vendas
parametrizado no sistema
Vendas Desconto aceito?
Vendas Sim: imprimir ordem de servio
No: aplicar desconto de gerente com

Vendas
senha individual
Vendas Desconto aceito?
Vendas Sim: imprimir ordem de servio
Vendas No: aplicar desconto fora da alada sistema
Anlise Situacional Processo
159
Para complemento da anlise situacional utilizado o desenho do fluxograma do processo, permitindo representar
graficamente um fluxo de informaes de um processo, percorrendo todas as reas e atividades.
Aps a elaborao do fluxograma do processo, possivel identificar os gaps e controles existentes para cada
atividade, melhorando o entendimento das falhas que podem existir em cada atividade.
Exemplo de fluxograma:
Fluxograma do Processo
160
12.2 Listagem, Definio e Classificao dos Riscos
A listagem deve ser realizada por meio de reunies do tipo brainstorming, levantando tanto os riscos conhecidos
como os desconhecidos. Os riscos desconhecidos so aqueles que nunca aconteceram no contexto da empresa,
porm so riscos exequveis, ou seja, podero ocorrer.
Tcnica do Brainstorming
A equipe dever possuir um lder, visando direcionar os assuntos. No deve haver censura e nem hierarquia em
reunies desse tipo, visando no inibir a criatividade dos componentes da equipe. Algumas regras so importantes e
devem ser seguidas:
1. Expor as ideias com o mximo de espontaneidade, sem exercer autocensura.
2. Todas as ideias so interessantes, mesmo que paream ideias loucas. So essas, s vezes, as que contm algo de novo
e com valor.
3. Nenhuma ideia pode ser contestada ou debatida durante o brainstorming.
4. Quando um participante tiver uma ideia a apresentar, sugerida por outra j exposta por algum, ter prioridade sobre os demais.
5. Importante a quantidade das ideias apresentadas.
Em geral, pela nossa experincia, o nmero de reunies pode chegar a trs, desde que os participantes da equipe
faam suas lies de casa. Estudar as questes relativas aos riscos corporativos de suas empresas. A durao de
cada reunio de brainstorming deve ser no mximo de uma hora e trinta minutos. Alm desse tempo, ficam ineficazes,
sem rendimento.
Ao final das reunies, dever haver um consenso, por parte da equipe multidisciplinar, nos riscos levantados. Aps
a listagem, os riscos devem ser definidos e aps classificados, devem aderir ao negcio da empresa.
161
A classificao auxilia a organizao a ter viso do portflio dos riscos, na medida em que agrupa-os de acordo
com suas principais causas. Cabe destacar que a classificao est relacionada origem/natureza do risco e
no ao seu impacto.
As categorias so divididas nos seguintes itens:
Estratgicos: Os riscos estratgicos esto associados tomada de deciso, tanto da diretoria executiva como do conselho,
e podem gerar perda substancial para a empresa. Exemplos: diminuio de demanda do mercado por produtos e servios
da empresa; uma grande iniciativa falha, clientes abandonam a marca, um concorrente surge de forma agressiva, a marca
perde fora, o setor torna-se zona de lucro zero, entre outros.
Operacionais: Os riscos operacionais esto associados possibilidade de ocorrncia de perdas (de produo, ativos,
clientes, receitas) resultantes de falhas, deficincias ou inadequao de processos internos, pessoas e sistemas,
assim como de eventos externos como catstrofes naturais, fraudes, greves e atos terroristas. Os riscos operacionais
geralmente acarretam reduo, degradao ou interrupo, total ou parcial, das atividades, com impacto negativo na
reputao, alm da potencial gerao de passivos contratuais, regulatrios e ambientais. Exemplos: falhas em aspectos
lgicos do processamento eletrnico de dados e de telecomunicaes, inadequao de aspectos fsicos da estrutura
logstica e tecnolgica, atos realizados intencionalmente ou no, que possam prejudicar o funcionamento e/ou causar
impacto financeiro, overload de sistemas e estruturas, obsolescncia, erro no intencional, fraudes, entre outros.
Legal/Conformidade: Relacionadas inobservncia de dispositivos legais ou regulamentares, mudana na legislao ou, ain-
da, ao descumprimento de contrato. Exemplos: aes ajuizadas pela empresa ou contra ela, inadequao formal de contrato,
a interpretao de suas clusulas e sua conformidade com legislao pertinente, interpretao indevida da legislao, cdigo
de tica e outros regimentos internos, entre outros.
Financeiro: Relacionadas com a gesto e controle ineficazes dos meios financeiros da organizao e com efeitos dos
fatores externos. Exemplo, disponibilidade de crdito, taxas de cmbio, movimento das taxas de juros e outro tipo de
orientaes do mercado.
162
Exemplo de listagem de riscos para Segurana:
Riscos Descries Classificao
a ao motivada pela hostilidade contra

Vandalismo a propriedade ou destruio intencional de Operacional
bens e depredao do patrimnio
O risco est relacionado ao prprio veculo

Furto de veculos Operacional
dentro do estacionamento
Risco est relacionado a subtrao de

Furto de pertences pertences pessoais em locais como
Operacional
pessoais administrao ou reas comuns devido
ausncia de monitoramento de imagens
Risco est relacionado ao desligamento ou

Sabotagem na cabine
deixar sistemas inoperantes com inteno de Operacional
primria
prejudicar a operao fabril
Risco est relacionado ao desvio de

Desvio de mercadoria mercadoria a fim de obter vantagem de Operacional
forma ilcita
Risco est relacionado a ao de meliantes

Roubo de carga Operacional
armados para roubo de carga
Listagem de Riscos Segurana
163
Exemplo de listagem de riscos para Processo:
Riscos Descries Classificao
Risco relacionado liberao de descontos

para clientes que no atendam ou no
Concesso indevida
possuam perfil adequado para o desconto ou Operacional
de desconto
por erros nas anlises realizadas pelo setor
administrativo da empresa
Risco relacionado efetivao de uma

Venda sem estoque
venda sem estoque possuir o equipamento Operacional
fsico
fisicamente
Risco relacionado a efetuar venda a clientes

Favorecimento de
que no possuam nome regular nos rgos Operacional
clientes
de proteo
Risco relacionado realizao de anlise

Anlise financeira
financeira incorreta decorrente da falta de Operacional
equivocada
informao sobre particularidade do cliente
No ser cumprido o
No comprimento do calendrio de entrega
prazo de entrega de
para o cliente, ocasionando protesto e Operacional
mercadoria para o
insatisfao do cliente
cliente
Listagem de Riscos Processo
164
12.3 Identificao dos Fatores de Riscos
Os fatores de riscos so na realidade a origem e/ou causa de cada evento identificado em cada processo ou rea.
Para compreender o risco e a soma de todos os fatores identificados, existe a necessidade de dissecar o evento ou
ameaa. O Diagrama de Causa e Efeito (diagrama de Ishikawa ou Espinha de Peixe) utilizada para o entendimento
dos fatores que influenciam a concretizao de cada risco.
Essa tcnica uma anotao simples para identificar fatores que causam o evento analisado. Em 1953, o Professor
Karou Ishikawa, da Universidade de Tquio, Japo, sintetizou as opinies dos engenheiros de uma fbrica na forma
de um diagrama de causa e efeito, enquanto eles discutiam problemas de qualidade. O diagrama bem-detalhado
apresenta a forma de uma espinha de peixe.
Para compreender o risco e o cenrio no qual ele est inserido, importante considerar os diversos fatores que
impactam os processos e as reas da empresa. Nesse contexto, foi adaptado o diagrama de causa e efeito da
qualidade para a rea de Gesto de Riscos, conforme macrocausas abaixo:
Processo: Influncia da existncia de processos, polticas, normas e procedimentos para a materializao do risco.
Pessoas: Influncia do nvel da equipe envolvida, considerando-se perfil e qualificao, para a materializao do risco, bem
como do nvel de relacionamento dos colaboradores e da empresa.
Tecnologia: Influncia dos sistemas de informao utilizados pela empresa para a materializao do risco.
Infraestrutura: Influncia da existncia de recursos fsicos e sistemas eletrnicos para a materializao do risco.
Ambiente Externo: Influncia das variveis externas incontrolveis para a materializao do risco.
165
Exemplo de diagrama de causa e efeito:
Macrocausas
Ressaltamos que para cada riscos identificado existe a necessidade da elaborao de um diagrama de causa e
efeito especfico. Se estivermos estudando 10 riscos em um determinado processo ou rea, teremos que elaborar 10
diagramas de causa e efeito.
166
Exemplo: Roubo de Carga
Infraestrutura Pessoal Processo
Ausncia de treinamento Ausncia de normas e

Ausncia de grades
do efetivo de segurana procedimentos de rotina
Ausncia de poltica
de segurana
Roubo de carga
Ausncia do boto
Alto ndice de criminalidade
de pnico
Ausncia de central
Crime organizado
de segurana
Ausncia de CFTV no
Receptao
entorno do galpo
Ausncia de CFTV
Vegetao fechada
no permetro
Ausncia de sensor de
porta de emergncia
Tecnologia Ambiente Externo
Diagrama de Causa e Efeito Segurana
167
Exemplo: Favorecimento de Clientes
Infraestrutura Pessoal Processo

Ausncia de treinamentos Ausncia das anlises de
peridicos concesses de descontos
Ausncia de bloqueio
sistmico para o cliente
com restrio de crdito
Ausncia de comprovao
do cliente x solicitante
Favorecimento
de clientes
Ausncia de controle Conluio entre gerente
sistmico regional e gerente da loja
Tecnologia Ambiente Externo
Diagrama de Causa e Efeito Processo
12.4 Identificao da Motricidade - SWOT

Aps a identificao dos vrios fatores de riscos, necessrio enxergar estrategicamente quais so os fatores comuns a
todos os riscos e quais so os mais motrizes, ou seja, quais so os que podem de fato potencializar os riscos analisados.
168
Para identificar a criticidade dos fatores de riscos utilizamos a Matriz SWOT, conhecida para identificar os pontos
fracos, fortes, oportunidades e ameaas do contexto empresarial. A ferramenta a Matriz SWOT FOFA, que
em ingls significa Strengths Weaknesses Opportunities Threats, e em portugus Fora Oportunidade
Fraqueza Ameaa.
A avaliao das Foras e Fraquezas diz respeito s condies dos nossos controles e nvel de operacionalizao, so
processos sobre os quais a empresa possui domnio de ao e deciso. So os chamados Fatores de Riscos Internos
ou variveis internas, podendo ser negativas (Fraquezas) ou positivas (Foras). Os fatores de riscos considerados
incontrolveis dizem respeito ambincia externa, podendo ser negativas (Ameaas) ou positivas (Oportunidades).
Para identificar a motricidade dos fatores de riscos so utilizados dois critrios de avaliao: Magnitude e Importncia.
Magnitude significa o tamanho ou grandeza que a varivel ou evento possui perante o contexto empresarial. Caso
acontea, positiva ou negativamente, o quanto ela vai influenciar no contexto como um todo. A magnitude ranqueada,
utilizando-se uma pontuao, que varia de -3 a 3, dentro do seguinte parmetro:
3 (alto);
2 (mdio);
1 (baixo) para cada elemento positivo (fora ou oportunidade); e
-1 (baixo);
-2 (mdio);
-3 (alto) para cada varivel negativa (fraqueza e ameaa).
Como parmetro para avaliar a magnitude nas clulas de fraqueza e ameaa, levado em considerao o nmero de
vezes que as variveis aparecem no diagrama de causa e efeito.
Caso um fator de risco aparea 5 (cinco) vezes em 6 (seis) riscos identificados, significa que essa varivel possui
alta magnitude.
169
Importncia significa a prioridade que essa varivel deve possuir perante o contexto do empresarial. uma nota
subjetiva com base na experincia do gestor e da equipe que est avaliando o cenrio. Para anlise da importncia,
utilizamos 3 nveis de pontuao:
3 (muita importncia);
2 (mdia importncia);
1 (pouca importncia).
Para criar um ranking dos itens em cada clula da Matriz, multiplicamos a avaliao da magnitude e da importncia.
Os fatores de riscos com maior pontuao negativa so considerados motrizes, pois podem influenciar diretamente os
riscos identificados.
Matriz SWOT/FOFA
170
A Matriz SWOT/FOFA demonstra o conjunto de fatores de riscos (Fraquezas e Ameaas), e seus pontos fortes e
oportunidades. Com essa fotografia, o gestor enxergar seus pontos de maior fragilidade. Se formos observar sob o
ponto de vista das fraquezas e ameaas contidas na Matriz, podemos afirmar que a Matriz SWOT um resumo de todos
os diagramas de causa e efeito, sem repetir os fatores j listados.
Ponto importante na Matriz SWOT/FOFA que as fraquezas so oriundas dos diagramas de causa e efeito, so os
resumos dos fatores de riscos que cada rea possui. As ameaas so as variveis incontrolveis do ambiente externo,
tambm oriundas do diagrama de causa e efeito. As variveis negativas (fraquezas e ameaas) da Matriz SWOT/FOFA
so o resumo dos vrios diagramas de causa e efeito, sendo a base para a elaborao do Plano de Ao. A Matriz
uma ferramenta de gesto, que possibilita fcil interpretao das principais deficincias e quais so as possibilidades
de reverso da situao existente.
A Matriz SWOT/FOFA adaptada para a gesto de riscos permite visualizar o todo, enquanto que o diagrama de causa
e efeito visualiza somente o risco analisado.
Exemplo Segurana:
Fraquezas
Item Magnitude Importncia Total
Ausncia de central de segurana -3 3 -9
Ausncia de CFTV em pontos estratgicos -3 3 -9
Ausncia de endomarketing -3 3 -9
Ausncia de normas e procedimentos -3 3 -9
171
Fraquezas
Ausncia de operador de monitoramento -3 3 -9
Ausncia de pesquisa de satisfao dos colaboradores -3 3 -9
Ausncia de poltica de segurana -3 3 -9
Ausncia de processo de ronda -3 3 -9
Ausncia de responsvel pelo CFTV -3 3 -9
Ausncia de anlise vdeo inteligente -3 3 -9
Ausncia de vigilante em pontos/processos especficos -3 3 -9
Baixa qualidade de iluminao -3 3 -9
Baixa qualidade das imagens -3 3 -9
Consumo de lcool e entorpecente -3 3 -9
Insatisfao de colaboradores e terceiros -3 3 -9
172
Fraquezas
Portas/portes abertos -3 3 -9
Janelas frgeis -2 3 -6
Ausncia de controle de acesso -1 3 -3
Ausncia de proteo perimetral do depsito -1 3 -3
Desvio de funo -1 3 -3
Efetivo de segurana insuficiente -1 3 -3
Conluio de colaboradores e terceiros -1 2 -2
Gradil frgil -1 2 -2
Ameaas
Criminalidade -2 3 -6
Ao do sindicato -1 3 -3
173
Ameaas
Atratividade do produto -1 3 -3
Crime organizado -1 3 -3
Distrbios psicolgicos -1 3 -3
Grupos de redes sociais -1 3 -3
Insatisfao de clientes -1 3 -3
Poltica -1 3 -3
Torcida organizada -1 3 -3
Trote -1 3 -3
Consumo de lcool -1 -2 -2
Consumo de drogas -1 -2 -2
Proximidade de comunidades carentes -1 -2 -2
Matriz SWOT/FOFA Fraquezas e Ameaas Segurana
174
Exemplo Processo:
Fraquezas
Ausncia das anlises de concesses de descontos -2 3 -6
Ausncia de bloqueio sistmico para cliente com restrio

-2 2 -4
de crdito
Ausncia de comprovao do cliente x solicitante -1 3 -3
Ausncia de controle sistmico -3 3 -9
Ausncia de produtos em estoque -2 3 -6
Ausncia de treinamentos peridicos -3 3 -9
Ameaa
Conluio entre gerente regional e gerente de loja -2 3 -6
Matriz SWOT/FOFA Fraquezas e Ameaas Processo
175
12.5 Matriz Magnitude x I mportncia
Ao observarmos a Matriz SWOT/FOFA acima podemos notar que a prioridade atribuda levando em considerao o
critrio das numeraes mais altas e negativas, possibilitando que os gestores criem rankings para suas aes.
Com base na pontuao de magnitude e importncia dada para cada fator de risco de fraqueza, podemos apresentar o
resultado em forma de uma matriz que possibilita visualizar a criticidade de cada fator, conforme apresentado a seguir.
O resultado do cruzamento da magnitude com a importncia define o nvel de criticidade do fator de risco, ou seja,
vermelho, laranja ou verde. Com base nessa matriz o gestor pode determinar a prioridade de tratamento do fator de
risco, sempre considerando como primeiro nvel o vermelho, segundo nvel o laranja e o terceiro nvel o verde.
Isto significa que os fatores plotados no quadrante verde possuem baixa relevncia e ou motricidade, no possuindo
uma relao custo beneficio boa de investimento. Ou seja no compensa investir em controles para anular esses
fatores de riscos, pois estes so iram enxugar gelos. Possuem baixa relevncia.
176
F16 F17 F18 F19 F20 F21 F22 F06 F 07 F08 F09 F10 F01 F02 F03 F04 F05
F23 F24 F25 F26
Alta
F11 F12 F13 F14 F15
IMPORTNCIA
F27 F28
Mdia
Baixa
Baixa Mdia Alta
MAGNITUDE
Matriz Magnitude x Importncia
O ponto focal seria os fatores de riscos plotados no quadrante vermelho, para o gestor realizar investimento em
controles ou sistemas de segurana.
177
12.6 Matriz de I mpacto Cruzado
Utlizada apenas para riscos estratgicos. A matriz de impactos cruzados (MIC) verifica a dependncia e a motricidade
que os riscos possuem sobre outros riscos, ou que fatores de riscos possuem sobre outros fatores, utilizada a Matriz
de Impacto Cruzado, utilizando os seguintes critrios para avaliao:
Impacto cruzado
Nvel de relevncia Pontuao
Alto 3
Mdio 2
Baixo 1
No existe relevncia 0
O resultado do cruzamento entre a Dependncia e a Importncia gera a Matriz de Impacto Cruzado. A Matriz de
Impacto Cruzado elaborada a partir do ponto das notas atribudas para dependncia e o ponto mdio das notas
atribudas para importncia.
A Matriz de Impacto Cruzado possui os seguintes quadrantes:
Quadrante I Ligao: Riscos ou Fatores que influenciam outros quadrantes, sofrem influncia do quadrante motriz e se
influenciam entre si.
Quadrante II Motriz: Riscos ou Fatores que influenciam na concretizao dos demais sem sofrerem influncias.
Quadrante III Dependente: Riscos ou Fatores que apenas sofrem influncias.
178
Quadrante IV Independente: Riscos ou Fatores que no influenciam na concretizao dos demais e tambm no sofrem
influncias.
Obs.: A explicao conceitual foi dada no capitulo 2, item 2.4 - Interconectividade entre riscos.
Esta matriz possui de especial a influncia da ocorrncia de um Fator de Riscos ou de um risco sobre a probabilidade
de outros ocorrerem, definindo esta influncia como impacto. Pode-se ento elaborar a matriz de motricidade versus
dependncia. Para tanto, basta calcular os pontos mdios de motricidade e de dependncia, aplicando as frmulas
a seguir, e construir o grfico, onde o eixo dos x corresponde aos valores de dependncia e o eixo dos y aos da
motricidade.
VM + vM PM = Ponto Mdio da Motricidade

PM = ____________ VM = Valor mais alto de motricidade
2 vM = Valor mais baixo da motricidade
VD + vD PD = Ponto Mdio da Dependncia

PD = ____________ VD = Valor mais alto da dependncia
2 vD = Valor mais baixo da dependncia
179
Matriz de Motricidade X Dependncia
As variveis motrizes (quadrante II) so as que condicionam o restante do sistema. J as variveis de ligao
(quadrante I) so muito motrizes, mas tm grande dependncia das demais. So as que fazem a ligao entre
as variveis motrizes e as dependentes (quadrante III). Por sua natureza instvel, qualquer ao sobre elas ter
repercusso sobre as outras e um efeito de retorno sobre si prprio que vir ampliado ou atenuado em funo da
impulso inicial.
As variveis dependentes (quadrante III) so pouco motrizes e muito dependentes, seu comportamento explicado
pelo das variveis motrizes e de ligao. J as variveis independentes (quadrante IV) so aquelas pouco motrizes e
180
pouco dependentes. So geralmente tendncias de peso ou fatores relativamente desligados do sistema, e que no
constituem determinantes do futuro, podendo ser excludas da anlise.
Emprego da Matriz de Impactos Cruzados

Segue abaixo a motricidade e a dependencia de fatores de riscos da cidade do Rio de Janeiro, no que tange a
criminalidade.
181
Exemplo: Matriz de Impacto Cruzado
Legenda: 1. Baixo Nvel de Escolaridade; 4. Elevada carga tributria; 5. Desigualdade social; 6. Excluso social;
7. Corrupo policial; 8. Corrupo no judicirio; 10. Inteligncia Policial; 11. Legislao Brasileira; 13. Sistema
Carcerrio; 14. Violncia Urbana; 15. Faces Criminosas estruturao do crime como empresa; 16.Faces Criminosas:
assistencialismo; 17. Valores ticos e morais nas empresas; 20. Estruturao das milcias em funo da inoperncia
do Estado.
182
Os pontos mdios de motricidade e dependncia foram:
Ponto Mdio de Motricidade: PMM = (39 + 20) / 2 = 29,5
Ponto Mdio de Dependncia: PMD = (37 + 3) / 2 = 20
O resultado do Grfico de Motricidade x Dependncia foi:
Matriz Motricidade x Dependncia
183
Interpretao
Podemos concluir como alta instabilidade os cenrios para a cidade do Rio de Janeiro, tendo em vista que existem
quatro riscos que so de ligao, ou seja, qualquer ao sobre estes riscos ter uma repercusso sobre os demais.
A instabilidade significa que os atores devero agir nos riscos plotados no quadrante de ligao. O resultado poder
ser dependente do tipo de ao, tanto positivo como negativo. So cenrios de alta volatilidade, tendo soluo de curto
prazo. As aes estratgicas das empresas devem ser no sentido de influenciar o combate da corrupo policial, no
judicirio, mudar o status quo da legislao brasileira e da violncia urbana.
Ou seja, no adianta tratar os riscos plotados no quadrante III, se os plotados no quadrante II no tiverem sido
tratados. O resultado ser apenas enxugar gelo.
184
13. ANLISE E
AVALIAO
DE RISCOS
INERENTE
13.1 Introduo
Entende-se por risco inerente a avaliao dos riscos sem considerar a existncia dos controles ou sistemas de segurana.
A anlise de riscos visa promover o entendimento do nvel de risco e de sua natureza, auxiliando na definio
de prioridades e opes de tratamento aos riscos identificados. Por meio dela, possvel saber qual a chance, a
probabilidade dos riscos virem a acontecer e calcular seus respectivos impactos nos processos da empresa.
Os riscos so avaliados de maneira qualitativa (subjetiva), ou seja, utiliza critrios preestabelecidos com uma escala
de valorao para a determinao do nvel do risco. A metodologia a ser utilizada para a avaliao de riscos possui
dois parmetros claros a serem analisados:
185
a. saber qual a chance, a probabilidade, de os riscos virem a acontecer, frente condio existente de cada processo e
rea de negcio;
b. calcular o impacto caso seja, concretizado o risco.
13.2 Probabilidade X Impacto
13.2.1 Determinao do Nvel de Probabilidade

A probabilidade do risco calculada por meio de trs critrios, sendo que cada um deles possuir um peso diferenciado,
tendo em vista seu grau de importncia. Os critrios de probabilidade podem ser:
186
Critrios de Probabilidade
Estes pesos podem e devem ser adaptados, de acordo com as caractersticas de cada instituio.
Segurana / Controle: avaliada a questo dos fatores de riscos (diagrama de causa e efeito) e controles identificados
na anlise situacional. Quanto maior a nota, pior a condio de segurana e dos controles.
Segurana / Controle
Critrio Pontuao
Muito ruim 05
Ruim 04
Mdia 03
Boa 02
Muito boa 01
187
Frequncia / Exposio: a frequncia que o risco costuma manifestar na empresa ou em empresas similares,
podendo levar em considerao histricos internos ou externos (empresas similares).
Frequncia / Exposio
Critrio Pontuao
Dirio 05
Quinzenal 04
Mensal 03
Anual 02
Eventual 01
Intervalo: avaliada a questo da frequncia de avaliao/auditoria e reviso dos controles nos processos,
procedimentos e reviso do prprio processo. Quanto maior o intervalo, maior sua fragilidade.
Intervalo
Critrio Pontuao
No realiza reviso 05
Bienal 04
Anual 03
Semestral 02
Trimestral 01
188
O Nvel de Probabilidade (Pb) o resultado da mdia ponderada dos trs critrios de probabilidade (multiplicao do
peso vezes a nota, dividido pela soma dos pesos), conforme demonstrado abaixo:
O nvel de probabilidade possui a seguinte classificao:
Grau de probabilidade Escala Nvel de probabilidade
4,51 5,00 5 Elevada
3,51 4,50 4 Muito Alta
2,51 3,50 3 Alta
1,51 2,50 2 Mdia
1,00 1,50 1 Baixa
189
13.2.2 Determinao do Nvel de Impacto
Para mensurar o impacto, no devemos levar em considerao somente a questo financeira. Com o objetivo de o
gestor obter uma viso holstica do impacto existe a necessidade de projetar todas as consequncias que os riscos
causam. Utilizaremos o mesmo critrio adotado para identificar o processo crtico. Cada fator de impacto ter um peso
diferenciado, tendo em vista seu grau de importncia. Cada critrio de impacto possui um peso e tambm uma nota
de valorao, tendo em vista o nvel de consequncia. O objetivo a obteno de uma Mdia Ponderada, equalizando,
dessa forma, o Nvel de Impacto. Os critrios de impacto podem ser:
Critrios de Impacto
Fica claro que estes pesos so sugestes, podendo/devendo serem adaptados, de acordo com as caracteristicas
de cada instituio.
190
Cada fator de impacto possui a seguinte tabela:
Imagem Pontuao
Repercusso prolongada ou no na mdia internacional: Possvel boicote aos

servios, manifestaes de massa. Preocupao pblica/da mdia/poltica
nacional e internacional. Restrio ou revogao de uma ou mltiplas licenas
de funcionamento. Tambm tende a mobilizar grupos de ao. Ateno para 05
reaes de sindicatos de trabalhadores e de rede sociais e possveis greves de
funcionrios. Impacto sobre o preo das aes/avaliao de crdito. Viabilidade
financeira ameaada. Repercusso internacional no ambiente organizacional.
Repercusso nacional: Preocupao pblica/ da mdia/ poltica nacional.

Repercusses junto a autoridades governamentais e representantes de nvel
nacional e/ou regional; possibilidade de medidas restritivas organizao.
Restrio ou revogao de uma ou mltiplas licenas de funcionamento. Tambm 04
tende a mobilizar grupos de ao. Ateno para possveis reaes de sindicatos
de trabalhadores e de redes sociais. Repercusso nacional no ambiente
organizacional.
Repercusso regional: Preocupao pblica/da mdia/poltica dentro do estado.

Pode haver envolvimento adverso de grupos de ao e/ou do governo local.
03
Ateno para possveis reaes de sindicatos de trabalhadores e de redes sociais.
Repercusso local no ambiente organizacional.
Repercusso local: Envolve algum interesse pblico local do muncipio e/ou alguma
ateno poltica local e/ou mdia local, com possveis aspectos adversos para as 02
operaes. Repercusso limitada no ambiente organizacional.
Sem repercusso: Situaes nas quais no h o conhecimento do pblico, mas

no existe interesse pblico. A ocorrncia no ultrapassa os limites internos da 01
organizao e/ou de suas unidades.
191
Financeiro Pontuao
Massivo: Acima de R$ 300.000,00 05
Crtica: De R$ 150.000,00 a R$ 300.000,00 04
Grave: De R$ 100.000,00 a R$ 150.000,00 03
Moderada: De R$ 50.000,00 a R$ 100.000,00 02
Leve: At R$ 50.000,00 01
Operacional Pontuao
Massivo: Impacta outros processos muito fortemente. 05
Severo: Impacta outros processos de forma direta. 04
Moderado: Impacta levemente outros processos. 03
Leve: Impacta somente o prprio processo. 02
Insignificante: No impacta nada. 01
192
Legal Pontuao
Massiva: Questes legais em que h possibilidade de abertura de fiscalizao/

investigao/processo na empresa, havendo descumprimento nos procedimentos
de multas ou pagamentos de indenizaes, havendo tambm possibilidade da 05
suspenso das atividades da empresa e priso de empregados. Uma ou mltiplas
aes judiciais e multas de valor alto. Ao judicial muito sria, incluindo aes
populares. Encerramento legal das operaes.
Crtica: Questes legais em que h possibilidade de abertura de fiscalizao/

investigao/processo na empresa, havendo descumprimento dos procedimentos
04
de multas ou pagamentos de indenizaes.
Graves: Questes legais em que h possibilidade de abertura de fiscalizao/

investigao/processo na empresa, havendo pequenas falhas nos procedimentos
03
ou legislao e ainda em que h argumentos e provas para inibir parcialmente a
aplicao de multas ou pagamentos indenizaes.
Moderada: Questes legais em que h possibilidade de abertura de fiscalizao/

investigao/processo na empresa, porm h argumentos e provas contundentes 02
para inibir a aplicao de multas ou pagamento de indenizaes.
Leve: Questes legais sem qualquer impacto. 01
193
O nvel de impacto o resultado da soma dos resultados de cada fator de impacto (multiplicao do peso versus a
nota), dividido pela soma dos pesos, conforme demonstrado abaixo:
O nvel do impacto possui a seguinte classificao:
Grau de impacto Escala Nvel de impacto
4,51 5,00 5 Massivo
3,51 4,50 4 Severo
2,51 3,50 3 Moderado
1,51 2,50 2 Leve
1,00 1,50 1 Muito leve
194
Exemplo Segurana:
Probabilidade Relevncia de Impacto
Frequncia / Exposio
No Processo Riscos Mdia Mdia
Nvel de Nvel do
Nota x Peso
Nota x Peso
Operacional
ponderada da ponderada
Legislao
Segurana
Financeiro
probabilidade impacto
Intervalo
Imagem
probabilidade do impacto
4 5 3 12 4 3 2 2 11
1 Segurana Vandalismo 3 5 5 39,00 4,33 Muito Alta 3 2 1 3 26,00 2,36 Leve
2 Segurana Furto de veculos 2 5 5 36,00 4,00 Muito Alta 3 3 2 4 33,00 3,00 Moderado
3 Segurana Furto de pertences pessoais 4 5 5 42,00 4,67 Elevada 2 2 1 4 24,00 2,18 Leve
4 Segurana Sabotagem na cabine primria 2 5 5 36,00 4,00 Muito Alta 5 5 3 5 51,00 4,64 Massivo
5 Segurana Desvio de mercadoria 4 5 5 42,00 4,67 Elevada 3 5 2 4 39,00 3,55 Severo
6 Segurana Roubo de carga 2 5 5 36,00 4,00 Muito Alta 3 5 4 4 43,00 3,91 Severo
Anlise de Riscos Inerentes Segurana
195
Exemplo Processo:
Probabilidade Relevncia de Impacto
Frequncia / Exposio
No Macroprocesso Processo Riscos Mdia Mdia
Nvel de Nvel do
Nota x Peso
Nota x Peso
Operacional
ponderada da ponderada
Legislao
Segurana
Financeiro
probabilidade impacto
Intervalo
Imagem
probabilidade do impacto
4 5 3 12 4 3 2 2 11
1 Vendas Vendas de produto Concesso de desconto indevida 3 5 5 52,00 4,33 Muito Alta 3 4 1 3 32,00 2,91 Moderado
2 Vendas Vendas de produto Venda sem estoque fsico 3 5 5 52,00 4,33 Muito Alta 4 4 2 4 40,00 3,64 Severo
3 Vendas Vendas de produto Favorecimento de clientes 4 5 5 56,00 4,67 Elevada 3 4 1 3 32,00 2,91 Moderado
4 Vendas Vendas de produto Anlise financeira equivocada 2 5 5 48,00 4,00 Muito Alta 3 3 2 5 35,00 2,18 Moderado
No ser cumprido o prazo de

5 Vendas Vendas de produto entregra de mercadoria para o 4 5 5 56,00 4,67 Elevada 4 3 3 5 41,00 3,73 Severo
cliente
Anlise de Riscos Inerentes - Processo
13.3 Matriz de Riscos

A avaliao de riscos visa comparar os nveis de riscos em relao aos critrios preestabelecidos. A relevncia
dos riscos possui como parmetro a matriz de riscos e o seu resultado o grau de criticidade do risco, ou seja, a
196
priorizao que a empresa deve utilizar para tratar cada risco, frente ao seu apetite ao risco. A matriz dividida em
quadrantes e para cada quadrante existe uma estratgia de tratamento e priorizao.
A matriz de riscos demonstra os pontos de cruzamento (horizontal e vertical) da probabilidade de ocorrncia e do

impacto. Quanto maior for a probabilidade e o impacto de um risco, maior ser o nvel do risco.
ELEVADA
5
MUITO
ALTA
4
ALTA
3
Probabilidade
MDIA
2
BAIXA
1 2 3 4 5
Impacto
Matriz de Riscos
197
Para cada quadrante da Matriz de Riscos, temos as seguintes classificaes e priorizaes de tratamento:
Quadrante I (Vermelho): Os riscos existentes no quadrante I so aqueles que tm alta probabilidade de ocorrncia e
podero resultar em impacto extremamente severo, caso ocorram. Exigem a implementao imediata das estratgias de
proteo e preveno, ou seja, ao imediata. Aes de 0 a 30 dias.
Quadrante II (Laranja): Localizam-se ameaas que podero ser muito danosas organizao, podendo possuir tanto baixa
probabilidade e alto impacto como baixo impacto e alta probabilidade. Essas ameaas devem possuir respostas rpidas,
que para isso devem estar planejadas e testadas em um plano de contingncia, emergncia, continuidade de negcios,
alm de aes preventivas. A diferena do quadrante I que as aes podem ser implementadas com mais tempo. So
riscos que devem ser constantemente monitorados. Aes de 0 a 90 dias.
Quadrante III (Amarelo): Localizam-se os riscos com alta probabilidade de ocorrncia, mas que causam consequncias
gerenciveis organizao. Os riscos classificados nesse quadrante devem ser monitorados de forma rotineira e sistemti-
ca, podendo tambm possuir planos de emergncia. Ponto de monitoramento 1 vez a cada 60 dias.
Quadrante IV (Verde): Os riscos classificados no quadrante IV possuem baixa probabilidade e pequeno impacto, repre-
sentando pequenos problemas e prejuzos. Esses riscos somente devem ser gerenciados e administrados, pois esto na
zona de conforto. Ponto de monitoramento 1 vez a cada 90 dias.
198
Probabilidade
Exemplo:
1
2
3
4
5
MUITO
BAIXA MDIA ALTA ELEVADA
ALTA
1
MUITO LEVE
01
03
2
LEVE
02
Impacto
3
Matriz de Riscos Inerentes

MODERADO
06
05
4
SEVERO
04
5
MASSIVO
199

13.4 Nvel de Riscos
Aps a finalizao da etapa para determinar a criticidade de cada risco, deve ser elaborado o Nvel do Risco do
Processo e/ou rea. O Nvel do Risco um ndice que deve ser calculado sempre que houver a avaliao de riscos,
geralmente semestralmente, possibilitando mensurar o grau de riscos dos processos ou das reas analisadas, visando
facilitar o monitoramento e o acompanhamento da evoluo dos riscos. Para calcular o Nvel de Risco, necessrio
utilizar as variveis j identificadas na etapa anterior de Avaliao de Riscos Grau de Probabilidade (GP) e Impacto (I),
conforme metodologia de clculo abaixo:
Nvel de Risco = Mdia do GP x Mdia do I
Para identificarmos o Nvel de Risco (Mdia GP x Mdia I) necessrio utilizar a tabela de converso a seguir:
200
Nvel de risco Escala Quadrante Tratamento
reas ou departamentos que esto na

Quadrante IV
1a5 1 zona de conforto, devendo ser gerenciadas
(Verde)
e administradas.
reas ou departamentos com algo grau de

riscos, mas que causam consequncias
Quadrante III
5,1 a 10 2 gerenciveis organizao. Essas reas ou
(Amarelo)
departamentos devem ser monitoradas de
forma rotineira ou sistemtica.
reas ou departamentos que devem

receber tratamento em mdio e curto
prazos. Possuem cruzamento do grau
Quadrante II
10,1 a 15 3 de risco com mdio e grande nvel de
(Laranja)
riscos e elevados impactos. So reas
ou departamentos que devem ser
constantemente monitoradas.
reas ou departamentos que tm alto

grau de risco e podero resultar em
Quadrante I impacto extremamente severo. Exigem
15,1 a 25 4
(Vermelho) implementao imediata das estratgias
de proteo e preveno, ou seja, ao
imediata.
201
importante ressaltar que quanto maior o nvel do risco, maior sua criticidade para o processo.
O Nvel de Risco utilizado para determinar seu apetite ao risco; dessa forma, nveis de riscos de processos ou reas
do nvel 3 para cima (laranja e vermelho), so considerados intolerveis. Nveis de riscos que alcancem esses dois
quadrantes devem possuir tratamento imediato por parte dos gestores.
202
Exemplo Segurana:
Riscos Probabilidade Impacto
Vandalismo 4,33 2,36
Furto de veculos 4,00 3,00
Furto de pertences pessoais 4,67 2,18
Sabotagem na cabine primria 4,00 4,64
Desvio de mercadoria 4,67 3,55
Roubo de carga 4.00 3,91
Total 25,67 19,64
Mdia 4,28 3,27
Nvel de riscos 13,99
Nvel de Riscos
1a5 1 Verde
5,01 a 10 2 Amarelo
10,01 a 15 3 Laranja
15,01 a 25 4 Vermelho
Nvel de Riscos Inerentes Segurana
203
Exemplo Processo:
Riscos Probabilidade Impacto
Concesso de desconto indevida 4,20 2,55
Venda sem estoque fsico 4,60 3,36
Favorecimento de clientes 5,00 2,27
Anlise financeira equivocada 4,20 2,91
No ser cumprido o prazo de entrega

4,60 3,55
de mercadoria para o cliente
Total 22,60 14,64
Mdia 4,52 2,93
Nvel de riscos 13,24
Nvel de Riscos
1a5 1 Verde
5,01 a 10 2 Amarelo
10,01 a 15 3 Laranja
15,01 a 25 4 Vermelho
Nvel de Riscos Inerentes Processo
204
14. ANLISE E
AVALIAO
DE RISCOS
RESIDUAL
14.1 Introduo
Entende-se por risco residual a anlise e avaliao dos riscos considerando os controles existentes e em operao.
Esse conceito permite que os controles sejam avaliados e posteriormente que sua efetividade seja comprovada
durante os testes de auditoria.
205
14.2 Walkthrough Avaliao dos Controles Existentes
Com o objetivo de confirmar a eficcia dos controles identificados nos processos ou reas em estudo, necessrio
realizar o walkthrough. No final dessa etapa, a informao disponvel permitir ao gestor responsvel o conhecimento
do processo ou rea, e a eficcia, ineficcia ou inexistncia dos controles para que seja construda uma anlise de
riscos residuais.
Para auxiliar na elaborao do walkthrough, deve-se utilizar as seguintes questes para anlise:
Tipo? Escrever o tipo de controle, ou seja, manual ou automtico (sistema).
Controle? Descrever o nome do controle.
Controle uma ao tomada para certificar-se de que algo se cumpra. Os controles tambm so meios usados para verifi-
car que certa ao eficiente ao seu propsito.
Descritivo do controle? Conceituar / descrever o controle.
Objetivo do controle? Escrever o objetivo do controle.
Os controles e os meios devem ser dirigidos para um objetivo a ser atingido. Decidir qual o objetivo o primeiro passo em
qualquer processo de controle.
A qual o fator de risco o controle est associado? Na verdade o controle tem objetivo anular ou detectar o fator de
risco.
Periodicidade? Escrever a periodicidade do uso do controle dirio, quinzenal, mensal, etc.
Categoria? Escrever a categoria do controle preventivo, detectivo ou corretivo.
Preventivo Desenhado para prevenir resultados indesejados. Reduzem a possibilidade de sua ocorrncia e
deteco.
Detectivo Desenhado para detectar fatos indesejveis. Detectam a manifestao / ocorrncia de um fato.
206
Resultado do walkthrough? Escrever o resultado dos procedimentos efetuados no walkthrough, o qual tem o objetivo de
validar os controles aplicados.
Parecer? Escrever o parecer do controle analisado eficaz ou ineficaz.
Concluso do walkthrough? Tendo em vista a avaliao dos controles, escrever a concluso geral sobre
o walkthrough.
207
Exemplo Segurana:
Walkthrough Segurana
208

Exemplo Processo:
Walkthrough Processo
209

14.3 Probabilidade X Impacto
Para realizar anlise de riscos residuais (probabilidade x impacto), deve-se utilizar a metodologia e os critrios
abordados no captulo anterior, na parte de Determinao do Nvel de Probabilidade e Nvel de Impacto. Abaixo quadro
comparativo entre a anlise de riscos inerentes x anlise de riscos residuais.
Exemplo Segurana:
Anlise de Risco Residual - Segurana
210
Exemplo Processo:
Anlise de Risco Residual Processo
211

14.4 Matriz de Riscos
Para elaborar a Matriz de Riscos Residuais, deve-se utilizar a metodologia e os critrios do captulo anterior, na parte
de Matriz de Riscos Inerentes.
Abaixo quadro comparativo entre a matriz de riscos inerentes x matriz de riscos residuais.
Exemplo:
Matriz de Risco Inerente
212
14.5 Nvel de Riscos
Para elaborar o Nvel de Riscos Residuais deve-se utilizar a metodologia e os critrios estabelecidos no captulo
anterior, Anlise e Avaliao dos Riscos Inerentes.
Abaixo, quadro comparativo entre o nvel de riscos inerentes x nvel de riscos residuais.
Exemplo Segurana:
Nvel de Risco Inerente Segurana
213
Exemplo Processo:
Nvel de Risco Inerente Processo
214

15. RESPOSTAS
AOS RISCOS
15.1 Tratamento dos Riscos

importante que exista a conscientizao e o comprometimento com o gerenciamento de riscos por parte da alta
administrao da empresa. Nesse contexto, os tomadores de deciso so os responsveis por esse gerenciamento,
ou seja, mediante a matriz de riscos deve-se identificar qual a resposta a ser adotada para tratamento do risco. A
seguir, as estratgias que podem ser adotadas para o tratamento dos riscos:
Evitar o Risco: Deciso de no se envolver ou agir de forma a se retirar de uma situao de risco. Necessrio preencher o
formulrio padro de Risco Assumido.
Aceitar o Risco: Nesse caso, apresentam-se trs alternativas: reter, reduzir ou transferir/compartilhar o risco.
215
Reter: Manter o risco no nvel atual de impacto e probabilidade. Necessrio preencher o formulrio padro de Risco Assumido.
Reduzir: Aes so tomadas para minimizar a probabilidade e/ou o impacto do risco.
Transferir e/ou Compartilhar: Atividades que visam reduzir o impacto e/ou a probabilidade de ocorrncia do risco por
meio da transferncia ou, em alguns casos, do compartilhamento de uma parte do risco.
O risco assumido quando um tomador de deciso decide assumir riscos no quadrante vermelho ou laranja da
Matriz de Riscos Residuais, tendo em vista a relao custobenefcio ou por questes estratgicas. Esse tipo de
deciso vai contra as boas prticas de mercado. Sempre que um tomador de deciso resolver assumir riscos deve
faz-lo de maneira documentada para manter assim um registro, possibilitando que esse registro seja acionado caso
o risco assumido venha a se concretizar.
15.2 Matriz de Priorizao dos Riscos

Com o objetivo de aplicar o conceito de interconectividade entre riscos, a priorizao elaborada por meio das
ferramentas Matriz de Impactos Cruzados e Matriz de Riscos Residuais. Por meio do cruzamento das duas matrizes,
possvel estabelecer a priorizao dos riscos. A Brasiliano & Associados elaborou uma Matriz com esse cruzamento, em
que no eixo vertical foi colocada a motricidade dos riscos (Matriz de Impactos Cruzados) e no eixo horizontal, a criticidade
dos riscos (Matriz de Riscos, utilizando os quatro nveis da matriz). O resultado ficou conforme a Matriz a seguir:
216
04 01 04
05
MOTRIZ
12
13
Motricidade dos Riscos 04

05
LIGAO
12
13
04 02 03
05
DEPENDENTE
12
13
06 05
INDEPENDENTE
IV III II I
Quadrante verde Quadrante amarelo Quadrante laranja Quadrante vermelho
Matriz de Priorizao de Riscos
Essa Matriz uma metodologia da Brasiliano & Associados. A priorizao foi um resultado baseado na experincia
dos seus consultores e respectivos projetos, podendo ser readaptada e alterada, de acordo com as caractersticas do
contexto ou da empresa. A seguir, um exemplo de Priorizao de Riscos.
Exemplo de Riscos em uma Anlise na Copa do Mundo em So Paulo FIFA FUN FEST
217
Matriz de Impactos Cruzados
218

ELEVADA
5
05 13
MUITO
ALTA
4
02
ALTA
Probabilidade 3
06 08 09 10 14
MDIA
2
01 03 04 07 11 12 15
BAIXA
1 2 3 4 5
Impacto
01 Manifestao pacfica com bloqueio do trfego local 07 Atentado terrorista criminoso
02 Manifestao com atos de vandalismo / 08 Assdio sexual

depredao contra patrimnio pblico
09 Arrasto
03 Manifestao com atos de vandalismo com
lanamentos de inflamveis contra o pblico local 10 Briga entre torcidas uniformizadas
04 Manifestao com atos de agresso contra o efetivo 11 Presena de grupos extremistas

da PM, gerando violncia
12 Presena de extremista solitrio
05 Tumulto
13 Crimes comuns (roubo, furto, etc.)
06 Manifestao para conteno do pblico para o
14 Movimentos de presso e reivindicatrios
local do evento
15 Violncia policial
Matriz de Riscos
219
04 *01 *03 *02 01 Manifestao pacfica com bloqueio parcial
05 *06 02 Manifestao com atos de vandalismo /
MOTRIZ
12 depredao contra patrimnio pblico
13
03 Manifestao com atos de vandalismo com
04 *10 *04 lanamentos de inflamveis contra o pblico local
Motricidade dos Riscos
05 *14 *05
LIGAO 12 *12 04 Manifestao com atos de agresso contra o
efetivo da PM
13 *13
*15 05 Tumulto
04 *08 *07
06 Manifestao para conteno do pblico para o
05 *09 *11 local do evento
DEPENDENTE
12
13 07 Atentado terrorista criminoso
08 Assdio sexual
INDEPENDENTE 09 Arrasto
10 Briga entre torcidas uniformizadas
1 2 3 4 11 Presena de grupos extremistas
12 Presena de extremista solitrio

13 Crimes comuns (roubo, furto, etc.)
14 Movimentos de presso e reivindicatrios
15 Violncia policial
Motricidade x Criticidade de Riscos = Priorizao de Riscos
Explicao e Aplicao: Se aplicssemos somente a Matriz de Riscos, teramos somente o risco 02 Manifestaes
com atos de vandalismos/depredaes contra o patrimnio pblico como risco crtico. Vejam que a miopia do gestor
grande, pois daria foco, alocaria recursos para um nico risco. J se o gestor cruzasse a motricidade com a criticidade
de riscos, temos 9 riscos como crticos e motrizes, ou seja aumenta a abrangncia do gestor, diminuindo a chance de
ele ser surpreendido. Essa metodologia ajuda os gestores a ampliarem a sua viso. Tanto o COSO II como o Frum
Mundial, por meio do Risk Report de 2014/2015, pedem que as empresas pratiquem essa nova metodologia de
cruzamento entre a criticidade dos riscos e a motricidade e ou interconectividade.
220
15.3 Plano de Ao
Depois de identificados, avaliados e mensurados, deve-se definir qual tratamento deve ser atribudo aos riscos. A
priorizao deve estar embasada na Matriz de Riscos Residuais, Diagrama de Causa e Efeito e Matriz SWOT. Os riscos
localizados nos quadrantes vermelhos e laranjas devem receber prioridade no tratamento.
Para elaborao do plano de ao utilizada a tcnica das perguntas 5W e 2H.
What? (O que?): Medida em relao causa prioritria;
Who? (Quem?): Nome do responsvel pela implementao da ao;
When? (Quando?): Data limite para implementao da ao;
Where? (Onde?): Onde a ao ser implementada;
Why? (Por qu?): Qual o motivo para realizao da ao;
How? (Como?): Descrever como ser executada a ao proposta;
How Much? (Quanto Custa?): Qual o valor do investimento.
O plano de ao deve estar embazado nos fatores de riscos crticos. Por esta razo deve-se olha a matriz SWOT e
o diagrama de causa e efeito. Nunca devemos esquecer que sempre teremos tratar as causas, previnir as causas e
diminuir as consequncias.
221
Exemplo:
Plano de Ao
222

O Plano de ao deve ser monitorado sob dois aspectos: uma manifestao do seu status - prazo e o outro no quesito
da sua eficcia. Se de fato as sugestes, os controles, os sistemas, os recursos atingiram os objetivos propostos. Isto
primordial para o sucesso da implementao do plano de ao.
15.4 Priorizao das Aes

A ferramenta de Priorizao das Aes tem por objetivo fazer com que o gestor e ou analista possa, de forma prtica e
objetiva, enxergar, por meio de critrios preestabelecidos, as aes que so prioritrias em termos de benefcio. Os dois
critrios utilizados so:
Benefcio Estimado
Esforo de Implementao: O macrocritrio Esforo de Implementao conseguido por meio da medida ponderada de trs
subcritrios, com os seguintes pesos:
Critrios de Esforo de Implementao
223
Abaixo os subcritrios do Esforo de Implementao e suas definies:
Critrio Definio
Significa quanto a empresa vai ter

Custo
que investir, uma viso financeira.
Visa identificar qual o horizonte

Tempo temporal estimado para a real
implantao da ao e/ou sistema.
em termos de nvel de aprovao,

Autonomia se depender de uma diretoria ou do
prprio departamento.
A nota varia de 1 a 5, de acordo com o nvel de esforo. Quanto maior o esforo maior a nota.
O grau de Esforo de Implementao conseguido somando-se as notas de cada subcritrio, e dividindo por 9
(somatrio dos pesos). A partir da temos a mdia ponderada:
224
Esforo de implementao Nvel
3,51 5,00 Alto
2,00 3,50 Mdio
1,00 2,00 Baixo
Benefcio Estimado: O macrocritrio Benefcio Estimado conseguido por meio da mdia ponderada de trs subcritrios,
com os seguintes pesos:
Critrios de Benefcio Estimado
225
Abaixo os subcritrios do Benefcio Estimado e suas definies:
Critrio Definio
Significa quanto ao pode gerar de

Impacto no Contexto
resultado no contexto estabelecido.
De dar certo a estimativa da ao

ser operacionalizada com sucesso
Probabilidade
diante da estrutura e recursos da
empresa.
a estimativa do quanto a ao pode

Eficcia Operacional continuar gerando de resultado aps
sua implantao.
A nota varia de 1 a 5, de acordo com o nvel de benefcio. Quanto maior o benefcio, maior a nota.
O grau de Benefcio Estimado conseguido somando-se as notas de cada subcritrio, e dividindo por 10 (somatrio
dos pesos). A partir da temos a mdia ponderada
226
Benefcio estimado Nvel
3,51 5,00 Alto
2,00 3,50 Mdio
1,00 2,00 Baixo
Matriz de Priorizao das Aes

O resultado do cruzamento dos dois macrocritrios uma Matriz, com trs quadrantes, em que temos as priorizaes.
O quadrante azul onde as aes devem ser operacionalizadas; o quadrante laranja exige reavaliao e ou ao em
mdio prazo, e o quadrante vermelho so as aes que devem ser descartadas.
227
Exemplo:
ESFORO DE IMPLEMENTAO
BAIX0 MDI0 ALT0
BAIX0
05
MDI0
Matriz de Priorizao das Aes

BENEFCIO ESTIMADO
03 04
01 02
ALT0
228

15.5 Projeo Futura
P robabilidade X Impacto
Para que possam realizar uma Matriz de Riscos com projeo futura, necessrio reavaliarmos a Anlise de Riscos,
partindo da premissa que o plano de ao previsto ser implementando. A projeo futura uma relao custo x
beneficio
Essa reavaliao obtida na reviso dos fatores de riscos do diagrama de causa e efeito de cada risco, ou seja, tudo
que foi tratado / implementado causar uma reduo da probabilidade e o impacto na matriz de riscos.
229
Exemplo:
230

231

232

16. MONITORAMENTO E
ANLISE DE CRTICA
O monitoramento e a anlise crtica devem ser planejados como parte do processo da avaliao de riscos e deve envolver
a checagem ou vigilncia de maneira regular. Podem ser peridicos ou acontecer em resposta a um fato especfico.
Devem ser monitorados:
Plano de Ao;
Grau de Risco Matriz de Risco;
Nvel de Risco.
De forma clara e objetiva o monitoramento envolve dois processos:
233
O primeiro a verificao se o Plano de Ao proposto est sendo executado. Para isso devemos utilizar um farol, com
os indicadores: executado, em execuo e no executado. Tambm devem ser acompanhados os resultados das aes
e medidas propostas. Devem ser acompanhadas para saber se seus objetivos foram atingidos e se no foram quais as
dificuldades encontradas e as aes corretivas.
O segundo processo de monitorao diz respeito evoluo das condies dos riscos identificados e analisados. Nesse
caso, deve-se montar um processo de acompanhamento se as condies listadas no diagrama de causa e efeito sofrem
mudanas e ou alteraes do ambiente. Esse processo de monitoramento de suma importncia e deve ser acompanhado
diretamente pelo gestor de riscos.
O monitoramento do plano de ao deve ser realizado mensalmente pelos facilitadores e responsveis das reas.
O gestor dever elaborar indicadores nos processos considerados crticos e nos processos com nvel de riscos 3 e 4.
Mostraremos a seguir uma srie de indicadores e mapas de acompanhamentos que o gestor pode estar usando
como exemplo para praticar o monitoramento.
234
235

236

237

238

239

240

CONCLUSO
Os riscos estratgicos, operacionais, financeiros, legais e externos que afetam as empresas globais e que so
potencialmente prejudiciais para as organizaes brasileiras requerem o fortalecimento de prticas inerentes sua
governana corporativa. Com base na forte dinamicidade do ambiente do mercado, mundo VUCA, podemos sugerir os
seguintes passos para que as empresas tenham processos estruturados de gesto de riscos e, dessa forma, possam
trabalhar de forma preventiva:
1. Gerenciar a interconectividade dos riscos: a empresa precisa adotar uma gesto integrada de riscos para identificar e
administrar as correlaes entre todos os riscos aos quais ela est exposta, incluindo todas as disciplinas;
2. Alimentar uma forte cultura de controles com o processo descentralizado: a administrao da empresa tem que criar uma
cultura que enfatize a importncia do dono do processo ser o dono do risco, com isso, a tica deve ser enfatizada integrada
241
com o gerenciamento de risco. Incentivos de remunerao devem ser alinhados com a criao de valores em longo prazo e
com a proteo marca;
3. Fornecer informaes em tempo real: a empresa precisa implantar sistemas de informaes internos e mecanismos de
comunicao para assegurar que a Diretoria Executiva e o Conselho de Administrao recebam informaes corretas, em
tempo real, sobre as causas e os impactos, no s financeiros, mas tambm legais, operacionais e ligados a reputao,
bem como as possveis solues para os problemas;
4. Enfrentar os riscos com baixa frequncia e alto impacto: a empresa deve empregar testes de estresse para assegurar que
os controles internos e os planos para a continuidade dos negcios poderiam resistir a um evento de alto impacto ou, pelo
menos, que pudessem dar flexibilidade para responder rapidamente a cenrios adversos.
O importante que todas as empresas, independentemente do perfil e do porte, precisam conhecer a efetiva
dimenso dos riscos das suas atividades em que esto envolvidas. Mesmo no podendo evitar os riscos, as empresas
podem melhorar seu controle sobre o ambiente, prevenindo, amenizando ou recuperando-se mais rapidamente desses
eventos. Dessa forma, tero condies de sobreviverem com maior agilidade e flexibilidade.
O Mtodo aqui descrito Mtodo Brasiliano de Inteligncia e Riscos Corporativos uma tcnica para auxiliar
o gestor na priorizao do tratamento dos riscos, possibilitando integrar as origens de cada risco com seu nvel de
influncia para sua concretizao e de resposta aos riscos. Auxilia de forma direta na construo da matriz de riscos
e da matriz de priorizao de aes.
Esperamos que com essa tcnica possamos facilitar a tomada de deciso dos responsveis pela gesto de riscos e
auxiliar a implantao de medidas reais preventivas e contingenciais.
242
REFERNCIAS
ALENCAR, Antonio Juarez; SCHMITZ, Eber Assis. Anlise de risco em gerncia de projetos. Rio de Janeiro: Brasport,
2005.
ADAMS, John. Risco. So Paulo: Editora Senac So Paulo, 2009.
BARALDI, Paulo. Gerenciamento de risco: a gesto de oportunidades, a criao de controles internos e a avaliao de
riscos nas decises gerenciais. Rio de Janeiro: Elsevier, 2004.
BERNSTEIN, Peter L. Desafio aos Deuses: A fascinante Histria do Risco. Rio de Janeiro: Campus, 1997.
BORGERTH, Vnia Maria da Costa. Sox: entendendo a Lei Sarbanes-Oxley: um caminho para a informao transparente.
So Paulo: Thomson Learning, 2007.
243
BRASILIANO, Antonio Celso Ribeiro. Anlise de Risco Mtodo Brasiliano. So Paulo: Editora Sicurezza, 2006.
______. A (In)Segurana nas Redes Empresariais: A fuga involuntria das Informaes e a Inteligncia Competitiva.
So Paulo: Editora Sicurezza, 2003.
______. Cenrios Prospectivos em Gesto de Riscos Corporativos: Um estudo de caso Brasilieiro. So Paulo: Editora
Sicurezza, 2010.
______. Gesto de Continuidade de Negcios. So Paulo: Editora Sicurezza, 2011.
______. Gesto de Risco de Fraudes: Fraud Risk Assessment. So Paulo: Editora Sicurezza, 2015.
______. Manual de Anlise de Riscos para a Segurana Empresarial. So Paulo: Editora Sicurezza, 2003.
______. Manual de Planejamento: Gesto de Riscos Corporativos. So Paulo: Editora Sicurezza, 2003.
______. Planejamento da Segurana Empresarial. So Paulo: Editora Sicurezza e Cia. das Artes, 1999.
______. Metodologia para Elaborar Cenrios Prospectivos em Riscos Corporativos. Revista Proteger, n. 41, nov./dez.
2002.
______. Metodologia para a Identificao de Riscos Estratgicos. Revista Proteger, n. 45, abr./maio 2004.
______. Transformando Informaes em Inteligncia atravs da Anlise. Revista Proteger, n. 48, jan./fev. 2005.
BRASILIANO, Antonio Celso Ribeiro; BLANCO, Lucas. Planejamento Ttico e Tcnico em Segurana Empresarial. So
Paulo: Editora Sicurezza, 2003.
CERQUEIRA, Jorge Pedreira de; MARTINS, Mrcia Copello. Auditoria de sistemas de gesto: ISO 9001, ISO 14001,
OHSAS 18001, ISO/IEC 17025, SA8000, ISO 19011:2002. Rio de Janeiro: Qualitymark, 2004.
COIMBRA, Fbio. Riscos operacionais: estrutura para gesto em bancos. So Paulo: Saint Paul Editora, 2007.
DAMODARAN, Aswath. Gesto estratgica do risco: uma referncia para a tomada de riscos empresariais. Porto
Alegre: Bookman, 2009.
244
DIAS, Sergio Vidal dos Santos. Auditoria de processos organizacionais: Teoria, finalidade, metodologia de trabalho e
resultados esperados. So Paulo: Atlas, 2006.
FELDMAN, Liliane Bauer. Gesto de Risco e Segurana Hospitalar. So Paulo: Martinari, 2008.
KIM, W. Chan; MAUBORGNE, Rene. A Estratgia do Oceano Azul: Como citar novos mercados e tornar a concorrncia
irrelevante. So Paulo: Editora Campus, 2005.
MARSHALL, Christopher. Medindo e Gerenciando Riscos Operacionais em Instituies Financeiras. Rio de Janeiro:
Quality Mark, 2001.
MARTIN, SMOCIUK E NIGEL. Riscos de Fruade: um breve manual para prevenir e detectar fraudes.So Paulo: Editora
Sicurezza, 2013
MANZI, Vanessa Alessi. Compliance no Brasil: Consolidao e perspectivas. So Paulo: Saint Paul Editora, 2008.
MIGLIAVACCA, Paulo Noberto. Controles Internos nas Organizaes. So Paulo: Edicta, 2004.
PADOVEZE, Clvis Luis; BERTOLUCCI, Ricardo Galinari. Gerenciamento do risco corporativo em controladoria: Enterprise
Risk Management (ERM). So Paulo: Cengage Learning, 2008.
SALLES JNIOR, Carlos Alberto Corra. Gerenciamento de riscos em projetos. Rio de Janeiro: Editora FGV, 2007.
SLYWOTZKY, Adrian J.; WEBER, Karl. Do risco oportunidade: As 7 estratgias para transformar ameaas em fatores
de crescimento. Rio de Janeiro: Elservier, 2007.
TATTAM,David. Um breve guia ao Risco Operacional. So Paulo: Editora Sicurezza, 2013
245
Normas
ABNT NBR ISO 22301: 2013 - Segurana da Sociedade - Sistema de Gesto de Continuidade de Negcios - Requisitos.
ABNT NBR ISO 22313: 2015 - Segurana da Sociedade - Sistema de Gesto de Continuidade de Negcios - Orientaes.
ABNT ISO GUIA 73: 2009 - Gesto de Riscos Vocabulrio.
ABNT NBR ISO 31.000: 2009 - Gesto de Riscos Princpios e Diretrizes.
ABNT NBR ISO 31.010: 2012 - Gesto de Riscos Tcnicas para o Processo de Avaliao de Riscos.
ABNT ISO/TR 31004: 2015 Gesto de Riscos Guia para implementao da ABNT NBR ISO 31000
ABNT NBR ISO 28000: 2009 Especificao para Sistemas de Gesto de Segurana para a Cadeia Logstica
ABNT NBR ISO/IEC 27005: 2011 Tecnologia da Informao Tcnicas de Segurana Gesto de Riscos de Segurana
da Informao
ABNT NBR 16337: 2014 - Gerenciamento de riscos em projetos - Princpios e diretrizes gerais
COSO I - Committe of Sponsoring Organizations of the Treadway Commission.
COSO II - Enterprise Risk Management Integrated Framework - ERM.
IBGC INSTITUTO BRASILEIRO DE GESTO DE RISCOS CORPORATIVOS. Guia de Orientao para Gerenciamento de
Riscos Corporativos (www.ibgc.org.br).
246
SOBRE O AUTOR
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA, CES, DEA, DSE, MBS
Doutor em Science et Ingnierie de LInformation et de LIntelligence Stratgique (Cincia e Engenharia da Informao
e Inteligncia Estratgica) pela UNIVERSIT EAST PARIS MARNE LA VALLE Paris Frana; Master Degree Diplome
DEtudes Approfondies (DEA) en Information Scientifique et Technique Veille Technologique (Inteligncia Competitiva)
pela UNIVERSITE TOULON Toulon Frana; Especializado em: Inteligncia Competitiva pela Universidade Federal do
Rio de Janeiro - UFRJ; Gestin da Seguridad Empresarial Internacional Universidad Pontifcia Comillas de Madrid
Espanha; Curso de Gestin da Seguridad Empresarial Universidad Pontifcia Comillas de Madrid Espanha;
Planejamento Empresarial, pela Fundao Getlio Vargas SP; Elaborao de Currculos pelo Centro de Estudos
247
de Pessoal do Exrcito CEP, Bacharel em Cincias Militares, graduado pela Academia Militar das Agulhas Negras;
Bacharel em Administrao de Empresas Universidad Mackenzie; Certificado em Gesto de Riscos Certification
in Risk Management Assurance CRMA, pelo IIA Global Institute of Internal Auditors, Certificado como Especialista
em Segurana Empresarial CES pela ABSO. Autor dos livros: Gesto de Risco de Fraudes, Fraud Risk Assessment
FRA, Gesto de Continuidade de Negcios GCN; Guia Prtico para a Gesto de Continuidade de Negcios, Cenrios
Prospectivos em Gesto de Riscos Corporativos: um estudo de caso brasileiro; Gesto e Anlise de Riscos Corporativos:
Mtodo Brasiliano Avanado Alinhado com a ISO 31000; Anlise de Risco Corporativo Mtodo Brasiliano; Manual de
Anlise de Risco Para a Segurana Empresarial; Manual de Planejamento: Gesto de Riscos Corporativos; A (In)Segurana
nas Redes Empresarias: A Inteligncia Competitiva e a Fuga Involuntria das Informaes; Planejamento da Segurana
Empresarial: Metodologia e Implantao. Co-Autor dos Livros: Manual de Planejamento Ttico e Tcnico em Segurana
Empresarial; Segurana de Executivos Noes Anti-Sequestro e Sequestro: Como se Defender. Professor Convidado
do Instituto de Pesquisas Tecnolgicas IPT USP; Mestrado Profissional para Ministrar aulas de Gesto e Anlise
de Riscos, da Fundao Dom Cabral e da Faculdade Trevisan para Cursos de Gesto de Riscos, Atual Coordenador e
Professor do MBA em Gesto de Riscos Corporativos e Cursos de Extenso nos temas de Riscos, Compliance, Gesto
de Continuidade de Negcios, Auditoria Baseada em Riscos, Controles Internos, Segurana Corporativa, todos em
parceria com a Faculdade de Engenharia de So Paulo FESP; Membro do Institute of Internal Auditors IIA; do Instituto
dos Auditores Internos do Brasil IIA Brasil; Membro da ACFE Association of Certified Fraud Examiners, Coordenou
a primeira Pesquisa de Vitimizao Empresarial 2003 Contrato pela PENUD/ONU/SENASP; Profissional com mais de
25 anos de experincia em Gesto de Riscos, Palestrante nacional e Internacional Argentina, Paraguai, frica e Japo
(convidado pela Organizao PanAmericana de Sade-OPAS, como expert em Planos de Contingncia, na Conferncia
Mundial de Reduo de Desastres, Yokohama) em inmeros eventos da rea de riscos, compliance, auditoria, controles
internos e segurana corporativa. Experincia internacional em consultoria de gesto de riscos em Portugal, Cabo
Verde, Angola, Moambique, Uruguai, Argentina, Paraguai, Colmbia, Mxico. Membro da Comisso de Estudo Especial
de Gesto de Riscos da ABNT/CEE-63 ISO 31000/31010/31004 Gesto de Riscos e ISO 22301/22313 Gesto
de Continuidade de Negcio Segurana da Sociedade. Diretor Presidente da BRASILIANO & ASSOCIADOS.
248
Saber interpretar um processo de riscos com inteligncia de extrema importncia para as empresas de grande, mdio e
pequeno porte, pois os riscos acontecem independentemente do tamanho do negcio. Os riscos podem ocorrer em qualquer
situao, ou seja, proveniente de uma catstrofe natural, o risco gerado por falha humana ou falha tcnica, risco de crdito,
imagem, risco estratgico, risco operacional, risco meio ambiente, risco de segurana do trabalho, risco de TI entre outros.
O livro possui um processo de Inteligncia em riscos, identificando e demonstrando a Interconectividade entre reas e
riscos, que influenciam a ponto de tornar-se um problema sistmico para a empresa. A obra do Prof. Brasiliano, possui
um processo objetivo e prtico, integrado com as trs melhores prticas de mercado, ISO 31000, COSO I e II. As mtricas
elaboradas facilitam tanto os usurios do gerenciamento de risco como os responsveis pela gesto de risco corporativos
que sustentaro o plano com medidas preventivas e melhorias contnuas nos processos. Desta forma o processo de
inteligncia em riscos trar uma viso de antecipao para os gestores, facilitando a interpretao das inmeras e
dinmicas informaes.
A Obra e a dedicao do Prof. Brasiliano, assim conhecido no mercado a 28 anos em consultoria de Gesto de Riscos
Corporativos, apia alunos, gestores, administradores, facilites, engenheiros e a quem possa interessar, na construo de
um plano de Gesto de Riscos Corporativos.
Como comentrio final e para reflexo de todos, cito a frase de um autor desconhecido,
A Inteno de se aceitar o risco no se equivale ao desejo irresponsvel de se apostar na sorte
Enza Cirelli - Sicurezza Editora

Inteligência em Riscos - Gestão Integrada em Riscos Corporativos

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Inteligência em Riscos - Gestão Integrada em Riscos Corporativos

Hochgeladen von

Copyright:

Verfügbare Formate

INTELIGNCIA EM RISCOS GESTO INTEGRADA EM RISCOS CORPORATIVOS

Brasiliano, Antonio Celso Ribeiro

1. Administrao de riscos 2. Anlise de risco 3. Planejamento estratgico

ndices para catlogo sistemtico:

Direitos dessa edio cedidos por contrato para:

Sicurezza Gesto de Riscos Corporativos, Editora e Distribuidora Ltda

Coordenao: Enza Cirelli

Esta terceira edio fruto das adaptaes, da evoluo, da inovao e tambm de

Enza, pelo fundamental suporte e apoio em todos os momentos complicados de

A Brasiliano que mais trabalhou comigo em projetos:

A todos os meus clientes, os verdadeiros protagonistas deste trabalho.

- viso do todo e no da parte; o gestor tem que enxergar a floresta e no a rvore;

Sonhe grande e ouse fracassar.

No tenhamos medo neste mundo de incerteza, se temos convico, vamos em frente!

Antonio Celso Ribeiro Brasiliano

2.1 Origem da Gesto de Riscos

Num cenrio em que as mudanas so velozes, as instabilidades, permanentes, e h um predomnio de alta

As atividades de um departamento de gerenciamento de riscos corporativos, dentro do enfoque moderno, abrange

2) RISCOS OPERACIONAIS LIGADOS OPERAO

3) RISCOS NOS PROCESSOS

4) RISCOS DE TECNOLOGIA DA INFORMAO

5) RISCOS DE MEIO AMBIENTE

6) RISCOS DE SADE E SEGURANA DO TRABALHADOR

7) RISCOS DE SEGURANA EMPRESARIAL

10) RISCOS SOCIAIS

11) RISCOS DE SUSTENTABILIDADE

12) RISCOS DE COMUNICAO

13) RISCOS DE FRAUDES

14) RISCOS NA CADEIA LOGSTICA

15) RISCOS NO PROJETO

16) OUTRAS TANTAS DISCIPLINAS

Acionamento das respostas Continuidade

2.3 Categorias de Riscos

2.3.1 Risco de Mercado

a) Risco de Taxas de Juros

b) Risco de Taxas de Cmbio

h) Risco de Concentrao (mercado)

2.3.2 Risco de Crdito

b) Risco de Degradao de Crdito

c) Risco de Degradao das Garantias

f) Risco de Concentrao (crdito)

c) Risco de Presteza e Confiabilidade

h) Risco de Produtos e Servios

k) Risco de Liquidao Financeira

m) Risco de Concentrao (operacional)

2.3.5 Riscos Estratgicos

Os sete riscos estratgicos so:

2.3.6 Risco de Liquidez e/ou Atuarial

2.4.1 Conceito de Interconectividade

- pontos de ruptura modestos, combinados indiretamente para produzir grandes falhas;

- sistemas sendo incapazes de recuperar o equilbrio depois de um choque.

2.4.2 Criticidade e Motricidade de Riscos

INTELIGNCIA EM RISCOS GESTO INTEGRADA EM RISCOS CORPORATIVOS

INTELIGNCIA EM RISCOS GESTO INTEGRADA EM RISCOS CORPORATIVOS

INTELIGNCIA EM RISCOS GESTO INTEGRADA EM RISCOS CORPORATIVOS

10 - Briga entre torcidas uniformizadas

1 2 3 4 11 - Presena de grupos extremistas

12 - Presena de extremista solitrio

14 - Movimentos de presso e reivindicatrios

3.1 Objetivos do Gerenciamento de Riscos Corporativos

1. Alinhar o apetite a risco com a estratgia adotada

2. Fortalecer as decises em resposta aos riscos

3. Reduzir as surpresas e prejuzos operacionais