Paulo Ricardo Grazziotin

AFFC
tempo de gesto de riscos!

A gesto de riscos elemento fundamental para a construo da governana corporativa. A

implantao e o aprimoramento da gesto de riscos na organizao constitui um processo de
aprendizagem organizacional que comea com o desenvolvimento de uma conscincia sobre a
importncia de gerenciar riscos e avana com a implantao de prticas e estruturas necessrias
gesto de riscos. O pice desse processo se d quanto da organizao conta com uma
abordagem consistente para gerenciar riscos e com uma cultura organizacional aderente aos
princpios e prticas da gesto de riscos (SEAUD/SEGECEX/TCU).
Gerenciamento de riscos corporativos o conjunto de tcnicas que visa reduzir os efeitos das
perdas. Enfoca o tratamento dos riscos que possam causar danos pessoais, materiais, ao meio
ambiente e imagem da empresa. ainda a oportunidade de fazer com que a empresa
mantenha e conquiste novos negcios e gerencie suas perdas de forma equilibrada e racional. O
Gerenciamento de riscos corporativos um processo iterativo (que se repete; PDCA;
aprendizagem contnua) composto de etapas bem definidas que, realizadas em sequncia,
suportam melhor as tomadas de decises, contribuindo com a reduo dos riscos e seus
impactos.

Norma de Governana Corporativa e Integridade da Companhia Nacional de AbastecimentoCONAB de n 10.111 (pioneira na administrao pblica federal).
http://www.conab.gov.br/OlalaCMS/uploads/arquivos/14_12_03_16_30_49_10.pdf

Resoluo/TRE/RS n 249/2014, a qual dispe sobre poltica de gesto de riscos do TRE/RS

(elogiada no item 1.7.1, TC-035.010/2014-2, Acrdo n 5.948/2015-TCU-2 Cmara, DOU de
31.08.2015, S. 1, p. 180).
http://www.tre-rs.jus.br/index.php?nodo=15858

No Brasil, ainda no h um referencial que oriente a estruturao da gesto de riscos na

administrao pblica federal. O mais prximo disso o GESPBLICA, que consiste em conjunto de
orientaes e parmetros para avaliao da gesto, embora esse modelo de gesto no tenha
enfoque especfico para gerenciamento de riscos (TC-011.745/2012-6, Acrdo n 2.467/2013-TCUPlenrio).
Com base no modelo de gesto de riscos adotado pelo governo do Reino Unido, o TCU iniciou
aplicao de ferramenta avaliativa na esfera da administrao federal indireta, uma vez que nesse
setor a gesto de riscos assunto de conhecimento geral, e adotada em muitas empresas estatais
e autarquias como parte do seu modelo gerencial (TC-011.745/2012-6, Acrdo n 2.467/2013-TCUPlenrio).
Determinao SEAUD para que acompanhe as aes do MPOG voltadas disseminao de
metodologia de gesto de riscos nos rgos do Poder Executivo, com a finalidade de desenvolver
instrumentos de avaliao da maturidade de gesto de riscos (item 9.1.2, TC-011.745/2012-6,
Acrdo n 2.467/2013-TCU-Plenrio).
As instituies financeiras oficiais (Banco Central, Banco do Brasil e Caixa Econmica Federal, por
exemplo) esto mais avanadas em termos de RM.

Aps contatos com entidades da Administrao Pblica federal indireta, verificou-se que se tem optado, nos
dias atuais, pela(s) seguinte(s) metodologia(s):
ABNT NBR ISO 31000:2009 - conjunto de recomendaes, idealizado por 35 pases, para o aprimoramento
da integridade de empresas. Objetiva uma linguagem comum, a padronizao das melhores prticas, traz
abordagens para implementao e prope a convergncia de todas as ISO`s. A ISO 31010 utilizada na
implantao da gesto de riscos, pois descreve as ferramentas e tcnicas para aplicao dos preceitos
recomendados pela ABNT NBR ISO 31000;
COSO II ERM (2004) alm de vinculado ao Instituto dos Auditores Internos IIA Global, reconhecido
mundialmente por fornecer orientaes sobre os aspectos crticos da gesto organizacional, tica
empresarial, controles internos, gesto de riscos, fraudes e informaes financeiras;
ISO GUIDE 73 Guia ISO de padronizao do vocabulrio para uniformizao das terminologias utilizadas
no Gerenciamento de Riscos;
Guia de Orientao para Gerenciamento Corporativo IBGC (Instituto Brasileiro de Governana
Corporativa); e/ou
Mtodo Brasiliano de Gesto de Riscos - mtodo que apresenta o processo de gesto de riscos
corporativos com base na ABNT NBR ISO 31000:2009, bem como desenvolve ferramentas e tcnicas de
suporte para a gesto de riscos. Desenvolvida pela empresa Brasiliano e Associados com base na
ferramenta Risk Vision.

O Gerenciamento de riscos corporativos um processo conduzido em uma organizao pelo

conselho de administrao, diretoria e demais empregados, aplicado no estabelecimento de
estratgias, formuladas para identificar em toda a organizao eventos em potencial (portflio
de riscos), capazes de afet-la, e administrar os riscos de modo a mant-los compatvel com o
apetite a risco da organizao e possibilitar garantia razovel do cumprimento dos seus objetivos
(estratgicos, operaes, comunicao e conformidade) (BRASILIANO, Antonio Celso
Ribeiro. Gesto e anlise de riscos corporativos: Mtodo Brasiliano avanado. So Paulo:
Sicurezza Editora, 2012, 2 ed, p. 13). Ver cubo COSO II ERM.
A gesto de riscos constitui complexa combinao de anlise emprica e dilogo pblico em
torno dos riscos que nos preocupam, das medidas adotadas para controlar esses riscos e do
sucesso ou fracasso dessas medidas. Nesse contexto, os conceitos importantes so a
comunicao dos riscos e o envolvimento pblico, o princpio precaucional e as perspectivas
interdisciplinares e sistmicas desses riscos (HILL, S.; DINSDALE, G. Uma base para o
desenvolvimento de estratgias de aprendizagem para a gesto de riscos no servio pblico.
Cadernos Enap, Braslia, 2003. p. 16, grifos nossos).

Monitoramento

Informao e
comunicao
Tratamento dos riscos

Nvel de risco (apetite e

tolerncia)
Avaliao/mensurao dos riscos
(P)x(I)
Fatores de risco (causa e efeito)
Identificao de eventos potencialmente danosos
(riscos inerentes)

Processos crticos e continuidade do negcio

(BIA)

BIA (Business Impact Analysis) - o corao da gesto de continuidade de negcios

continuidade do negcio.
Identificar (workshop com gestores, brainstorming) os processos crticos de trabalho da unidade
organizacional (ou programa de governo) sujeitos a vulnerabilidades, por macroprocesso.
Avaliar a relevncia do impacto no negcio (subcritrios: imagem, financeiro, legislao e
operacional), conferindo uma mdia ponderada ao impacto.
Nvel de impacto no negcio de cada processo crtico de trabalho (massivo, severo, moderado,
leve).
Abrandar ou agravar a mdia ponderada com o nvel de tolerncia (tempo) inao saneadora.
Conferir status de criticidade (crtico, moderado, leve) a cada processo de trabalho vulnervel.
Elaborar a Matriz de Processos Crticos e definir o que alto, mdio e baixo para impactos de
imagem, financeiro, legislao e operacional.

Subcritrios, segundo a Norma de Gesto de Riscos da FERMA (Federation of European

Management Associations):
Imagem (estratgico) relacionados aos objetivos estratgicos de longo prazo (reputao,
alteraes jurdicas e regulamentares, riscos de soberania e polticos, disponibilidade de capital,
alterao do meio ambiente fsico, novos entrantes, estagnao, etc.);
Financeiro liquidez, disponibilidade de crdito, contingenciamentos, taxa de cmbio,
movimento de taxas de juros e cmbio, endividamento, etc.;
Legislao (conformidade legal, compliance) a relacionados com temas como sade e
segurana, meio ambiente, prticas comerciais, proteo do consumidor, proteo de dados,
assuntos regulamentares, legislao laboral, tributrio, contratual;
Operacional cotidiano operativo com o qual a organizao confrontada quando se esfora
para atingir os seus objetivos estratgicos (risco operacional).

 Conhecendo os objetivos organizacionais, em workshop (brainstorming), tendo

por base os processos crticos de trabalho j levantados na 1 fase, identificar os
eventos de risco (portflio de riscos) para a unidade organizacional ou programa
de governo.
Tanto os riscos conhecidos no passado, como os at ento desconhecidos
(aqueles que nunca ocorreram, mas podem ocorrer). No incio do gerenciamento
de riscos, os profissionais tendero a apenas identificar riscos j materializados
no passado, com pouca percepo para os riscos potenciais.
Montar quadro com riscos, definio e classificao (conformidade/legal,
operacional, financeiro ou estratgico).

 Dados os objetivos estratgicos e organizacionais e com o uso do Diagrama de

Ishikawa (causa e efeito/espinha-de-peixe) com 6 macro fatores de riscos
(facilitadores/fontes de riscos: TI, RH, MEIOS ORGANIZACIONAIS,
INFRAESTRUTURA PATRIMONIAL, AMBIENTE EXTERNO e AMBIENTE
INTERNO), os quais podem potencializar a concretizao dos riscos listados na
2 fase, identificar fatores (fontes de risco) que possam concretizar o risco, para
cada macro fator.
Os macro fatores de riscos podem variar de acordo com o negcio ou o processo
estudado.

Tecnologia da Informao (MTA-Meios Tcnicos Ativos) levantamento da no existncia de

sistemas eletrnicos/informatizados.
RH-Segurana (RH) levantamento do nvel de qualificao, quantidade, posicionamento
ttico da equipe.
Meios Organizacionais (MO) levantamento se a organizao dispe de normas de rotina e
de emergncia, polticas de tratamento de riscos e gerenciamento de riscos corporativos.
Infraestrutura (MTP-Meios Tcnicos Passivos) levantamento de recursos fsicos.
Ambiente Externo (AE) levantamento de cenrios prospectivos, identificando fatores
externos sem governabilidade, mas que influenciam na concretizao de perigos (criminalidade,
mercados paralelos, estrutura do Judicirio, corrupo, movimento sindical, etc.).
Ambiente Interno (AI) levantamento do nvel de relacionamento colaboradores-alta
administrao, remunerao, clima organizacional, cultura organizacional, poltica de RH,
correio, tica, metas, etc.

 Critrio universal de probabilidade e impacto.

Construir a Matriz de Probabilidade, baseada em mdia aritmtica entre os 6 macro
fatores de riscos (MTA, RH, MO, MTP, AE e AI), acrescidos da exposio ao risco (de 1
a 5). Da se obtm um nmero para a classificao da probabilidade do risco (baixa,
mdia, alta, muito alta e elevada), para cada risco identificado na 2 fase.
Construir a Matriz de Impacto, baseada em mdia ponderada subcritrios imagem,
financeiro, legislao e operacional (=BIA). Da se obtm um nmero indicativo do nvel
de impacto (muito leve, leve, moderado, severo e massivo), para cada risco identificado
na 2 fase.
MTA+RH+MO+MTP+AE+AI
FR (Fato de Risco) = --------------------------------------6

O mximo GP (Grau de Probabilidade) que poderia ser obtido seria 25. Para transformar esta classificao
subjetiva em uma classificao objetiva, basta multiplicar o fato 4. Por que fator 4? Porque estamos fazendo uma
equivalncia entre o nmero mximo obtido na multiplicao direta entre os dois fatores (fator de riscos x fator
de exposio) que 25 e a porcentagem da probabilidade mxima que 100% (BRASILIANO, Antonio Celso
Ribeiro. Op. cit. p. 91). Desta forma, teramos a tabela a seguir:
escala (nvel de risco)

Escala

Nvel de Probabilidade

1-5

Baixa

4% a 20%

5,01 - 10

Mdia

20,01% a 40%

10,1 - 15

Alta

40,01% a 60%

15,01 - 20

Muito Alta

60,01% a 80%

20,01 - 25

Elevada

80,01% a 100%

Sempre haver um risco residual de 4%.

Utilizando-se de 4 fatores de impacto: a) IMAGEM (peso 1); b) FINACEIRO (peso 1); c) LEGISLAO (peso 2); e d)
OPERACIONAL (peso 2).
ESCALA
PONTUAO
IMAGEM
FINANCEIRO
LEGISLAO
OPERACIONAL

De carter
internacional

Massivo

Perturbaes muito
graves

Perturbaes
muito graves

De carter
nacional

Severo

Graves

Graves

Regional

Moderado

Limitadas

Limitadas

Local

Leve

Leves

Leves

De carter
individual

Insignificante

Muito leves

Muito leves

 Classificao do nvel de impacto:

GRAU DE IMPACTO

NVEL DE IMPACTO

4,51 5,00

Massivo

3,51 4,50

Severo

2,51 3,50

Moderado

1,51 2,50

Leve

1,00 1,50

Muito leve

 Para melhor visualizao, e preparando-se para implementar uma forma de tratamento de

cada risco, constri-se uma Matriz de Riscos, permitindo o acompanhamento da dinmica
dos riscos (BRASILIANO, Antonio Celso Ribeiro. Gesto e anlise de riscos corporativos:
Mtodo Brasiliano avanado. So Paulo: Sicurezza Editora, 2012, 2 ed, p. 95).
A partir do grau de probabilidade (GP) e do impacto (I), calcula-se o nvel de riscos que a
multiplicao da mdia do Grau de Probabilidade de todos os riscos vezes a mdia do
Impacto dos referidos riscos.
Quanto maior o nvel do risco, maior sua criticidade para o processo.
O nvel de risco serve para determinar seu apetite ao risco, conforme terminologia COSO.
A organizao pode decidir no tolerar nvel de risco em seus processos acima de
determinado nvel, os quais seriam intolerveis, merecendo ao e tratamento imediatos
por parte dos gestores.

 O nvel do risco pode ser calculado de tempos em tempos, com o objetivo de

monitoramento e acompanhamento da evoluo do risco no processo, no unidade
organizacional ou na organizao.
Para calcular o nvel do risco, necessrio utilizar as variveis j identificadas
anteriormente: Grau de Probabilidade (GP) e Impacto (I).
O nvel de risco a multiplicao da mdia do Grau de Probabilidade de todos os riscos
vezes a mdia do Impacto de todos os riscos.
Mdia do Nvel de Risco = Mdia do GP x Mdia do I
Quanto maior o nvel de risco, maior sua criticidade para o processo.
O nvel de risco serve para determinar seu apetite ao risco. A organizao pblica pode
decidir-se por no tolerar nvel de risco em seus processos acima do nvel 3.

 Depois de identificados, avaliados e mensurados, deve-se definir qual o tratamento que

ser dado aos riscos (...) As opes podem incluir os seguintes aspectos: a) a ao de evitar
o risco ao se decidir no iniciar, ou descontinuar a atividade que d origem ao risco; b) a
tomada ou o aumento do risco na tentativa de tirar proveito de uma oportunidade; c) a
remoo da fonte de risco; d) a alterao da probabilidade; e) a alterao das
consequncias; f) o compartilhamento do risco com outra parte ou partes; e g) a reteno
do risco por uma deciso consciente e bem embasada (BRASILIANO, Antonio Celso
Ribeiro. Gesto e anlise de riscos corporativos: Mtodo Brasiliano avanado. So Paulo:
Sicurezza Editora, 2012, 2 ed, ps. 111 e 112).
Poder-se-ia, ento, aceitar (reter, reduzir, transferir ou explorar) ou rejeitar (evitar) os
riscos.
Para cada risco e respectiva(s) fonte(s) (fator de risco), tcnica 5w2H (O qu?; Quem?;
Quando?; Onde?; Porque?; Como?; Custo?).

 A Ferramenta de Apoio Deciso Priorizao das Aes tem por objetivo fazer com
que o gestor e/ou analista possa de forma mais prtica e objetiva enxergar, atravs de
critrios pr estabelecidos e plotados em uma Matriz, as aes que so prioritrias em
termos de benefcios. Os dois macro critrios so: i. Esforo de Implementao (custo,
tempo, autonomia/deciso); ii. Benefcio Estimado (eficcia operacional, probabilidade
de dar certo, impacto no contexto) (BRASILIANO, Antonio Celso Ribeiro. Gesto

e anlise de riscos corporativos: Mtodo Brasiliano avanado. So Paulo:

Sicurezza Editora, 2012, 2 ed, p. 120).

 Aps a implementao do Plano de Ao. Volta-se 4 fase (anlise dos riscos), com
verificao do critrio universal (probabilidade e impacto).
Risco inerente o risco do negcio, do processo ou da atividade, independente dos
controles adotados. Risco residual o risco que remanesce aps a mitigao por
controles internos administrativos.

 Ponto de equilbrio - Todo controle tem um custo, que deve ser inferior perda decorrente do risco (COSO
I 1992).

 Risco de compliance o risco de sanes legais ou regulamentares, perdas financeiras

ou mesmo perdas reputacionais decorrentes da falta de cumprimento de disposies
legais, regulamentares, cdigos de conduta, etc.
Estar em compliance estar em conformidade com leis e regulamentos internos e
externos.
Ser e estar compliance , acima de tudo, uma obrigao individual de cada colaborador
dentro da instituio. Veja que compliance vai alm das barreiras legais e
regulamentares, incorporando princpios de integridade e conduta tica.
IN/STN-MF n 6, de 31/10/2007 (DOU de 12.11.2007): Art. 7 A Conformidade dos
Registros de Gesto tem como finalidade: I - verificar se os registros dos atos e fatos de
execuo oramentria, financeira e patrimonial efetuados pela Unidade Gestora
Executora foram realizados em observncia s normas vigentes.

ementario@gmail.com