9.1 Aula Transcrita

9.1.
Gesto de Riscos em Processos
RESUMO
Aula: 9.1.Gesto de Riscos em Processos
Tutor: Daniel Karrer, MSc., CBPP.
Nmero de slides: 57
Durao da Aula: 66 min
SLIDE 1
9.1. Gesto de Riscos em Processos
ELO Group 2011
SLIDE 2
Ol pessoal, hoje vamos falar de um tpico que vem se tornando cada vez mais relevante nos dias de hoje: a gesto de riscos.
Ouvimos muito falar de gesto de riscos ultimamente, devido s recentes crises financeiras (como a de 2008) e alguns
desastres naturais. Esse tema est bastante em voga tantos nas organizaes como na sociedade em geral; mas afinal, o que
um risco? Como a gente consegue control-lo? E como ele se relaciona com processos? Esses sero alguns dos tpicos que
abordaremos na aula de hoje. Espero que a experincia seja tima para vocs. Meu nome Daniel e vou estar com vocs
durante uma hora para tentarmos falar sobre esse tpico de riscos e como eles se relacionam em processos.
Pessoal, estruturei a ordem dessa aula de modo que ns pudssemos ir dos conceitos mais intuitivos do dia-a-dia para os
conceitos mais formais:
Dessa forma, comeamos debatendo um pouco como ns vivenciamos e experimentamos o risco no nosso dia-a-dia.
A ideia aqui que ns j utilizamos diversos conceitos associados gesto de riscos, mesmo sem querer;
A partir disso, passamos para um exerccio onde vamos formalizar um pouco dos conceitos bsicos de riscos e de
controles;
Na sequncia, na etapa 3, falamos um pouco dos diversos tipos de riscos existentes e damos um foco especial no
risco operacional. Esse foco ocorre porque o risco operacional se relaciona de forma mais ntima com processos e,
portanto, com o objeto do nosso curso;
Falamos ento, na parte 4, especificamente como conseguimos lidar com a gesto de riscos, a parte de gesto de
controles internos e tambm com processos;
Por fim, na etapa 5, introduzimos um novo conceito bastante usado nas organizaes recentemente, que o
conceito GRC expressando Governana, Risco e Compliance.
Ao final, como em todas as aulas, revemos um pouco dos conceitos-chave dessa aula para que eles fiquem bem
fixados.
ELO Group 2011
SLIDE 3
Antes de comearmos, gostaria de explicar um pouco para vocs sobre a bibliografia associada gesto de riscos. Procurei
incluir aqui todos os manuais e referncias que so utilizados no mercado, de modo que vocs consigam ter acesso a essas
referncias via internet, facilitando a pesquisa de conceitos que interessem a cada um de vocs. Optei por no incluir
nenhum livro, dado que entendo que esses manuais cobrem de maneira extremamente satisfatria os principais conceitos
que sero utilizados aqui.
As duas principais referncias hoje que o mercado usa de gesto de risco so os dois manuais do COSO. O COSO uma sigla
bastante importante e vocs que se interessam por risco deveriam procurar. O COSO tem dois manuais:
Um que se chama Internal Control que fala um pouco sobre a gesto de controles internos;
E o segundo que fala sobre ERM, uma viso um pouco mais integrada, um pouco mais sistmica de olhar todos os
riscos de uma organizao.
Se vocs se interessarem pelo conceito de GRC (como eu comentei Governana, Riscos e Compliency) eu recomendo que
vocs busquem o Red Book; ele j est na segunda verso e est disponvel na internet.
Para uma viso um pouco mais ampla dos principais conceitos da gesto de risco, recomendo a consulta recm emitida
norma ISO 31000, que versa especificamente sobre esse tpico
Para os que quiserem se aprofundar e j tiverem olhado essas quatro referncias, eu recomendo tambm buscar um
documento chamado Orange Book, que uma referncia importante tambm e complementar s demais no tpico de
gesto de riscos.
ELO Group 2011
SLIDE 4
Vamos falar um pouco ento pessoal sobre como experimentamos o risco no nosso dia a dia, para podermos perceber que a
noo de risco e seus conceitos associados como mitigao, controle e etc. j esto presentes nas nossas vidas mesmo sem
nos darmos conta.
ELO Group 2011
SLIDE 5
Bom, trouxemos aqui para vocs uma srie de recortes de jornais e de sites da internet que lidam com a palavra risco. O
objetivo aqui novamente que nos percebamos que j estamos acostumados a utilizar diversos conceitos e vocabulrios de
risco mesmo que de maneira despercebida. Aqui temos alguns exemplos:
No canto superior esquerdo vemos um recorte sobre a crise do subprime, ou seja, se refere especificamente grande crise
financeira que atingiu parte do mundo em meados de 2008, contaminando particularmente a economia norte-americana e
algumas economias da Europa, mas tambm chegando aqui no Brasil.
Na parte inferior do canto esquerdo vemos um pouco sobre riscos climticos, temos a como exemplo desses riscos o El Nio
e alguns tsunamis e fenmenos climticos extremos que vm atingindo o nosso planeta. Alm disso, no canto superior
direito, temos riscos sade e segurana e sade geral da populao, como riscos de pandemia, a gripe aviria, a gripe
suna e qualquer risco que atinja a sade da populao. Notem: a palavra riscos associada pandemias e a efeitos em termos
de sade da populao vem sendo utilizada cada vez mais.
E, no canto inferior direito, vemos a risco da insatisfao dos clientes e a onda de recall. Ento, a gente tem aqui alguns
exemplos em relao Mattel, em relao Renault, em relao a recall de baterias da Sony , ou seja, produtos que saram
do cho de fbrica sem os padres de qualidade necessrios e acabaram tendo risco de causar algum tipo de dano aos seus
consumidores.
Esses recortes mostram que o risco um conceito bastante presente na nossa vida, mas ser que ns podemos dizer que
todos ns temos a mesma noo, o mesmo conceito do que um risco? o que veremos nos slides a seguir.
SLIDE 6
ELO Group 2011
O risco definitivamente, portanto, est presente no nosso dia a dia. Mas afinal, de forma precisa, conceitual e acadmica: o
que um risco? Podemos entender esse conceito a partir de um exerccio.
ELO Group 2011
SLIDE 7
Imaginemos a seguinte situao: temos 8 blocos pousados no cho. E temos um desafio nesse exerccio: organiz-los de
forma a maximizar a sua altura final. Como podemos organizar esses blocos de forma a atingir o nosso objetivo?
ELO Group 2011
SLIDE 8
Invariavelmente, aps pensar um pouco, chegamos concluso de que a melhor maneira de organizar os blocos para
atendermos o objetivo proposto empilharmos um em cima do outro. Dessa maneira, conseguimos a maior altura possvel,
ou seja, utilizamos nossos recursos da melhor forma para atendermos o objetivo proposto pelo exerccio.
ELO Group 2011
SLIDE 9
Entretanto, ser que essa a melhor deciso a ser tomada? Vejamos.
ELO Group 2011
10
SLIDE 10
O que ocorreu que consideramos muito bem os objetivos do exerccio em nossa soluo. Entretanto, desconsideramos a
incerteza, porque o arranjo que colocamos os blocos o que melhor atende os objetivos, mas tambm o que melhor est
(ou o que mais est suscetvel) s incertezas possveis, ou seja, embora ele seja o que melhor atende o objetivo do exerccio,
ele tambm o que possui a maior probabilidade de cair (ou de dar errado).
ELO Group 2011
11
SLIDE 11
A partir dessa considerao, devemos pensar: como entender a incerteza que afeta cada objetivo a ser alcanado para se
tomar a melhor deciso? Vimos no nosso exerccio que no necessrio considerar somente o objetivo, mas tambm todos
os fatores que podem levar ao no atendimento desse objetivo ou que gerem incerteza sobre resultado a ser gerado.
Voltando ao nosso exemplo, quais fatores poderiam ser considerados aqui? Pensem um pouco.
ELO Group 2011
12
SLIDE 12
No nosso exerccio, uma primeira fonte de incerteza (ou fator de risco) poderia ser o vento. Os blocos empilhados um em
cima do outro ficam mais suscetveis as aes do vento, ou seja, o vento derruba mais facilmente esse nosso arranjo,
torando-o assim menos estvel. O nosso objetivo, novamente, foi alcanado, entretanto ele mais fcil de ser derrubado.
ELO Group 2011
13
SLIDE 13
Uma outra fonte de incerteza poderia ser um terremoto ou abalo ssmico; qualquer coisa que mexesse com as estruturas do
solo e que deixasse a estrutura de blocos solta, sem encaixe, fazendo-a cair no cho. Novamente, uma segunda fonte de
incerteza considervel que deixamos de tornar relevante ou considerar em nossa anlise.
ELO Group 2011
14
SLIDE 14
Finalizando nossas anlises de fonte de incerteza, poderamos observar a chuva. A chuva que normalmente vem em diagonal
e associada a vento tambm poderia ser uma fonte de incerteza relevante quando consideramos a probabilidade desse
arranjo, que ns colocamos como timo para o nosso exerccio, falhar, ou seja, ser derrubado e levar os nossos blocos ao
cho.
ELO Group 2011
15
SLIDE 15
A partir da considerao das fontes de incerteza, podemos repensar esse desafio, agora com o entendimento melhor e mais
profundo de quais so os seus objetivos e a complexidade envolvida nestes.
ELO Group 2011
16
SLIDE 16
Para tanto, podemos expressar o nosso desafio com trs principais frases. O desafio continua o mesmo pessoal, lembrando:
como organizar os 8 blocos de forma a maximizar a sua altura final. Ento temos l o nosso objetivo (maximizar a altura do
arranjo final), os recursos a serem utilizados so os mesmos (8 blocos), mas agora iremos considerar de forma ativa e
relevante as 3 fontes de incerteza que ns identificamos: o vento, a chuva e o terremoto. Pensem um pouco: a partir das
fontes de incerteza, qual seria o arranjo que satisfaz da melhor maneira o exerccio proposto?
ELO Group 2011
17
SLIDE 17
O que descobrimos que a partir da considerao das fontes de incerteza, a resposta no fica mais to fcil e surgem
diversas alternativas que podem contemplar as solues para o nosso desafio. Cada alternativa trar diferentes
conseqncias em termo de alcance do objetivo, ou seja, de maximizao da altura final e de incerteza, ou seja, da chance de
queda. Na prtica, podemos dizer que h um trade off entre as alternativas, ou seja, quanto maior o meu objetivo, quanto
maior a altura resultante, maior a incerteza e maior a chance de queda. Por outro lado, eu tenho uma menor chance de
queda quando eu atinjo menos o meu objetivo, ou seja, eu empilho menos os meus blocos, a altura resultante a menor,
mas eu tenho menos sensibilidade a incerteza. A pergunta passa ento a ser: qual o ponto timo?
ELO Group 2011
18
SLIDE 18
A reflexo do ponto timo passa a ser, ou pode ser expressa a partir da seguinte pergunta, pessoal: qual a sua tolerncia
para o alcance dos objetivos? O quanto cada um de ns est disposto a sacrificar em termos de risco, em termos de incerteza
para que alcancemos os nossos objetivos? Ou seja, a gente poderia organizar as solues em um eixo onde o eixo Y a altura
(em metros) e o eixo X a chance de queda. Dessa maneira, ordenaramos as solues tanto da menor altura possvel (com
zero chance de queda), com todas elas na horizontal at a maior altura possvel (com maior chance de queda), onde todos os
blocos se encontram na vertical. A grande pergunta passa a ser: qual a nossa tolerncia ao risco a partir do entendimento
de um objetivo? Ou seja, onde nos posicionamos nesse eixo? Somos mais agressivos, tentando obter um resultado maior, a
maior altura possvel, e temos chance de uma queda maior? Ou seremos mais conservadores: iremos mais para perto do eixo
zero e diremos aceitamos poqussimo risco, topamos ter um resultado um pouco menor, um pouco menos agressivo, um
pouco aqum do nosso objetivo inicial, mas para minimizar a nossa chance de queda?
com esse tipo de dilema que ns nos defrontaremos ao longo dessa conversa. Qual o meu apetite ao risco? O quanto eu
topo ter resultados agressivos dentro de uma organizao, dentro de uma iniciativa, em face dos riscos maiores que isso
normalmente acarreta. Aqui importante pessoal, que vocs absorvam a seguinte noo: que risco e retorno so dois lados
da mesma moeda, ou seja, para ter um maior retorno, para atingir mais um objetivo normalmente eu encorro em maiores
riscos. E igualmente: se eu tenho objetivos um pouco mais conservadores, um pouco menos agressivos, eu consigo ter menos
riscos, menos incertezas e menos instabilidade.
ELO Group 2011
19
SLIDE 19
Portanto, esse exemplo serve para ilustrar de maneira bastante interessante o conceito da ISO em termos de gesto de
riscos. Esse conceito o conceito hoje mais utilizado em todos aqueles manuais de referncia que constam na bibliografia de
vocs, onde diz que risco o efeito da incerteza sobre os objetivos, ou seja, tudo que traz incerteza no atendimento de um
objetivo pode ser considerado um risco. Essa a definio mais formalmente aceita em grandes empresas e em grandes
manuais de referncia em relao ao risco. bastante importante, pessoal, que vocs tenham isso prximo de vocs, que
isso seja uma definio intuitiva para vocs porque ela vai ser articulada ao longo da nossa conversa.
ELO Group 2011
20
SLIDE 20
E dessa forma, quase como uma consequncia natural da definio, a gesto de riscos dentro de uma organizao deve,
portanto, apoiar os gestores, os executivos dessa organizao a tomar decises entendendo, ponderando exatamente o
trade off que ns vimos no nosso exerccio, ou seja, o impacto da incerteza em relao aos objetivos traados. Lembrando
pessoal, aqui eu vou ser bastante enftico nessa frase: risco e retorno so os dois lados da mesma moeda, ento se eu
objetivo ter um retorno (seja ele financeiro, seja ele de reputao, seja ele de ambiente interno), se eu almejo alcanar
algum objetivo, eu tenho um efeito da incerteza sobre esse objetivo; o efeito da incerteza que pode me fazer ficar a quem do
atendimento do objetivo chamado de risco. E a, a funo da gesto de risco deve ser prover informaes e decises
conscientes aos tomadores de decises, aos executivos da empresa no sentido a ponderar esses dois tipos de variveis: o
risco e o retorno em seus objetivos.
ELO Group 2011
21
SLIDE 21
Para exercitar um pouco dos conceitos ento, pessoal, trouxemos aqui trs situaes para que vocs observem e respondam
a sequinte pergunta: qual o risco envolvido em cada situao abaixo?
Vamos considerar a primeira situao da corrida de frmula 1, quais so os riscos envolvidos? Algum poderia
pensar em um risco de acidente, o risco de perder a corrida; mas todas essas especulaes devem ser enquadradas
na nossa definio pessoal. O que devemos pensar primeiro : qual o objetivo? Um risco por s s no uma
perda, no um perigo, no uma incerteza; ele s faz sentido se enquadrado no frame de um objetivo. Exemplo:
se o objetivo ganhar a corrida, ser campeo mundial, temos diversos riscos, o risco por exemplo de dormir na
noite anterior da corrida um grande risco. O risco, por exemplo, de um companheiro seu de equipe ou de uma
equipe rival bater em voc enquanto voc faz a curva e te jogar para fora da corrida tambm um grande risco. Por
exemplo, para dar uma contraposio a esse exemplo, podemos colocar: se o objetivo for sermos campees, em
termos de equipe, do mundial de construtores, chegar por exemplo em terceiro lugar (ou em quarto lugar),
dependendo da colocao, pode no ser um risco, mas sim um auto-retorno.
Da mesma forma, podemos aplicar esse conceito s demais situaes. Pensem um pouco: como podemos enquadrar os
riscos em termos dos objetivos de cada uma delas? Deixo para vocs a reflexo mais profunda nas demais situaes, mas
lembrem-se: um risco s pode ser enquadrado em funo de um objetivo especfico, isso importante porque se no
passamos a ver risco em todos os lugares.
ELO Group 2011
22
SLIDE 22
Uma vez feito o nosso exerccio, iremos formalizar agora alguns conceitos bsicos de riscos e de controles. Esses conceitos
so importantes, pois se tornaro a base para todos os nossos debates a partir de agora.
ELO Group 2011
23
SLIDE 23
Para formalizarmos esses conceitos, primeiro devemos olhar o nosso entendimento da organizao. Ento temos aqui uma
figura que mostra a organizao desde o seus diretores executivos at as diversas estruturas funcionais quebradas em
diretorias.
Temos l a estratgia: essa estratgia definida por essas diretorias e cascateada para os nveis subsequentes da
organizao. Alm disso, podemos entender essa organizao como composta de diversas pessoas, diversos fluxos de
trabalho que se materializam em processos, diversos sitemas de tecnologia que apiam esses fluxos a serem executados e
essa organizao no s tem esse ambiente interno, mas tambm lida com um ambiente externo, onde ela est inserida (por
exemplo: com seus competidores, com a situao poltica-econmica do pas onde ela est inserida e com os seus
consumidores ou clientes).
ELO Group 2011
24
SLIDE 24
Imaginemos essa mesma organizao tendo o seguinte objetivo: o do cumprimento do oramento previsto dentro do prazo e
dentro do valor orado. Dessa maneira, podemos expressar esse objetivo em um grfico como esse. No eixo X temos os
meses ao longo do ano e no eixo Y, o percentual de execuo do oramento previsto. Esse objetivo claramente nos coloca
que ao final de 12 meses, ao final de um perodo oramentrio anual, devemos ter cumprido exatamente 100% do
oramento previsto, ou seja, no devemos ter cumprido nem a menos e nem a mais. O objetivo chegar no cumprimento
total, intregal e irrestrito desse oramento.
ELO Group 2011
25
SLIDE 25
Entretanto, se voltarmos ao nosso entendimento organizacional, podemos perceber que existem vrias vulnerabilidades que
so oriundas de diversos fatores de incerteza dentro da nossa organizao. Alguns fatores de incerteza esto associados a
pessoas, por exemplo: ser que as pessoas possuem a carga de trabalho adequada para cumprir esse objetivo do oramento?
Ser que elas competentes o suficiente ou treinadas para gerir de forma analtica e precisa o desembolso gasto ao longo do
ano? Ser que elas tem as atitudes, as exeperincias, as habilidades corretas?
Cada variao em cada um desses fatores traz incerteza para o atendimento dos objetivos. Da mesma forma, ocorre com os
processos, eu posso ter problemas de fluxo de informao, de indicadores, de papis e responsabilidades, de mtodos que
me levem a ter uma execuo maior ou menor que eu pretendo para o meu oramento. Igualmente, eu tenho em relao
aos meus sistemas de informao; eu posso ter problemas, por exemplo, de hardware, de software, de banco de dados, de
controle de acesso que faam com que eu tenha uma instabilidade ou uma incerteza em relao ao cumprimento dos meus
objetivos.
E por fim, podemos destacar que at oscilaes no meu ambiente econmico, como variaes cambiais, como questes
polticas, presses externas e movimentos de concorrentes tambm levam a mudanas internas e portanto afetam o
cumprimento dos meus objetivos.
Cada um desses fatores, no nosso entendimento organizacional gera um fator de incerteza para o cumprimento de cada
objetivo organizacional.
ELO Group 2011
26
SLIDE 26
Aplicando esse conceito ao nosso exemplo, observamos que aquele objetivo que estava declarado de forma precisa de gastar
100% do meu oramento at o 12 ms do ano ele sofre oscilaes (tanto pra mais, quanto pra menos). Um exemplo disso
se pegarmos a fonte de incertezas especfcas associada as habilidades das pessoas; caso o meu gerente de conta, o meu
gerente de contrato seja muito habilidoso na gesto do oramento dele, ele pode chegar a ter uma execuo menor do
oramento, ou seja, ele pode economizar ao longo do perodo. Isso traz uma incerteza que tem um impacto positivo para a
minha organizao. No caso contrrio, se ele no for habilidoso ou experiente o suficiente, ele pode estourar o oramento
causando uma execuo de 120%, 130%, 140% do meu oramento e causando um desembolso alm do desejado. De
qualquer maneira, a fonte de incerteza habilidade e experincia do meu executor (ou do meu gestor de contrato) traz
incerteza para o atendimento do meu objetivo, que o cumprimento adequado de 100% do meu oramento durante o ano.
ELO Group 2011
27
SLIDE 27
A partir dessa explicao, podemos formalizar um pouco melhor a definio de risco proposta pela ISO 31000 e, como j foi
falado antes, aceita por grande maioria das empresas nacionais e internacionais e tambm das normas de referncia de
gesto de risco. J vimos que o risco pode ser definido como um efeito da incerteza sobre os objetivos. Agora podemos
destacar quatro caractersticas dessa definio que devem ser atendidas, devem ser observadas por vocs.
A primeira caracterstica que um efeito no necessariamente no negativo. Um efeito pode ser positivo como
vimos anteriormente no exemplo do oramento. Ou seja, a incerteza pode levar a pessoa a ter ganhos acima do
esperado, a executar, por exemplo, o oramento em menos tempo do que o previsto, ou menos do oramento no
tempo desejado. Isso seria um efeito positivo para a organizao. Ento o risco no inerentemente bom ou
inerentemente mal. Algumas pessoas chegam a se referir quando o risco bom ao termo risco positivo mas isso
at um erro, ou um desvio conceitual. O risco, especificamente, ele tanto positivo, quanto negativo porque ele
representa o efeito da incerteza sobre os objetivos, e esse efeito pode ser para o bem e para o mal.
A segunda nota que um objetivo no precisa ser expresso necessariamente em termos financeiros. Um objetivo
pode ser ter os empregados felizes, pode ser ter um turn over menor do que 10%, pode ser no obter nenhum tipo
de evaso de empregados ao longo do ano, pode ser conquistar mais clientes, novos mercados, etc. Ento, um
objetivo no necessariamente financeiro, no tem o aspecto de retorno que ns tradicionalmente pensamos
(quando pensamos na palavra retorno, acabamos pensando em dinheiro). No necessariamente um objetivo precisa
ser expresso nesses termos, ele pode tambm ser expresso em termos de sade e segurana, em termos legais, em
termos de conquista e de satisfao de clientes, dentre outros.
Alm disso, (ns vamos entrar mais detalhadamente nessa nota 3 nos prximos slides) um risco frequentemente
descrito por um evento ou um conjunto de circunstncias, uma consequncia ou uma combinao dessas
consequncias e como elas afetam o alcance dos objetivos. Ou seja, eu tive um problema com o meu gestor de
contrato porque ele contratou mais fornecedores do que ele poderia, portanto ele acabou estourando a meta dele,
ELO Group 2011
28
o objetivo dele e a ele acabou, portanto, no alcanando o objetivo de cumprir o oramento 100% dentro do
tempo.
Alm disso, o risco pode ser expressado tambm como uma combinao da consequncia de um evento ou as
mudanas de uma circunstncia e sua probabilidade.
Vamos olhar um pouco mais sobre como essa nota 3 e a nota 4 podem ser entendidas para levar ao entendimento mais
estruturado e formal do que um risco.
ELO Group 2011
29
SLIDE 28
Antes de avanarmos mais no entendimento do que um risco, podemos nos perguntar o que um controle? E a eu
gostaria de chamar ateno pra vocs para a definio mais abaixo que diz que: o controle um processo, efetuado pela
gesto da empresa (seja pelo conselho de administrao, seja pelos diretores, pelos gestores ou por qualquer pessoal da
empresa) projetado para prover garantia razovel em relao ao atingimento dos objetivos. A eu gostaria de sublinhar a
expresso garantia razovel, ou seja pessoal, um controle no garante 100% das vezes, perfeitamente, que os objetivos
sero atingidos. Tipicamente, um controle prov uma garantia razovel. Quanto mais controle eu tenho, mais burocrtica
pode ficar a minha empresa e menos incerteza ela sofre. Ento ns temos a, com certeza, um ponto timo que o de
desburocratizao, o de menos controles, mas tambm o nvel necessrio de controle para garantir que os objetivos sejam
atendidos.
Mais acima, temos uma definio alternativa, mas bastante em linha com essa outra definio apresentada, que a definio
do cdigo de prtica profissional de auditores internos do estados unidos que diz que um controle : qualquer ao tomada
pelos gestores de uma empresa para aumentar a probabilidade de que os objetivos e metas estabelecidas sejam atingidos. E
ele complementa: A gesto planeja, organiza e direciona a performance de aes suficientes, visando promover uma
garantia razovel que os objetivos e metas sero atendidos. Ento lembrando pessoal, a presena da expresso garantia
razovel explicita que um controle tenta garantir que os objetivos sero atendidos, mas a garantia s vai at um
determinado momento, e esse determinado momento muito dado pelo grau de controle que a direo decide exercer
sobre o ambiente interno daquela empresa.
ELO Group 2011
30
SLIDE 29
Se voltarmos ao nosso exemplo, que era aquele exemplo do risco de cumprimento inadequado do oramento, temos que a
incerteza causou uma variabilidade nesse objetivo (tanto pra mais, quanto pra menos). No que um set, ou um conjunto de
controles poderia nos ajudar?
ELO Group 2011
31
SLIDE 30
Tipicamente, um conjunto de controles garantiria que o efeito da incerteza seria menor sobre os objetivos, dando menos
variabilidade a esses objetivos, restringindo o espao em termos de quais objetivos, ou quanto esse objetivo pode variar.
ELO Group 2011
32
SLIDE 31
Essa figura representa, ento, de forma sinttica e integrada, todos os principais conceitos que precisamos saber quando
falamos de gesto de riscos. Um risco ento, pode ser descrito por trs grandes coisas:
A fontes de risco, ou seja, quais so as principais causas que causam aquele risco;
O evento: efetivamente o evento a ocorrncia indesejvel ou desejvel, a expresso da variabilidade no objetivo.
E o impacto: esse impacto atua diretamente nos objetivos das empresas; ou seja, eu posso ter por exemplo, pessoal,
um problema, uma fonte de riscos de processos inadequados, de pessoas pouco capazes, que levam, por exemplo, a
prticas inadequadas relativas a clientes, produtos e servios, causam um evento indesejado em relao a uma base
de clientes e isso tem um impacto, uma perda de receita e isso influencia diretamente no meu objetivo de crescer o
meu faturamento em X% naquele ano.
Ento, a combinao, a expresso desses 3 fatores (as fontes de riscos, os eventos e os impactos) so a melhor descrio
possvel de como um risco impacta nos objetivos. E eu tenho controles que influenciam, que agem na relao entre esses 3
fatores. Entre a fonte de risco e o evento, eu tenho a probabilidade do risco ocorrer, ou seja, eu tenho pessoas pouco
capazes ou no to experientes quanto eu gostaria todos os dias do ano, mas todo dia que eu tenho uma prtica
inadequada com o cliente? No, ou seja, existe uma probabilidade que a minha fonte de risco gere um evento inadequado.
Existe a probabilidade, por exemplo, que o meu sistema, que tem uma falha de acesso gere uma fraude interna. Essa falha de
acesso est presente todos os dias, mas no necessariamente todos os dias eu tenho uma fraude interna. Ento importante
que ns saibamos articular esse conceito de probabilidade de um risco. O conceito de probabilidade de um risco o conceito
de que nem sempre uma fonte de riscos gera um evento indesejado, a probabilidade de que isso aconteca a probabilidade
de que aquele risco ocorra.
E mediando o evento e o impacto, eu tenho a severidade, ou seja, eu posso ter uma fraude interna; essa fraude interna pode
ser pequena, pode ser mdia ou pode ser alta, ou at altssima. Essa distribuio de probabilidade da severidade, todo esse
ELO Group 2011
33
espectro de severidade (desde uma severidade bem pequena at uma severidade bastante alta) o que ns chamamos de
severidade de um risco.
Ento eu tenho duas distribuies a: uma distribuio de probabilidade de ocorrncia (que estaria associada entre a fonte de
risco e o evento) e uma distribuio de probabilidade de severidade (que est associada entre o evento e o impacto). Esse
quadro, ento, distribui e coloca os conceitos nos seus devidos lugares e traduz, da melhor maneira, todos esses conceitos
associados gesto de risco.
Revendo ento pessoal: eu tenho as fontes de risco, que com uma certa probabilidade de ocorrncia levam a eventos
indesejados. Esses eventos indesejados, com uma certa severidade levam a diversos tipos de impactos, esses impactos
impactam nos meus objetivos e, portanto, eu preciso ter controles para atuar nesses fatores. Esses so os principais
conceitos articulados e estruturados relacionados a gesto de riscos.
ELO Group 2011
34
SLIDE 32
Tipicamente, as organizaes usam uma matriz para estruturar essa anlise de probabilidade e de severidade. Ento eu
tenho aqui uma matriz que no eixo X, por exemplo, mostra a minha severidade e, na minha matriz, no eixo Y, mostra a
probabilidade. Isso porque um risco no pode ser quantificado, no pode ser mensurado, no pode ser avaliado sem que eu
diga essas duas questes: qual a probabilidade e qual a severidade.
Reparem: qual a probabilidade de eu bater de carro? Bater de carro um evento indesejado (ento est l na coluna do
meio evento). Agora, dentro de bater de carro eu tenho diversas coisas diferentes eu posso bater de carro em um
poste, no machucar ningum, s amassar o meu pra-choque, porque eu dormi durante a direo porque eu dormi pouco
no dia anterior. Uma fonte de risco que era o cansao levou ao evento bater o carro e teve um impacto pequeno, s amassou
o meu pra-choque.
Alm disso, eu posso ter um evento extremo, de alta probabilidade e alta severidade dentro do mesmo conceito de bater o
carro. Eu posso estar completamente embriagado porque eu sa para beber para comemorar a vitria do meu time de
futebol, bati o carro, atropelei cinco pessoas e morri.
Ou seja, dentro do conceito do evento de bater um carro eu tenho a associao de diversas fontes de risco com diversos
tipos de impacto e isso leva a probabilidades e severidades diferentes. Ento, para avaliar um risco eu preciso especificar
toda essa cadeia: qual a probabilidade de eu bater com o carro porque havia dormido pouco no dia anterior e causar um
dano pequeno ao meu carro? A eu consigo especificar a probabilidade, a severidade e avaliar esse risco. Ok, pessoal?
ELO Group 2011
35
SLIDE 33
E associado a essa avaliao organizacional, importante que a organizao se pergutne: quais riscos eu quero mitigar?
Onde eu quero agir para que os riscos de alta probabilidade de ocorrncia, por exemplo, no ocorram, ou os riscos de alta
severidade no ocorram? Tentar pegar e cortar a gesto de riscos (porque no necessariamente eu consigo controlar todos
os riscos, ou eu consigo controlar todos os riscos mas isso s pode ser feito de uma maneira muito custosa, tanto em termos
de dinheiro, quanto em termos de tempo, quanto em termos de burocracia para a minha organizao). Ento, a ideia de
avaliar a probabilidade e a severidade dos meus riscos e dizer olha, eu vou tratar com um alto grau de controle os riscos de
alta probabilidade e de alta severidade, com um grau mediano os riscos de mdia probabilidade e de mdia severidade e
talvez no v tratar de forma nenhuma os riscos de pouqussima probabilidade ou baixa severidade uma maneira
interessante de priorizar a atuao da gesto de riscos e direcionar o foco da interveno organizacional dentro da gesto de
riscos.
Eu acho que esse tipo de noo vai ficar mais claro na prxima sesso, quando ns conversarmos como a gesto de riscos se
desdobra e interage com os conceitos de gesto de processos.
ELO Group 2011
36
SLIDE 34
Antes de falarmos ento um pouquinho mais sobre a interface e sobre a integrao da gesto de riscos com gesto de
processos, vamos olhar um pouco sobre quais so os tipos de risco mais tradicionalmente abordados e a importncia
particular de um conceito chamado risco operacional que efetivamente o risco que se relaciona de forma mais ntima aos
processos da organizao.
ELO Group 2011
37
SLIDE 35
Um dos principais documentos que marcou a evoluo da trajetria da gesto de risco dentro das organizaes o
documento da Basilia. A Basilia um documento que normatizava a gesto de risco dentro das operaes de bancos. E nos
podemos observar essa evoluo, dentro do entendimento da Basilia, para entender especificamente quais so os principais
tipos de riscos que enfrentam as organizaes hoje em dia.
O primeiro risco atacado pela Basilia, em 88, era o risco de crdito. O risco de crdito basicamente pode ser explicado com o
risco de no pagamento de uma dvida. Ou seja, uma empresa toma crdio em um banco e d o chamado default, ou seja,
no honra essa dvida. Esse risco enfrentado por instituies financeiras o risco de crdito.
Um outro risco que foi reconhecido e passou a ser de gerido forma mais sistmica a partir de 1995 o risco de mercado. Esse
risco pode ser expresso pela oscilao do valor do ativo no mercado. Ou seja, eu comprei um ao a 10 reais e hoje ela vale 8;
esse dficit representa a oscilao do valor de mercado de um ativo (no caso a minha ao) e, portanto, se configura o risco
de mercado.
At 95, o risco operacional era tudo que no era risco de crdito e risco de mercado. A partir de 2004, o risco operacional
passou a ser reconhecido como um risco em separado, digno de nota e de ser tratado de forma especfica. Hoje, os riscos
que so considerados como riscos que no so reconhecidos formalmente por esse documento, so os riscos estratgicos ou
os riscos reputacionais. Mas afinal, para o documento da Basilia, que baseia uma srie de instituies e de definies sobre
gesto de risco, o que o risco operacional?
SLIDE 36
ELO Group 2011
38
O risco operacional pode ento ser entendido como eventos oriundos de falhas ou vulnerabilidades em pessoas, processos
internos, sistemas ou at ambiente externo que causem influncia no atendimento dos objetivos, que levem a incerteza ao
atendimento dos objetivos. A Basilia (e aqui no Brasil, ela se traduziu na resoluo 3380 do Banco Central) cita alguns
exemplos mais comuns de riscos especficos dentro de instituies financeiras, mas que podem ser aplicados facilmente para
outros tipos de organizao. Esses eventos so oito categorias e so eles:
I fraudes internas;
II fraudes externas;
III demandas trabalhistas e segurana deficiente do local de trabalho;
IV prticas inadequadas relativas a clientes, produtos e servios;
V danos a ativos fsicos prprios ou em uso pela instituio;
VI aqueles que acarretem a interrupo das atividades da instituio;
VII falhas em sistemas de tecnologia da informao;
VIII falhas na execuo, cumpriemento de prazos e gerenciamento das atividades desta instituio.
ELO Group 2011
39
SLIDE 37
Vamos ressaltar agora algumas das caractersticas importantes do risco operacional. A primeira o seu comportamento
estatstico (e a eu peo para que vocs no se assustem com esses dois grficos que esto na tela de vocs). A principal
mensagem que eu gostaria que vocs pegassem desses grficos a seguinte: o risco operacional tem um comportamento
muito assimtrico. O que esse comportamento assimtrico pessoal? O comportamento assimtrico pode ser traduzido pelo
seguinte entendimento: no risco operacional existem muitos eventos de baixa severidade, ou seja, eu tenho muitos eventos
que tem uma alta probabilidade de ocorrer mas baixa a severidade desses eventos. Que tipo de eventos so esses? So
erros corriqueiros que ocorrem nas operaes das empresas; um dado mal digitado, uma vulnerabilidade de um sistema
causa problemas pequenos percentualmente e em termos de atendimento dos objetivos. Ento eu tenho uma grande
quantidade dos riscos e de eventos de risco com esse perfil (de alta probabilidade e baixa severidade).
Em contraposio eu tenho uma pouca caracterstica, uma pouca quantidade de eventos de altssima severidade e de
baixssima probabilidade. O evento principal que tem aqui como exemplo (que o mais citado) o 11 de setembro: qual a
probabilidade de dois avies colidirem com os dois maiores monumentos da cidade de Nova York, os dois prdios mais altos
da cidade de Nova York? A probabilidade era quase zero, mas a severidade era altssima.
Ento a ideia aqui que o risco operacional caracterizado por essas duas coisas:
Uma alta incidncia de eventos de altssima probabilidade e baixssima severidade, que se acumulam (e a sim
podem machucar as organizaes, podem trazer problemas; mas individualmente eles no so problemticos
porque a severidade muito baixa).
E baixssima probabilidade de eventos de altssima severidade; mas quando esses eventos acontecem a severidade
bastante alta.
E isso traz um dilema para os gestores de riscos operacionais que : como eu trato os riscos com comportamentos to
diferentes e quais riscos priorizar?
ELO Group 2011
40
ELO Group 2011
41
SLIDE 38
Outras caractersticas interessantes do risco operacional so as seguintes:
O risco operacional no est correlacionado com nenhum ativo da organizao. Reparem, a gente falou aqui de risco
de mercado e risco de crdito. O risco de crdito est correlacionado com um ativo; se eu te emprestei 10 reais o
meu risco de crdito de no mximo 10 reais. Voc pode no me pagar esses 10 reais de volta ( um risco de
crdito), mas o valor do meu emprstimo condiciona o valor do risco. Da mesma maneira, no risco de mercado, se
eu comprei uma ao que custa 15 reais e essa ao virou p, eu perdi 15 reais; eu posso at perder um pouco mais
operando o alavancado, mas existe uma correlao entre o valor do meu ativo e o valor do meu risco. No risco
operacional isso no verdadeiro: ele no est correlacionado com nenhum ativo da organizao. O melhor
exemplo disso : eu posso ter o meu fusquinha que vale 5000 reais e eu posso bater em uma BMW. Quando eu bato
em uma BMW, o prejuzo que eu gerei de 50000, 60000 reais, que 6, 7, 8, 10 vezes maior do que o valor do meu
fusca. Mas por qu? Porque o risco operacional no est ligado a nenhum ativo especfico da organizao e o
conceito da exposio ao risco operacional no muito preciso por causa disso; ou seja, o quanto eu posso perder
em um determinado momento do tempo muito difcil de quantificar. Da mesma maneira eu posso ter uma agncia
de banco que tem 20000 reais em dinheiro (dentro daquela agncia), mas se um assaltante entra e mata uma
pessoa l dentro eu posso sofrer um processo pela famlia da vtima por eu no ter dado as condies adequadas de
segurana e perder muito mais do que os 20000 reais que estavam no caixa.
A segunda caracterstica a que ns j falamos: o risco operacional possui um comportamento muito assimtrico
eu tenho muitas perdas de pouco impacto e poucas perdas de muito impacto. Como eu comentei, isso traz uma
dificuldade muito grande para os gestores de risco operacional para lidar com eventos e com coisas to diferentes.
E, especificamente, o risco operacional no est tipicamente ligado expectativa de uma determinada recompensa
(ou de um retorno), mas ele existe no curso natural da operao de uma organizao. Ou seja, para estar exposto ao
risco operacional basta eu abrir a porta. Eu no preciso necessariamente apostar, ou eu no preciso
ELO Group 2011
42
necessariamente desejar algum retorno; basta que a empresa esteja funcionando para que ela esteja exposta ao
tipo de incerteza e ao tipo de vulnerabilidade caracterstica do risco operacional.
ELO Group 2011
43
SLIDE 39
Bom, uma vez compreendidos todos os conceitos associados gesto de risco e em relao ao risco operacional em
particular, podemos agora, a partir de um exemplo prtico, entender como a gesto de riscos se relaciona com a gesto de
controles internos e com a gesto de processos. Nesse exemplo, a nossa expectativa que todos os conceitos ganhem vida
para vocs e que vocs, a partir de agora, se sintam aptos a aplic-los na realidade de suas organizaes.
ELO Group 2011
44
SLIDE 40
Trouxe ento para vocs o exemplo do processo de compras de produtos. Como podemos identificar os principais riscos
nesse processo e elaborar aes para efetivamente mitigar os riscos que sejam prioritrios? Bom, quando comeamos a
entender o ambiente e o processo de compras de produtos, nos deparamos com diversas variveis, como por exemplo:
Uma empresa pode ter diversos sites de negcio;

Eu preciso arquivar e digitalizar as imagens em termos de requisitos e comprovantes de compra;
Eu preciso ter conhecimentos de contabilidade para arquivar e para catalogar os novos arquivos;
Eu preciso ter conhecimento de toda a base de fornecedores, das apresentaes, para saber que tipo de fornecedor
se enquadra em cada tipo de compra;
Eu preciso ter uma lista negra (ou de fornecedores com o CNPJ inativo);
Eu preciso enteder, por exemplo, a responsabilidade por alada, para que a organizao aprove as compras;
Eu preciso planejar o sistema de compras, o sistema de cotaes, a poltica de compras;
E eu preciso entender como fazer requisies de pagamentos.
Ou seja, o meu ambiente para execuo do meu processo de compras bastante complexo e representa diversos riscos para
os objetivos que eu possa ter com ele. Como eu inicio?
ELO Group 2011
45
SLIDE 41
O primeiro passo o entendimento do contexto. Recomendamos (e melhor prtica em diversas organizaes) a utilizao
da prtica de gesto de processos para a organizao conceitual e tcnica do contexto. Nessa nossa organizao temos ento
uma rea de negcio, que d incio ao processo (na raia de cima), realizando a requisio de compra de produto. A rea de
compras de materiais cota os produtos para a compra e envia essas cotaes para a rea de negcio. A rea de negcio
analisa as cotaes feitas pela rea de compras e escolhe a melhor, tanto do ponto de vista de oramento quanto do ponto
de vista de especificao tcnica. A rea de compras de materiais, ento, compra o produto (conforme escolhido pela rea
de negcio) recebe esse produto e a, no caso desse produto representar um ativo fixo para a companhia, faz toda a parte de
patrimoniamento do produto e esse ativo fixo vira uma propriedade controlada contabilmente pela empresa. Caso o ativo
no seja fixo, o processo se encerra no momento em que se d o recebimento do produto pela rea de compras de
materiais.
Esse processo bem simples nos ajuda a identificar grandes variveis de complexidade para o contexto da rea de compras.
ELO Group 2011
46
SLIDE 42
A partir do processo mapeado, podemos identificar trs grandes objetivos do negcio que esse processo visa atender:
O primeiro objetivo (que diz respeito, de maneira mais forte, s trs primeiras atividades) assegurar que as
compras realizadas atendam as necessidades dos respectivos solicitantes. Para isso, eu tenho todo o ciclo de
requisio, de cotao e de aprovao da cotao pela rea de negcio.
Alm disso, eu tenho um segundo objetivo importante que o de assegurar a confiabilidade e o prazo na entrega de
produtos. Para isso, todo o processo ou as atividades de compra ou de recebimento de produtos so realizadas.
E por fim, a parte de patrimoniamento de produtos ou de ativos assegura que os ativos fixos esto sendo
devidamente ativados e classificados dentro do sistema contbil e de patrimnio da empresa.
Dessa forma, conseguimos relacionar trs objetivos de negcio com o nosso contexto e o nosso processo de negcio
mapeado.
ELO Group 2011
47
SLIDE 43
A partir da identificao dos objetivos, podemos iventariar os riscos, ou seja, as fontes de incerteza que levam ao no
atendimento dos objetivos.
Para o primeiro objetivo de assegurar que as compras atendam s necessidades dos respectivos solicitantes, eu
tenho dois riscos:
o O da especificao tcnica inadequada do produto solicitado, ou seja, quando a rea de negcio no
especifica de forma adequada esse produto ou h um mau entendimento pela rea de compras da
especificao;
o E o entendimento incorreto por Compras da especificao detalhada pelo solicitante.
Ento esses dois so os principais riscos em relao ao primeiro objetivo.
Em relao ao segundo objetivo, de assegurar a confiabilidade do prazo em entrega dos produtos, eu tenho dois
grandes riscos:
o O recebimento do produto fora do prazo definido;
o E o recebimento da nota fiscal com prazo invivel para o pagamento. Esses dois tipos de erro tambm
afetam diretamente o objetivo de assegurar o prazo na entrega dos produtos
Em relao ao ltimo objetivo, de adequao, ativao e classificao correta dos ativos da empresa, eu tenho dois
riscos principais:
o A no ativao ou classificao contbil de um bem adquirido;
o E o etiquetamento inadequado dos ativos fixos.
Ento, lembrando o nosso raciocnio: procedemos ao mapeamento dos processos, na sequncia identificamos os objetivos e,
agora, em face desses objetivos de negcio, iventariamos os riscos que trazem incerteza no atendimento de cada objetivo.
ELO Group 2011
48
SLIDE 44
Uma vez identificados os riscos, importante que se proceda para a avaliao da probabilidade e da severidade de cada
risco. Isso relevante para que se possa separar, digamos assim o joio do trigo, ou seja, para que se entenda quais so os
riscos prioritrios (aos quais se deve dedicar mais ateno e esforo gerencial) dos riscos menos relevantes (aos quais
controles mais simples ou at nenhum controle pode ser designado). Para isso, prope-se o uso da matriz de probabilidade e
de severidade, onde classificamos os riscos quanto a probabilidade de ocorrncia (ele pode ser raro, pouco provvel ou
possvel) e a severidade (uma severidade aceitvel, tolervel ou intolervel). Para isso, na combinao da probabilidade com
a severidade, temos:
Os riscos na regio vermelha que so considerados os riscos altos (que possuem, por exemplo, alta
severidade e alta probabilidade).
Os riscos da regio amarela seriam os riscos mdios (de severidade alta ou probabilidade alta ou
intermediria)
E os riscos na regio verde, que seriam considerados riscos baixos.
Isso importante para ajudar a alta gesto da empresa a adequar o nvel de controle daquela empresa a avaliao de cada
risco de maneira uniforme e integrada.
ELO Group 2011
49
SLIDE 45
Voltando ao nosso exemplo, podemos ver que cada risco possui uma avaliao especfica. A partir dos riscos que tiveram sua
maior avaliao, podemos identificar os principais controles:
Em relao ao risco especificao tcnica inadequada do produto solicitado, podemos verificar que essa
organizao do nosso exemplo j possui trs controles:
o O controle 1 diz que a solicitao de compra analisada e aprovada pelo proprietrio do Centro de Custo,
apoiado pelo sistema de compras e de acordo com a Poltica de Alada. Ou seja, se isso feito, h uma
mitigao de que haja uma especificao tcnica inadequada do produto solicitado.
o Alm disso, o controle 2 diz: a elaborao do oramento da rea solicitante define em linhas gerais quais
bens devem ou no ser adquiridos. Isso tambm deve mitigar o risco de especificao tcnica inadequada.
o E por fim, o controle 3 diz que: em caso de uma solicitao de um ativo fixo para a empresa, esta
analisada e aprovada pela Diretoria de Operaes, de acordo com a Poltica de Compras. Para ativos fixos,
onde o valor da compra normalmente mais alto, este um controle adicional que mitiga o risco em
questo.
ELO Group 2011
50
SLIDE 46
Dessa forma, com a existncia dos controles, o risco de especificao tcnica inadequada do produto solicitado (que antes
poderia ser considerado um risco alto por possuir alta probabilidade de ocorrncia e alta severidade de impacto) passa agora
a ser considerado um risco mdio, porque os controles j mitigam grande parte dessas ocorrncias.
ELO Group 2011
51
SLIDE 47
Entretanto, um risco mdio no necessariamente um risco aceitvel para a organizao e ela pode querer aplicar novos
controles para reduzir ainda mais a probabilidade de ocorrncia ou a severidade das ocorrncias desse mesmo risco. Caso
esse seja o caso, a organizao possui algumas opes de tratar esse risco:
A primeira atuar reduzindo a sua probabilidade; nesses casos o tratamento acaba se concentrando mais na
melhoria da estrutura atual de controles, para diminuir a probabilidade que os eventos relacionados ao risco
aconteam.
Outra opo para essa organizao a reduo da severidade; nesses casos o tratamento se concentra na melhoria
da estrutura atual de controles para diminuir o impacto dos eventos relacionados ao risco. A diferena, pessoal,
entre reduzir a probabilidade e a severidade e que um atua na causa do risco (diminuindo a probabilidade que
aquela causa gere um efeito negativo), e a segunda atua no impacto (uma vez que o risco j ocorreu, na diminuio
do seu impacto). Um exemplo clssico de um controle que reduza a probabilidade , por exemplo, o controle de
acesso a sistemas para impedir que pessoas que no deveriam acessar dados confidenciais cometam crimes. E um
exemplo clssico de um controle que atua reduzindo severidade , por exemplo, um plano de contingncia; uma vez
que o risco j aconteceu (j ocorreu algum acidente) eu consigo minimizar o impacto para a operao desse
acidente a partir de um plano de contingncia.
Outras opes que no necessariamente levam ao tratamento do risco, mas so respostas adequadas ao risco a
deciso de reter o risco ou seja, de simplesmente no tratar, de aceitar esse risco como ele e absorv-lo pela
empresa.
Compartilhar com outras empresas, atravs da subcontratao dos servios ou terceirizao de atividades.
E de descontinuar a atividade: em muitos casos, a melhor maneira de tratar um risco simplesmente no realizar
mais a atividade que viabilizava ou que estava relacionada com aquele risco. claro que isso deve ser analisado: se
faz sentido dentro do contexto de negcio da empresa ou se melhor reter o risco, compartilhar ou melhorar a
estrutura de controles.
ELO Group 2011
52
ELO Group 2011
53
SLIDE 48
Voltando ao nosso exemplo, foram identificadas uma srie de iniciativas para tratar os riscos ainda existentes nos processos.
Essas iniciativas podem ser vistas em detalhe no slide seguinte.
ELO Group 2011
54
SLIDE 49
Por exemplo, para o risco de especificao tcnica inadequada do produto solicitado, que foi o que usamos como exemplo
nesse exerccio sugeriu-se um plano de ao para tratar o risco residual, ou seja, o risco ainda existente mesmo aps a
aplicao dos controles. Esse plano de ao foi:
Sugeriu-se como plano de ao, para mitigar esse risco de forma suficiente, a criao de especificaes tcnicas
ideais para cada tipo de produto e a parametrizao do sistema de compras de acordo com essas. Entendeu-se que
esse plano de ao levaria a implantao de novos controles que reduziria a probabilidade e a severidade daquele
risco e, consequentemente, a sua avaliao global de mdia para baixa levando esse risco ao nvel desejado pela
organizao. Caso vocs desejem, fiquem vontade para exercitar novos planos de aes para outros tipos de riscos
que foram utilizados nesses exerccios. claro que existem a trs exemplos para que vocs possam conferir e dividir
ideias com o caso.
ELO Group 2011
55
SLIDE 50
Por fim, aps olharmos em detalhes a relao entre processos, riscos e controles internos, vamos ao ultimo conceito
importante no mundo de gesto de riscos que debateremos nessa aula: o conceito denominado GRC, uma sigla que se refere
a governana, riscos e compliance.
ELO Group 2011
56
SLIDE 51
O conceito de GRC parte da premissa de que o conhecimento necessrio para gerir a incerteza dos processos de uma
organizao est espalhado na organizao de forma bastante difusa, ou seja, eu posso ter essa informao, por exemplo:
No log de desvios no uso inadequado de aplicativos da organizao;

Uma base de dados com informaes transacionais dos principais aplicativos operacionais;
Um controle de Help Desk, uma planilha do histrico de multas;
Um sistema de tratamento das reclamaes dos clientes;
Registro de fraudes, perdas e roubos;
Pesquisas de satisfao dos clientes;
E rbricas contbeis de questes trabalhistas.
Ou seja, o meu conhecimento sobre o perfil de risco da minha operao e sobre os principais eventos que traduzem o risco
est disperso de forma bastante heterognea nos sistemas e atores organizacionais.
ELO Group 2011
57
SLIDE 52
O conceito de GRC vem de encontro com essa necessidade, a necessidade de coletar a informao uma vez somente,
evitando retralho (em termos de perguntas para os diversos atores organizacionais) e distribu-la de forma estruturada para
os diversos atores tomarem decises focadas nas realidades de cada um. Ento surgiu o conceito de GRC que remete a
Governana, Gesto de Riscos e Compliance.
Primeiro, por que governana? Porque governana diz respeito a construo e a implantao de polticas,
procedimentos, papis, responsabilidades e autoridades, pelos quais uma organizao define as suas diretrizes e
objetivos e coordena pessoas, processos e sistemas para alcan-los.
Gesto de risco por qu? Porque a gesto de risco, como ns vimos, versa sobre a cultura (crenas, valores e
comportamentos), processos e estruturas de uma organizao, que so direcionados realizao de ganhos
potenciais e evitando ou limitando perdas, simultaneamente.
E compliance por qu? Porque compliance se refere forma como a organizao mitiga seus riscos e implanta sua
estrutura de governana.
Ento esse trip (governana, gesto de riscos e compliance) deve ser responsvel por identificar as principais fontes de risco
de maneira estruturada, coletar informaes sobre essa fonte, distribui-las para os atores e garantir que os principais riscos
so mitigados a partir da implantao efetiva de controles dentro da organizao
ELO Group 2011
58
SLIDE 53
No mercado, o conceito de GRC tem sido muito associado ao uso de sistemas informticos e um exemplo disso o conceito
de repositrio de GRC; ou seja, o que um repositrio de GRC? A organizao pega diversas fontes de risco (como um
clipping de agncia de notcias, a ouvidoria que relaciona com os seus clientes, uma consultoria de marketing que prov, por
exemplo, relatrios detalhados sobre mudanas no mercado, o pipeline de vendas comercial e a folha de RH). Cada fonte
dessa de informao filtrada e classificada de acordo com a minha taxonomia de riscos e dos meus processos, ou seja,
cada coisa dessa classificada com uma causa, um impacto e posicionada nos meus processos. A partir disso, eu consigo ter
uma viso estruturada de quais so as minhas principais causas de vulnerabilidade, quais so os impactos aos quais eu estou
suscetvel e quais so os pontos dentro dos meus processos onde eu preciso atuar para mitigar esses tipos de riscos.
Ou seja, esse exemplo demonstra de uma maneira bastante clara e direta como um sistema pode apoiar a viso de GRC,
atravs da estruturao de uma base de dados que classifique os eventos de risco e direcione a interveno organizacional
dentro dos processos para mitigar esses riscos.
ELO Group 2011
59
SLIDE 54
Uma mensagem final importante, pessoal, que eu gostaria de passar que normalmente os conceitos de gesto de riscos, de
controles internos esto associados com coisas negativas dentro das organizaes. Muitas vezes o pessoal da gesto de risco
visto como o policial, que vai auditar, que vai depois recomendar a demisso, vai apontar os erros, vai ser o dedurador.
Esse conceito tem que ser mudado para que as organizaes consigam atingir um outro patamar de desempenho, um outro
nvel de performance. A, o insight que a gente gostaria de trazer que a gesto de riscos no necessariamente
burocratizadora; ela no necessariamente algo que faz a organizao ser mais lenta, mais pesada, mais burocrtica.
Ns trouxemos a figura de dois patinadores olmpicos (abaixo). Por que eles conseguem ser to precisos e andar a tal
velocidade, de forma to rpida? Porque provavelmente a alta tecnologia, o treinamento deles e todo o perodo que eles
passaram se preparando para esse momento foram controles para mitigar os principais riscos. Ento o exerccio de
identificao de riscos e de implantao de controles para mitigar esses riscos um exerccio que deve sempre ser em prol
da organizao, em prol da velocidade e nunca contra. A ideia que os controles no tornam necessariamente a organizao
mais lenta, mas que sim, ela deve poder andar mais rpido, no topo de sua velocidade, porque os controles do segurana
para que ela possa se manter assim: de forma segura, de forma a no prejudicar a sua sade e o seu atendimento dos seus
objetivos. Essa eu acho que uma mensagem importante, final para o nosso papo de hoje.
ELO Group 2011
60
SLIDE 55
Como em todas as aulas, vamos agora rever alguns conceitos-chave que foram demonstrados no dia de hoje.
ELO Group 2011
61
SLIDE 56
Foram quatro conceitos, ento pessoal, que ns passamos de forma mais detalhada e que eu gostaria de chamar ateno
para vocs nessa reviso:
Primeiro o conceito de risco, que o efeito da incerteza no atendimento dos objetivos. Ento a ideia aqui que
sempre que falamos de risco, isso deve ser enquadrado em relao a um objetivo organizacional especfico;
O segundo conceito o conceito de controle. Controles so dispositivos (so gatilhos, so processos, prticas e
sistemas) que so executados pela direo e pela gesto da empresa para prover uma garantia razovel que os
objetivos sero atingidos, ou seja, o controle aquilo que mitiga o risco, que atua sobre o risco para garantir, de
forma razovel, o atendimento dos objetivos;
O terceiro conceito o conceito de risco operacional: que so eventos indesejados, oriundos de processos internos,
pessoas, sistemas e do ambiente externo, que levam a organizao a no atender os seus objetivos. E a, lembrando
as caractersticas do risco operacional:
o A assimetria: muitos eventos de baixa severidade e poucos eventos de altssima severidade;
o E a problemtica de quantificar o risco operacional por essa assimetria.
E por fim, o conceito de GRC, um conceito bastante moderno, bastante falado na gesto de risco e tem a ver com
alinhar a governana, o risco e o compliance em um processo integrado de coleta de informao, de distribuio
dessas informaes para os diversos atores organizacionais para a tomada de deciso gerencial e a integrao de um
processo nico de gesto de risco; onde essas informaes sirvam para que a organizao pondere, de forma
integrada e sistmica, os riscos que so incorridos no decorrer do atendimento dos seus objetivos e intervenha de
maneira precisa na sua operao, de modo a mitigar os riscos avaliados como mais significativos.
SLIDE 57
ELO Group 2011
62
Chegamos ao final da nossa aula ento pessoal, espero que vocs tenham gostado e aguardo a participao de vocs no
frum de discusso. At a prxima aula!
ELO Group 2011
63
ANOTAES DO ALUNO
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
ELO Group 2011
64
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
________________________________________________________
ELO Group 2011
65

9.1 Aula Transcrita

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

9.1 Aula Transcrita

Enviado por

Direitos autorais:

Formatos disponíveis

9.1.

Gesto de Riscos em Processos

Durao da Aula: 66 min

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

Entretanto, ser que essa a melhor deciso a ser tomada? Vejamos.

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos

ELO Group 2011

9.1. Gesto de Riscos em Processos