Rá

Apresentação
A prática de gestão de riscos já foi vista como conceito de difícil aplicabilidade fora do mercado
financeiro. “Risco está relacionado à escolha, não ao acaso, pois decorre da incerteza inerente
ao conjunto de possíveis conseqüências (ganhos e perdas) que resultam de decisões tomadas
diariamente pela organização”.

Por que hoje se fala em gestão de riscos e há alguns anos não se falava? O fator determinante
para isso se dá pelo aumento das variáveis de decisão, como: globalização, complexidade dos
produtos e serviços, aspectos regulatórios, dinamismo do mercado. Gerir riscos tornou-se
fundamental para tratar gaps de controle e principalmente, fornecer uma visão macro da
organização, tanto o que compreende valor ao acionista como do corpo diretivo e gerencial.

Apesar dos diversos benefícios, a idéia de gerir riscos não é algo totalmente palpável para
algumas corporações. Uma proposta interessante sobre como convencer a Alta Administração
da importância da gestão de riscos é olhar para dentro da organização e questionar: nos
últimos dias, meses, anos, qual a ocorrência de fatos incertos ou surpresas negativas ao
negócio? A incerteza é o maior motivador da gestão de riscos, assim como a geração de
oportunidades, vista como conseqüência da aplicação bem sucedida da prática.

O presente trabalho, apesar do cunho introdutório e elucidativo, ilustra de forma sistemática a

aplicabilidade da gestão de riscos, fazendo um paralelo com a visão integrada de GRC –
Governança, Riscos e Compliance.

Carlos Diego Cavalcanti – dcavalcanti@dcavalcanti.com

Graduado em Análise de Sistemas pela Unibratec e pós-graduado em Administração Financeira pela UPE -
Universidade de Pernambuco. Membro do PMI - Project Management Institute. Membro da Comissão de Gestão de
2
Riscos da ABNT (GT03 – Riscos Positivos e GT05 – Riscos em Projetos), participante da comunidade acadêmica
sobre modelos de gestão.

| Gestão de Riscos: abordagem de conceitos e aplicações

Sumário
1. Introdução a gestão de riscos

3.1. Conceitos de riscos

3.2. Classificação de riscos

3.3. Histórico da gestão de riscos

3.4. COSO: Controles internos e riscos

3.5. ERM: Evolução da visão de riscos através da integração à estratégia

corporativa

3.6. Integração e sinergia de práticas: Governança, riscos e compliance (GRC)

2. Abordagem de conceitos e aplicações

3.1. Abordagem do processo de gestão de riscos

3.2. A visão da gestão de oportunidades

3. Considerações finais

4. Referências

| Gestão de Riscos: abordagem de conceitos e aplicações

1. Introdução a Gestão de Riscos
Muitos executivos se perguntam: “Qual a importância de controle efetivo sobre a gestão da
empresa?” As variações que ocorrem na conjuntura empresarial, em inúmeros casos,
terminam por obrigar as organizações a adotar ações como a redução do quadro funcional, por
exemplo. Tal prática é algo enraizado na cultura gerencial das corporações e está longe de ser
vista como algo inexistente na realidade atual. Contudo, uma pergunta sempre surge quando o
tema demissão é abordado: o quão eficaz para a proposta de redução de custos será o
desligamento de um ou outro funcionário?

Entre os círculos de consultoria circula uma história que exemplifica de forma singular esse
cenário: uma necessidade de enxugamento em uma célula de produção levou uma empresa a
uma situação no mínimo inusitada. Três operadores da área de estamparia executavam a
mesma tarefa. Ao final do turno, dois deles atingiam praticamente a mesma produção, sendo
que o terceiro, não conseguia acompanhá-los. Uma decisão imediatista, sem dúvida alguma, o
indicaria para a demissão, como ocorre na maioria das empresas. Uma análise mais criteriosa
mostrou que, os dois primeiros, apesar de manterem maiores índices de produtividade,
interrompiam suas tarefas com maior freqüência, ao contrário do terceiro. O que explicaria
então o fato de apresentarem diferentes índices de produtividade?

Analisando minuciosamente os movimentos braçais de cada um deles, para surpresa, o

terceiro vinha executando uma movimentação diferente dos demais, gastando com isto,
alguns preciosos segundos a mais para a realização completa da operação. Estaria aí, a razão
para tal diferença? Convidou-se o terceiro operador para uma conversa em particular, onde se
mostrou o resultado das análises, questionando-o a seguir sobre as razões para tal. Foi
surpresa quando o mesmo informou ser canhoto e, portanto, a necessidade do movimento
adicional. Foram adotadas ações imediatas no processo e o resultado foi surpreendente nas
avaliações seguintes. Resultado: o candidato a demissão era o melhor operador. Repensando o
processo, seriam gastos: R$6.275,45 na demissão do operador; A empresa arcaria com um
novo processo seletivo, que custaria aproximadamente R$3.000,00; Entre treinamento e
alinhamento de conhecimento do novo colaborador com os demais, seriam gastos R$4.000,00
em salários e encargos durante o período de dois meses; A operação executada pelo operador 4
rende a empresa exatos R$523,50/dia. Ou seja: a perda direta seria de R$13.275,45 com a
demissão, além da perda de receita na ordem de R$23.557,50 nos próximos 90 dias

| Gestão de Riscos: abordagem de conceitos e aplicações

(rendimento pleno do operador / 2 * 90, considerando que o novo colaborador renderia a
metade do anterior durante o período de integração e treinamento).

Ponderando sobre o exemplo dado anteriormente, é salutar afirmar que risco está relacionado
a escolha e não ao acaso. Segundo dados da consultoria Deloitte Touche Tohmatsu, 75% dos
riscos de negócio não são identificados pelas empresas. Dos 25% que são de fato identificados,
a materialização dos mesmos é integral. Conclui-se que a visão dos gestores é totalmente
reativa quando se tratam os eventos de risco inerentes ao negócio.

Um dos grandes desafios atuais da prática de gestão de riscos é atuar não só de forma
preventiva aos eventos de incerteza, mas principalmente, criar oportunidades de ganhos.
Considerando que a maioria ainda vê a gestão de riscos como um custo, gerenciá-los de forma
reativa excede substancialmente o investimento efetuado de forma pró-ativa. Gerar
oportunidades a partir das incertezas não é simplesmente olhá-las como possibilidades de
melhoria. É sim concebê-la como conseqüência da aplicação efetiva de controles internos que
garantam a solidez dos processos de negócio.

PROCESSO REATIVO

Mapeamento de Demandas
Riscos Emergenciais

Análise de Riscos Sanar crises e

imprevistos

Controle de Correção de
Riscos Problemas

PROCESSO PROATIVO

Figura [I]. Visão comparativa do processo reativo face ao processo proativo de gestão.

1.1. Conceito de riscos

5
A definição mais comumente utilizada aborda riscos como “ameaça de que um evento ou ação
(interno ou externo) possa afetar negativa ou positivamente o ambiente no qual se está
inserido.” Do ponto de vista corporativo, o conceito de risco considera como esses eventos de

| Gestão de Riscos: abordagem de conceitos e aplicações

incertezas podem comprometer ou aperfeiçoar capacidade da empresa de operar, executar
sua atividade fim e gerar valor.

Existem muitas variáveis motivadoras para a aplicação da disciplina de gestão de riscos como
ferramenta no processo decisório e diretivo. Por se tratar de uma abordagem subjetiva, alguns
desses ganhos são tácitos, porém de grande valia para o desenvolvimento da organização. A
grande maioria, porém, de identificação clara após a implantação de uma estrutura integrada
de gestão de riscos. Alguns desses benefícios são:

• Entendimento do ambiente corporativo a partir de uma visão estruturada de

processos de negócio;

• Instrumentos de controle adequados frente aos eventos de incerteza negativa

inerentes ao contexto;

• Conhecimento quanto à possibilidade de perda pela exposição aos riscos;

• Identificação de condições de recuperação de perdas no caso de

materialização;

• Eliminar fontes de incertezas negativas, provendo a geração de oportunidades;

• Garantir da continuidade do negócio;

• Geração de valor como conseqüência da boa gestão dos riscos;

• Estruturação da cadeia de valor, condições internas e externas no mercado no

qual a empresa está inserida.

Mesmo que os benefícios e os aspectos positivos sejam elucidados, velhos paradigmas

interpolam e muitas vezes inviabilizam a implantação de uma estrutura de gerenciamento de
riscos. Alguns gestores visualizam o tratamento de riscos como uma atividade específica sob
demanda, restrita a áreas como Controladoria e Contabilidade, fragmentada quanto aos
padrões, onde cada departamento atua da forma que achar por bem. Entretanto, resultados
são evidenciados através da prática contínua, com a inclusão de todas as áreas e processos de
negócio da organização, considerando aspectos como: operação, mercado, regulamentações,
ambiente, ativos e toda e qualquer variável relevante.

| Gestão de Riscos: abordagem de conceitos e aplicações

 Visão gerencial sem os conceitos e práticas de
Gestão de Riscos

Visão gerencial com os conceitos e práticas de

Gestão de Riscos

Figura [II]. Visão gerencial com e sem os conceitos de gestão de riscos

Um dos principais motivadores das discussões quanto à aplicabilidade dos conceitos de gestão
de riscos está entre evidenciar a tênue linha entre a diferença de “perda” para o “não ganho”,
ou o pior dos mundos, onde ambas as situações ocorrem conjuntamente. Geralmente a
grande maioria das empresas trata o segundo caso com certo desprezo, por não afetar
diretamente o disponível de curto prazo. Entretanto, se considerarmos que todas as
organizações trabalham sob o prisma das projeções, certamente o que se perdeu é apenas
uma parte do que se deixou de ganhar. Considerar os benefícios trazidos pela gestão de riscos,
porém, não é algo fácil.

A prática de gerir incertezas não é nova. O mercado financeiro foi pioneiro nesse sentido. Por
se tratar de um setor com diversas variáveis condicionais, principalmente subjetivas, gerir
riscos é conseqüência. Entretanto, outrora os analistas não viam a disciplina com bons olhos,
principalmente por associá-la a burocracia. As críticas eram grandes. Trazendo esse cenário
para os dias atuais, a realidade é bem diferente: hoje praticamente nenhum analista de
investimento deixa de considerar riscos em suas aplicações.

Outra grande dificuldade para os gestores visualizarem os benefícios da gestão de riscos é

atrelá-la a custos e despesas em vez de investimento. Grande parte das publicações que
abordam a prática de riscos se utiliza do termo “criação de valor”. Esse movimento está
relacionado a resposta às criticas frente ao gerenciamento dos riscos, visto anteriormente
como custo.

Considerando essas assertivas, qual é a real demanda de uma organização para uma área de 7
gestão de riscos? Qual o tipo de problema que uma empresa tem que justifique tal prática?
Um dos grandes motivadores é o conhecimento quanto até que ponto o objeto gerenciado
aumenta a capacidade de entender as incertezas existentes. É na compreensão dos problemas,

| Gestão de Riscos: abordagem de conceitos e aplicações

das incertezas, que se passa a conhecer as oportunidades. Nessa direção, a gestão de riscos
evoluiu e aborda conceitos como a “Gestão de Oportunidades”, a qual não só consideram a
gestão dos riscos como variáveis geradoras de problemas, mas principalmente, as
oportunidades criadas a partir do bom gerenciamento dessas incertezas.

Analisando friamente o ambiente corporativo, são restritos os casos onde planejamentos de

longo prazo são eficazes. Trazendo isso para a realidade da gestão de riscos, onde é preciso ir
além de meramente lidar com a incerteza presente, é necessário considerar profundamente as
incertezas futuras. E é justamente nesse ponto que é criada uma grande barreira.

Todo e qualquer trabalho estratégico possui um exaustivo pleito de mapeamento e

modelagem do negócio. Isso demanda tempo e investimento, duas palavras que alguns
empresários não podem nem ouvir falar. Contudo, quando bem geridas e planejadas, a soma
dessas variáveis gera uma terceira: resultado.

1.2. Classificação de riscos

Em se tratando das incertezas que circundam o ambiente gestor de qualquer organização,

existem aspectos da conjuntura geral que precisam ser considerados e contemplados no
processo de análise para identificação dos eventos de risco. As variações quanto à classificação
de riscos podem ocorrer dependendo da organização, do mercado de atuação, além de uma
série de outros fatores.

Naturalmente o agrupamento e a classificação atribuída aos riscos se configuram com o

objetivo de compor o dicionário de riscos, o qual contemplará as categorias de eventos
passíveis de materialização, sejam eles de incertezas negativas ou mesmo de oportunidades.

Comumente, são abordadas três grandes classificações genéricas para condições de incertezas
externas ao negócio:

| Gestão de Riscos: abordagem de conceitos e aplicações

 Classificação de Riscos

Figura [III]. Classificação de riscos

• Riscos operacionais: Os riscos operacionais relacionam-se com perdas resultantes de:

processos internos, pessoas e tecnologia. O princípio do risco operacional trata a
reação em cadeia dos eventos internos e externos. Por exemplo, o mau atendimento
ao cliente é resultado de uma série de ocorrências de processos internos, tais como:
erro no desenvolvimento do produto, falta de treinamento da equipe de atendimento,
inexistência de política e procedimentos internos, inoperância do sistema de
informação. Os riscos operacionais tratam as situações de incertezas e fontes
geradoras de problemas dentro do processo, tratando as pessoas que interagem com
esses assim como os sistemas que os suportam.

• Riscos de mercado: Os riscos de mercado consideram as variáveis que alteram o valor

de um instrumento financeiro. O risco de mercado existe em decorrência da
possibilidade de ocorrerem perdas mediante movimentos adversos no mercado. É o
risco da perda financeira como resultado da mudança ocorrida no valor percebido de
um dado instrumento. O exemplo clássico de risco de mercado procede das perdas na
Bolsa de Valores.

• Riscos de crédito: Tratam atividades cujas quais os êxitos dependem do cumprimento 9

pela outra parte, emitente ou tomador. Para ilustrar o cenário, quando pessoas,
empresas ou estrutura governamental falham com as convenções para efetuação de
um pagamento, configura-se o risco de crédito. Existe uma fronteira tênue entre o

| Gestão de Riscos: abordagem de conceitos e aplicações

 risco de mercado e o risco de crédito, uma vez que o risco de mercado pode
influenciar as decisões dos atores mencionados acima. O risco de crédito advém de
distintas fontes, entre as quais se destacam os empréstimos individuais (falha em
repor total ou parcialmente a quantia emprestada) e as operações de troca (sujeito
percebe que vai perder dinheiro com a troca, reluta em pagar).

Conforme pode ser visto no quadro abaixo, as derivações possíveis e particulares de riscos em
cada segmento possibilitam a composição do Dicionário de Riscos relativo ao negócio
avaliado. A formalização do referido catálogo tem como propósito prover o direcionamento
das ações de gestão dos riscos e processos contidos na cadeia de valor1 do negócio, assim
como as condições externas e internas do mesmo.

Figura [IV]. Cadeia de valor de riscos e processos, considerando as condições externas e internas.

É importante frisar que mais do que uma categorização, o dicionário de riscos provê a
elaboração de estratégias específicas para cada agrupamento. O objetivo do filtro existente no

1
“A cadeia de valor designa uma série de atividades relacionadas e desenvolvidas pela
empresa a fim de satisfazer as necessidades dos clientes, desde as relações com os
fornecedores e ciclos de produção e venda até a fase da distribuição para o consumidor final, 10
neste sentido o conceito de cadeia de valor é especialmente ajustado para explicitar a
integração da logística na estratégia empresarial. Cada elo dessa cadeia de atividades está
interligado. Michael Porter, desagregando a empresa nas suas atividades de relevância
estratégica, considera que ganha vantagem competitiva a empresa que conseguir executar
essas atividades da forma mais barata ou melhor que a concorrência.” Moura, 2006

| Gestão de Riscos: abordagem de conceitos e aplicações

dicionário de riscos é justamente fornecer ações que vão além da mera taxonomia dos
processos, atividades, riscos e controles, mas sim, possibilitar a estruturação de modelos e
abordagens apropriadas para cada segmento considerado.

1.3. Histórico da gestão de riscos

A evolução cronológica percebida ao longo do tempo no processo de gerenciamento de riscos

é uma conseqüência clara da demanda a ser atendida. Conjunturas de mercados cada vez mais
flutuantes invariavelmente tendem a exigir a reflexão quanto à eficiência e eficácia dos
modelos até então tidos como definitivos e solucionadores de problemas.

Mercados como o financeiro, por exemplo, demandam atualmente uma série de mecanismos
de controle que garantam a solidez operacional e principalmente, do capital. Segundo um
estudo elaborado pela Deloitte Touche Tohmatsu para a FEBRABAN (Federação Brasileira dos
Bancos), os dez principais aspectos considerados pelo mercado financeiro no tocante ao
gerenciamento de riscos são:

1. Gerenciamento integrado dos riscos;

2. Identificação dos riscos com alto grau de impacto e probabilidade de ocorrência;

3. Implementação de um efetivo programa de prevenção à lavagem de dinheiro;

(AMLP);

4. Otimização do capital;

5. Restabelecimento da credibilidade pública (Governança Corporativa);

6. Tratamento de novas e complexas regulamentações (Sarbanes-Oxley e Basiléia-II);

7. Implementação de modelos de Compliance;

8. Planejamento para cenários extremos (continuidade dos negócios);

9. Altos investimentos realizados em Tecnologia da Informação;

10. Integração de plataformas tecnológicas em virtude de fusões e aquisições.

Como toda e qualquer iniciativa de gestão, ou mesmo metodologia que busca prover uma
maior integração dos modelos e práticas de mercado, a visão de riscos passou por uma série
de evoluções até atingir o escopo atual de trabalho, abrangendo: Auditoria Interna, Controles 11
Internos, Governança Corporativa e Compliance.

| Gestão de Riscos: abordagem de conceitos e aplicações


Cronologia de Modelos de Referência

Modelo Ano Descrição Autor

COSO – Commitee
Framework para implantação de uma estrutura de controles internos a
of Sponsoring
partir de cinco componentes integrados: ambiente de controle; avaliação
COSO 1992 Organizations of
de riscos; atividade de controle; informação e comunicação;
the Treadway
monitoramento.
Commission
FERMA –
Guia europeu da prática de gestão de riscos a partir de uma visão objetiva Federation of
FERMA 2002 do processo de gerenciamento de riscos. Contempla templates para European Risk
realização das análises de riscos. Managers
Association
Modelo que contempla templates e práticas aplicáveis a gerenciar riscos Standards
no contexto de um processo, de uma organização ou até mesmo no Australia /
AS/NZS 4360 1995
projeto de vida de uma pessoa. Trata riscos por uma visão generalista e Standards New
aplicável em qualquer segmento de atuação. Zeland
COSO – Commitee
of Sponsoring
Ampliação do conceito abordado pelo COSO, alinhado de forma integrada
ERM 2004 Organizations of
a estratégia da organização. Introduz conceitos como apetite de riscos.
the Treadway
Commission
Manual de orientação da BSI para gerenciamento de riscos. Apresenta dez BSI – British
Em
BS 31100 princípios-chave para gestão de riscos, modelo, framework, processo e Standard
criação
guia de implantação prática. Institution
A ser finalizado em 2009, a ISO 31.000 será referência mundial para a
ISO – International
Em prática de gestão de riscos. Apresenta onze princípios da gestão de riscos,
ISO 31000 Organization for
criação modelos de orientação para desenvolver e controlar um framework de
Standardization
riscos e um processo genérico de gestão de riscos.
Tabela [I]. Cronologia dos modelos de referência. Adaptado de MACIEIRA, 2008, pág. 3.

Cronologia de Regulamentações e Legislações

Modelo Ano Descrição Autor

Regulamenta a cooperação das instituições financeiras americanas Governo Federal
BSA (Bank
1970 juntamente com o governo com o objetivo de prevenir a lavagem de dos Estados
Secrecy Act)
dinheiro. Unidos
BACEN 2554 1998, Normatiza a práticas de gestão de risco pelas instituições financeiras
BACEN 3056 2001, brasileiras. 2554 – Sistema de controles internos; 3056 – Auditoria interna; Banco Central do
BACEN 3380 2006, 3380 – Implantação da área de riscos operacionais; 3490 – Apuração do Brasil
BACEN 3490 2007 Patrimônio de Capital Econômico.
Lei americana que regulamenta os controles internos para emissão
relatórios financeiros por parte das empresas com ações negociadas na SEC – Security
Sarbanes-Oxley 2002 bolsa de Nova York. Aborda também a responsabilização civil e criminal Exchange
dos principais executivos destas empresas pela confiabilidade das Commission
informações financeiros e contábeis publicadas.
Publicação elaborada por empresas e instituições do mercado financeiro Basel Committee
BASILÉIA II 2004 com o objetivo de criar um modelo internacional para concepção de leis e on Banking
regulamentações relacionadas à gestão de riscos em bancos. Supervision
Determina a prática de controles internos em seguradoras. Circular 249 -
SUSEP –
SUSEP 249 2004, Criação de estrutura de controle internos em seguradoras; Circular 280 -
Superintendência
SUSEP 280 2004, Estabelece procedimentos mínimos associados aos controles internos;
de Seguros
SUSEP 327 2006 Circular 327 - Controles internos específicos para o tratamento de crimes
Privados
como lavagem de dinheiro.
Tabela [II]. Cronologia das regulamentações e legislações. Adaptado de MACIEIRA, 2008, pág. 3.

Esses modelos de referência e regulamentações sem dúvida foram os grandes motivadores da

visão de que controlar e gerir riscos são fundamentais. Alguns acadêmicos chegam a afirmar
12
que sem eles, talvez o que hoje conhecemos por governança corporativa e gestão de riscos
não passaria de “boa prática”, comprovando que o princípio da busca dos gestores por
governança é motivada principalmente pelas exigências das regulamentações.

| Gestão de Riscos: abordagem de conceitos e aplicações

Todavia, apesar da clara evolução elucidada nos quadros acima, tanto no que se refere aos
modelos de referência de gestão, como também as regulamentações e legislações aplicadas,
invariavelmente, e por que não dizer, salutarmente são levantadas questões como: “Qual o
ganho efetivo concebido pela gestão de riscos, se não apenas atender às regulamentações e
garantir o menor número possível de materialização de eventos de negativos?”

Gestores de projeto, por exemplo, constantemente abordam o gerenciamento de riscos

apenas como o processo de identificação de possíveis pontos de problemas no projeto. Alguns
vão além, ao ponto de afirmarem que “é ideal que o gerenciamento de riscos de projeto seja
realizado por pessimistas”. Em contrapartida, o PMBOK (Project Management Body of
Knowledge, Guia de Referência em Gestão de Projetos, p. 237) afirma:

[...] Os objetivos do gerenciamento de riscos do projeto são aumentar a

probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e o
impacto dos eventos adversos ao projeto.

Opiniões como a citada anteriormente, de que o bom gestor de riscos é um pessimista por
natureza, sempre conduziram a prática em uma direção negativa, no sentido de que:

As melhorias providas pelo gerenciamento de riscos não são aplicáveis no nível

operacional;

Visão de que risco é algo negativo e deve ser expurgado da organização;

Gerir riscos atende apenas às demandas de regulamentações e conformidade

(compliance);

Burocratiza o processo de gestão com mecanismos de controle excessivos;

Gerador de relatórios de “fundo de gaveta”.

Como o próprio PMBOK cita, gerir riscos deve prover o “aumento da probabilidade e impacto
dos eventos positivos e diminuir a probabilidade e o impacto dos eventos adversos”. Em
momento algum se trata de que os riscos devem ser eliminados. A boa gestão, seja no viés dos
riscos ou em qualquer outra abordagem, tem nas oportunidades a conseqüência natural.

1.4. COSO: Controles Internos e Riscos

13
Os controles internos são as ferramentas pelas quais a alta administração se utiliza para
garantir da integridade do negócio. O princípio básico dos controles vai além dos conceitos
estabelecidos pela auditoria e contabilidade, uma vez que, além de garantir a eficácia das

| Gestão de Riscos: abordagem de conceitos e aplicações

informações de reportes financeiros, suporta que os processos de negócio operem de forma
satisfatória para o atendimento das metas e objetivos estratégicos estabelecidos pelas
organizações. E nesse sentido, COSO se mostra como a metodologia e framework de melhor
aplicabilidade.

Foi criado nos Estados Unidos na década de 70 motivado pelo estudo das causas de fraudes
em relatórios financeiros, o que mostra que o tema não é recente. A comissão é formada por
profissionais ligados a área financeira. O Comitee of Sponsoring Organization atua desde então
com independência e relacionando integrantes de diversos segmentos de mercado em prol do
mesmo fim: garantir e definir modelos de controles internos como ferramenta de gestão e
probidade administrativa.

Conforme a estrutura concebida pelo COSO, Controle Interno é um processo formado por
cinco elementos inter-relacionados e presentes em toda forma de controle, a qual congrega:

Ambiente de controle;

Avaliação e gerenciamento dos riscos;

Atividade de controle;

Informação e comunicação;

Monitoramento.

14

Figura [V]. Framework do COSO (Comitee of Sponsoring Organization).

| Gestão de Riscos: abordagem de conceitos e aplicações

Controlar tem se mostrado o grande desafio das organizações, independentemente do porte e
mercado de atuação. Obviamente as pequenas e médias empresas tendem a estar mais
factíveis aos aspectos negativos que circundam um ambiente sem uma estrutura efetiva de
controle. No entanto, as grandes organizações, apesar de possuírem uma visão mais
formalizada quanto à atuação, na maioria das vezes não conseguem atingir um nível
satisfatório de controles, pois os trata como meros requisitos de atendimento a
regulamentações, como no caso dos bancos e demais instituições financeiras, as quais operam
sob uma nuvem de amontoados de normas.

Os ganhos, entretanto, são de extrema valia e altamente compensatórios para as organizações

que possuem uma visão séria quanto à aplicabilidade de uma estrutura integrada de controles
internos. Controlar, salvo o sentido pejorativo da palavra, é sinônimo de gerir com
transparência o ambiente corporativo. Vai muito além de regras de negócios automatizadas
em sistemas de gestão. Ou seja: mais do que automatizar controles, é importante que a
organização crie a cultura de concebê-los, independentemente da forma pela qual irá executá-
los.

Os investimentos das empresas que possuem uma prática interna de controles internos são
retornados na maioria das vezes já no primeiro ano – se implantados e geridos por uma equipe
de atuação efetiva. Naturalmente essa regra possui variantes para mais ou para menos, porém
essa volatilidade é diretamente proporcional ao nível de respaldo e patrocínio vindo da alta
administração.

Bem como toda e qualquer prática de gestão, projetos de estruturação de controles internos
por diversas vezes não conseguem obter o resultado esperado, ou mesmo serem dados por
concluídos, por um fator deveras comum entre os gestores: falta de conhecimento da sua
importância para o contexto corporativo. A prerrogativa do desconhecimento, porém, não
exime a empresa da demanda necessária de atuação nessa área, pois invariavelmente o porte
da organização gerará tal necessidade de processo. E por julgar pelo tamanho das
organizações que se vêem diante de uma realidade de que uma estrutura de controles
internos se faz necessária, o investimento tardio talvez possa custar alguns milhões.

15
1.5. ERM: Evolução da visão de riscos através da integração à estratégia corporativa

Publicado como evolução à visão de controles e riscos anteriormente tratada pelo COSO, o
ERM, do inglês Enterprise Risk Management, em português Gestão de Riscos Corporativos,

| Gestão de Riscos: abordagem de conceitos e aplicações

constitui oito componentes relacionados, através dos quais, integrados ao processo de gestão
da organização, é possível alinhar as estratégias e objetivos do negócio a uma visão baseada
em riscos. Seguindo a premissa do ERM, os componentes de gerenciamento de riscos
possibilitam a organização o alcance dos seus objetivos, conforme representado pelo cubo
abaixo.

Figura [VI]. Estrutura integrada de gerenciamento de riscos corporativos.

Ambiente interno – Aborda aspectos culturais da organização, embasamento para

identificação e abordagem dos riscos por parte da equipe interna, assim como:
filosofia, apetite integridade e valores éticos para gerenciamento dos riscos;

Fixação de objetivos – Os objetivos se caracterizam pelas metas estratégicas da

organização. Essa etapa se caracteriza por avaliar e definir se os objetivos estão
alinhados com a missão da organização e são compatíveis com o apetite a riscos;

Identificação de eventos – Os eventos internos e externos são as variáveis que

podem influenciar o atendimento aos objetivos estratégicos. Esses eventos devem
ser classificados entre riscos e oportunidades, de forma a estabelecer um processo
de administração que os considere tanto no que tange a mitigação – no caso de
eventos de incertezas negativas – como no aumento das suas evidências – no caso
de oportunidades;

Avaliação de riscos – Análise quanto à probabilidade e o impacto dos riscos, de

forma a estabelecer as formas como esses serão gerenciados. São avaliados 16

quanto à sua classe de inerentes e residuais;

| Gestão de Riscos: abordagem de conceitos e aplicações


Resposta a risco – Ações às evidencias de risco - evitar, aceitar, reduzir ou
transferir – concebendo medidas para alinhar com o apetite a risco;

Atividades de controle – Políticas e procedimentos estabelecidos e

implementados para assegurar que as respostas aos riscos sejam executadas;

Informações e comunicações – As informações relevantes são identificadas,

coletadas e reportadas de forma que permitam o cumprimento de suas
responsabilidades. A comunicação aborda aspectos gerenciais, não só
considerando a prática de gerir riscos;

Monitoramento – Monitoramento e revisões aplicáveis para garantia do

gerenciamento eficaz dos riscos. Realizado através de atividades gerenciais,
avaliações periódicas, auditorias.

O ERM por fim é um complemento do modelo proposto pelo COSO. Sua visão sugere que
além da formalização dos controles internos, é importante que a organização visualize os
eventos que de alguma forma possam comprometer a capacidade da empresa em atingir seus
objetivos estratégicos, no caso de falha na execução do respectivo controle. ERM propõe um
modelo que prioriza fraquezas críticas a serem tratadas, criando mecanismos preventivos
atuantes sob a perspectiva de que mesmo o controle interno é passivo de agentes que
comprometam a sua eficácia.

Já sob esse direcionamento evolutivo, o ERM recomenda o inventário dos processos, sistemas
e pessoas, os quais são as fontes originárias de eventos de incerteza que possam comprometer
a operação da organização. Essa tríade, vale ressaltar, congrega o que inevitavelmente gera
valor para a empresa, onde a escala de eficiência e estruturação é diretamente proporcional à
maturidade na gestão dos processos de negócio e seus respectivos eventos de ameaças e
oportunidades.

Conforme explicitado anteriormente, mais do que um modelo ou framework, o ERM possibilita

avaliar o grau de maturidade de um modelo de gestão de riscos corporativos a partir da análise
operacional dos oito componentes e como eles são executados dentro da organização. Ou
seja, além de sistêmico, o modelo proposto pelo ERM atua também como critério e parâmetro
da gestão de riscos. 17

| Gestão de Riscos: abordagem de conceitos e aplicações

1.6. Integração e sinergia de práticas: Governança, riscos e compliance (GRC)

A conjuntura padrão da gestão organizacional é um vasto universo de demandas e esforços os

quais invariavelmente se congregam para um objetivo fim, nesse caso, a operação financeira,
ou o lucro propriamente dito. Entretanto, até atingir-se esse cenário de lucros e receitas, há
uma longa estrada a ser percorrida e nela, os percalços serão os mais diversos. Isso sem
mencionar as questões envolvendo o pós-receita, tais como: qualidade do produto,
relacionamento com cliente, fidelização da carteira, entre outros. A revista Compliance Week,
de dezembro de 2006, cita alguns dessas dificuldades: falta de visibilidade, baixa integração
entre os processos de negócio, duplicação de iniciativas de gestão, complexidade operacional,
fragmentação de atuações, custos altos, informação e recursos desperdiçados,
vulnerabilidade. Um ponto que pode ser adicionado e que não consta nessa vasta lista talvez
seja a conjunção de todos eles: a dificuldade e lentidão no processo decisório.

É comum deparar-se com situações nas quais diretores, gerentes e qualquer outro tomador de
decisão hesite na hora de assinar um contrato, proposta comercial ou liberação de recurso. É
como se incessantemente badalasse em seus ouvidos a frase: “Será que estou decidindo
corretamente? Onde estou me metendo?” Essa situação repete-se aos montes no cotidiano
corporativo. Essa incerteza quanto à tomada de decisão talvez seja uma das maiores
demandas para que em um novo ambiente de gestão proposto, a prática de gerir riscos seja
ferramenta fundamental.

A incerteza decisória é conseqüência natural de uma conjuntura atual de gestão, na qual as

variáveis do contexto são as mais diversas (segmentos globalizados, preocupação com a
reputação da empresa, concorrência, pressão regulatória). Suas inúmeras combinações
resultam na diminuição substancial da visibilidade para tomada de decisão. Chegou-se ao
ponto em que muitos consideram a intuição como a maior parcela na receita da escolha.
Entretanto, é importante afirmar que existem sim diversas frentes que buscam solucionar esse
problema.

Metodologias são freqüentemente propostas para atender a essa demanda deficitária de

gestão. Modelos de referência (COSO, ERM, BPM) e regulamentações (SOX, Basiléia II, Bacen
3490, Bacen 3380, FERMA) são ofertados já há algum tempo e seus resultados são
evidenciados pela melhoria nos resultados operacionais e na governança como um todo para 18

as organizações que se dispõem a investir nelas. Considerando que existem tais modelos e que
esses aparentemente sanam a demanda por práticas de gestão, qual o real problema?

| Gestão de Riscos: abordagem de conceitos e aplicações

A experiência mostra que as organizações nem sempre conseguem obter os resultados
positivos esperados dessas iniciativas, principalmente quando essas objetivam o
gerenciamento de riscos. É evidente que cada modelo proposto visa atender a uma demanda
de gestão específica, o que gera incessantes investimentos em estruturas que até então
caminhavam em sentidos diferentes. As críticas a essas ocorrências são variadas, porém
consenso entre a grande maioria: as ações muitas vezes são segregadas na organização,
grande parte dos modelos de gestão são burocratizadores, as formas de gerir riscos são pouco
práticas, entre outros.

A reflexão desses gaps levou a um esclarecimento: é preciso integrar. Nesse modelo integrado
de gestão, amplia-se a abordagem comumente utilizada, onde cada metodologia busca um
resultado específico. O que se vê claramente é que gerir riscos não pode resumir-se ao
objetivo de identificar eventos de incertezas e simplesmente controlá-los através da avaliação
contínua – auditoria – mas principalmente, trazê-lo para o contexto de ferramenta de gestão.
Sob esse prisma é que o conceito de Governança, Riscos e Compliance (GRC) é baseado e
deposita seus aspectos positivos.

A prática de GRC unifica metodologias e práticas de gestão a fim de proporcionar uma visão
integrada de iniciativas que antes eram vistas de forma segregada. Com a proposta de alargar
essa convergência de ações, objetiva-se não só a redução de inconsistências, redundâncias e
segregação de objetivos, mas sim, o provimento de um contexto onde todos esses
movimentos congreguem pelo objetivo maior que é fornecer para a organização uma gestão
mais eficaz. É a mudança da visão de gerir riscos como eventos de incertezas, para a visão da
gestão baseada em riscos como fonte geradora de oportunidades.

Conceituando as siglas da GRC – Governança, Riscos e Compliance, definem-se:

• Governança: Segundo o IBGC (Instituto Brasileiro de Governança Corporativa),

a Governança Corporativa consiste em práticas e relacionamentos entre os
Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria
Independente e Conselho Fiscal, com a finalidade de otimizar o desempenho
da empresa e facilitar o acesso ao capital. A expressão é designada para
abranger os assuntos relativos ao poder de controle e direção de uma
empresa, bem como as diferentes formas e esferas de seu exercício e os 19

diversos interesses que, de alguma forma, estão ligados à vida das sociedades
comerciais. Ou seja, a governança é a vertente da gestão do negócio

| Gestão de Riscos: abordagem de conceitos e aplicações

 propriamente dita, sobre a perspectiva de um forte embasamento em
responsabilidade fiscal e conduta gerencial.

• Riscos: O gerenciamento dos riscos define-se por um conjunto de fatores que

congregam para o aperfeiçoamento da gestão e controle do negócio. Suas
abrangências consideram fatores como: perdas (de receita, de market-share,
de oportunidades) a serem evitadas; ocorrências que desviam o atendimento
dos objetivos estratégicos da organização; problemas e gaps operacionais
relacionados aos processos de negócio; segurança de informação;
continuidade do negócio. É a vertente que trata as fontes de incertezas que
podem produzir eventos negativos, mas que se controlados de forma
eficiente, são potenciais geradores de oportunidades, essas vistas como
conseqüência natural da prática bem executada.

• Compliance: Consiste no controle e gestão da conformidade com leis e

regulamentações (externas e internas) existentes no negócio, que possam ser
cometidas por agentes que interagem com a organização. Instituições de
capital aberto com ações negociadas na bolsa de Nova Iorque, por exemplo,
são reguladas pela lei Sarbanes-Oxley2.

Anteriormente vistas como disciplinas distintas e geridas de forma independente, os conceitos

de Governança (Corporativa), Riscos (controles) e Compliance (regulamentações) foram
unificados de forma a proporcionar não só o ganho operacional na gestão, como prover o
entrelaçamento das práticas, aproveitando os benefícios de cada um para o todo. Quando uma
companhia considera estar conforme as sessões da lei Sarbanes-Oxley, por exemplo, as formas
como a governança corporativa e a gestão de riscos atuam estão relacionadas ao sucesso da
iniciativa de compliance.

A governança orienta uma atuação embasada na transparência e na ética, provendo

credibilidade, e principalmente, a sustentabilidade do negócio. Por ela são considerados
diversos tipos de riscos: estratégico, operacional (financeiro), mercado, além de outras
variações, como riscos em TI, indisponibilidades físicas e ambientais, climáticas, entre outros.

20
2
O objetivo da lei Sarbanes-Oxley é impor um regime ético de atuação empresarial, a fim de
fornecer credibilidade e estabelecer a confiança nas apresentações financeiras e controles
internos das companhias, principalmente no mercado de capitais norte-americano e nos
mercados que contam com empresas globais.

| Gestão de Riscos: abordagem de conceitos e aplicações

Compliance, que na tradução literal para o português significa “conformidade”, é o ato de
garantir que a empresa segue às regulamentações sob as quais ela está regida, seja ela uma
instituição financeira, uma companhia com ações nas bolsas americanas ou empresas globais.
Mesmo as pequenas e médias empresas estão sujeitas à compliance. Elas estão sob regime de
incentivos fiscais ou financiamentos providos por órgãos como Banco Nacional para o
Desenvolvimento (BNDES), por exemplo, os quais exigem garantias de atuação, operacional e
financeira para ofertar benefícios e subvenções. A exigência pela conformidade às normas
estabelecidas pelos órgãos beneficiadores é rigorosa. Precisam ser seguidas como condição
para a manutenção dos incentivos, sendo constantemente avaliadas através de auditorias e
fiscalizações.

Os executivos brasileiros vêem com bons olhos os princípios de Governança, Riscos e

Compliance. São, inclusive, mais favoráveis do que os gestores americanos e europeus. Uma
recente pesquisa realizada pela auditoria PricewaterhouseCoopers faz uma comparação em
diferentes regiões e sugere que os CEOs – Chief Executive Officer – brasileiros estão mais
otimistas e confiantes quanto às potenciais vantagens da implementação dos princípios de
GRC de maneira eficaz.

“Entre os CEOs brasileiros, 68% concordam plenamente que a adoção efetiva dos princípios de
GRC possibilita a criação de valor e se constitui em vantagem competitiva. Entre os líderes
norte-americanos, apenas 22% concordam com essa percepção, percentual bastante abaixo da
média global que é de 43%. Ressalta-se que, entre os entrevistados, o Brasil registrou o menor
percentual (3%) de executivos que consideram GRC um conjunto de princípios e práticas
aplicáveis exclusivamente como decorrência de leis e a regulamentações.” 3

Ainda segundo a pesquisa, existem inúmeras controvérsias quanto à questão se a GRC deve
ser classificada como investimento ou despesa. Obviamente a definição de investimento e
despesa está diretamente relacionada à geração de valor e benefícios a partir do processo
avaliado. Ou seja, mesmo operações claramente classificadas como despesas podem ser
visualizadas como investimentos se forem gerados ganhos – sejam esses operacionais ou
financeiros – a partir do referido dispêndio.

Enquanto no Brasil os executivos consideram a GRC como investimentos, nos Estados Unidos a
maior parte dos líderes considera como despesa. Tal movimento se pressupõe pela associação 21

3
Fonte: Governança, Gestão de Riscos e "Compliance" (GRC) no Brasil, ano base 2008.
Disponível em:
http://www.pwc.com/extweb/insights.nsf/docid/74DA71F7C237175F85256F8F0065B2F5
| Gestão de Riscos: abordagem de conceitos e aplicações
às imposições mais burocráticas e de curto prazo ligadas aos aspectos da lei Sarbanes-Oxley.
Dessa forma, a percepção dos norte-americanos pode estar influenciada pelas pressões do
cotidiano de exigências da lei, o que obviamente compromete a visão dos ganhos gerados
pelas práticas de controle.

22

| Gestão de Riscos: abordagem de conceitos e aplicações

2. Abordagem de conceitos e
aplicações
Para muitos, ainda que as experiências de diversas empresas comprovem, gerenciar incertezas
sempre recairá sobre um prisma: burocratização de processos, ferramenta de “amarração” do
corpo diretivo e conselhos de administração das companhias, garantia de geração de valor aos
acionistas e termômetro para o mercado quanto à volatilidade da saúde financeira da empresa
abordada. No entanto, a disciplina de gestão de riscos se encontra em um momento único
desde sua difusão como prática de mercado.

Os investimentos das empresas para o atendimento às regulamentações como Basiléia e

Sarbanes-Oxley geraram um cenário de obrigatoriedade dos trabalhos envolvendo controles
internos, auditoria e gestão de riscos os quais aparentemente tornaram-se meros
instrumentos de inspeção pelos órgãos reguladores. Os benefícios da geração de valor
concebida a partir de iniciativas de cunho estratégico passaram a ser subjugadas.

Com a visão integrada mencionada anteriormente, onde a GRC reúne e congrega esforços no
sentido de um fim em comum: a gestão eficiente e o atendimento dos objetivos estratégicos
da organização. A proposta passa a ser aperfeiçoar o modelo de governança da organização,
uma vez que essa iniciativa contempla a abordagem de uma série de outras iniciativas.

Como descrito antes, as publicações que abordam à prática de gestão de riscos sempre trazem
à tona a geração de valor ao negócio como benefício para a sua implantação. Quando se trata
de valor monetário de uma empresa, pode-se dizer que esse está diretamente associado à
percepção quanto à perspectiva futura, ou seja, a velocidade no tempo da organização em
materializar seus eventos de receita e geração de valor. Canarim (2007, p.40) afirma:

[...] A forma de avaliar as empresas consiste, portanto, em estimar o

rendimento futuro que esses fatores podem gerar, e quantificar quanto nos
dispomos a desembolsar para obter mais rendimentos. [...] Estimamos quanto
vamos receber no futuro para chegarmos ao valor razoável no presente dessa
série de rendimentos, ou seja, seu preço, o valor pelo qual transacionamos o
23
que temos ou o que pretendemos adquirir.

Em se tratando do cenário brasileiro, é comum por parte das organizações considerarem

apenas a incerteza presente, onde as improbabilidades futuras não são tratadas com a devida

| Gestão de Riscos: abordagem de conceitos e aplicações

seriedade. Vendo sob esse prisma da citação anterior, a gestão de riscos como fonte geradora
de oportunidades viabiliza diretamente o valor para a organização, por garantir que os eventos
que podem comprometer o negócio sejam conhecidos, controlados e analisados a fim de
originar fontes de melhorias. Conclui-se que é justamente essa base da fundamentação das
due dilligences as quais atrelam os níveis de governança corporativa como fonte de valor real
ao capital. Quanto mais estruturado o sistema de controles internos e de gestão dos riscos,
mais valor efetivo a empresa possui no mercado.

No âmbito de GRC é importante afirmar que o tratamento dado aos riscos é determinante
para a obtenção de resultados da governança corporativa e do atendimento às
regulamentações (compliance). Sobre o gerenciamento de riscos, Peters (2007, p. 51) afirma:

[...] A base primitiva de gerenciamento de riscos que inclui a gestão de crises –

prevenção, detecção e plano contingencial – é o instinto de conservação do ser
humano. O perigo, a insegurança, a incerteza e o medo são os motores do
gerenciamento de riscos.

O autor descreve que de fato há uma clara tendência à visão de que gerir riscos é tratar dos
eventos de insegurança operacional, de mercado ou da conjuntura na qual o ambiente
avaliado está inserido. Essa visão é diretamente relacionada a associação à custos, vista
anteriormente e como o próprio Peter (2008, p.52) elucida.

[...] Os riscos estão relacionados com a rentabilidade no sentido de que, para

preveni-los, há um custo. Eliminar o risco é, economicamente, um engano. É o
desejo de assumir riscos, considerado como apetite por riscos, que movimenta
grande parte da economia, fazendo o ser humano desenvolver-se. Quando
queremos nos proteger de determinada situação, podemos fazer um seguro,
passando a outro o risco. Essa passagem a terceiros ou o compartilhamento,
ou a divisão de riscos, é a base do seguro. O seguro tem um preço (prêmio), ou
seja, a proteção contra riscos envolve custos, seja através de um pagamento
para transferência de riscos, seja através de investimento em gestão de riscos.

A analogia quanto à base do seguro estar relacionada com a transferência da oneração em

função da materialização do evento de risco é um ótimo exemplo de permuta de risco.
24
Procedem as visões de que a transferência de riscos é uma opção economicamente viável, se
forem considerados somente os aspectos de custo versus investimento. Entretanto, ao
contrário da visão expressada por Peters, são significativos os benefícios trazidos pelo total

| Gestão de Riscos: abordagem de conceitos e aplicações

controle dos riscos, uma vez que é justamente a gestão eficiente do risco, ao ponto de mitigá-
lo de forma plena, que possibilita as melhores condições para a geração de oportunidades.
Essa assertiva aborda justamente os conceitos de governança. Quanto ao tocante da
compliance, pode se afirmar que às regulamentações por si só são fontes potenciais de riscos,
sejam eles operacionais, de mercado ou de crédito, se não tratadas de forma a atender os
aparatos regulatórios ao qual o negócio está sujeito.

Outro grande desafio que o gerenciamento de riscos encontra face ao planejamento de gestão
estratégica das organizações, se refere ao doutrinamento do corpo executivo a cerca da
necessidade primordial de gerir incertezas e oportunidades. Nassim Nicholas Taleb, em seu
livro A lógica do cisne negro, afirma:

[...] A principal tragédia do evento de alto impacto e baixa probabilidade vem

do desencontro entre o tempo necessário para compensar alguém com tempo
que uma pessoa precisa para sentir-se confortável com não estar fazendo uma
aposta contra o evento raro. As pessoas têm um incentivo para apostar contra
ele, ou para jogar com o sistema, já que podem receber um bônus refletindo
seu desempenho anual, quando na verdade tudo que estão fazendo é produzir
lucros ilusórios que perderão algum dia. Na verdade, a tragédia do capitalismo
é que, já que a qualidade dos retornos não é observável a partir de dados
passados, proprietários de companhias, especificamente acionistas, podem ser
enganados pelos gerentes que apresentam retornos e lucratividade cosmética
mas que, na verdade, estão correndo riscos ocultos.

Figura [VII]. Modelo genérico de matriz de exposição a riscos (probabilidade versus impacto).

25
Risco não se trata de pessimismo ou tampouco é restrito a fatores inerentes de adversidade na
conjuntura corporativa. Risco aborda primordialmente os gaps de gestão que de alguma forma
são obstruídos dos demonstrativos financeiros e operacionais, por considerar fatores

| Gestão de Riscos: abordagem de conceitos e aplicações

intangíveis. Todavia é sabido que é justamente dos benefícios ou dos malefícios intangíveis
que é composta a riqueza: os montantes que circulam no mercado são virtuais, ganhos e
perdas nos mercados de ações, tomada de decisão, visualização de oportunidades, todos esses
aspectos são embasados na grande maioria das vezes em pontos que não possuem qualquer
tipo de valor físico. Seguindo a assertiva de que “o homem teme e opõem-se ao desconhecido”
deve-se considerar o gerenciamento de riscos como parte fundamental do processo de gestão
e não algo meramente semântica. É uma questão de sobrevivência.

2.1 Abordagem do processo de Gestão de Riscos

Conceitualmente tratando, gerenciar riscos se configura no enfoque estruturado de

alinhamento entre a estratégia, processos, pessoas, conhecimento organizacional e tecnologia,
com objetivo de avaliar e controlar as incertezas inerentes com as quais as empresas se
deparam, de forma a possibilitar a geração de valor.

Existem diversas abordagens para gerenciar riscos. Diferentes frameworks e modelos de

trabalho sugerem contextos, que apesar de diferirem muitas vezes em suas nomenclaturas,
convergiam para os mesmos objetivos na atuação. Partindo desse pressuposto, a ISO –
International Organization for Standardization – definiu um padrão para o processo de gestão
de riscos. Nomeado como Risk management process (processo de gestão de riscos), conceitua
que a gestão de riscos deve fazer parte do processo de gestão, da cultura e prática, adaptada
aos processos de negócio da organização.

O processo de gestão de riscos segundo a ISO 31.000 congrega cinco atividades:

Comunicação e Estabelecimento do Contexto Monitoramento e

Consulta Revisão

Processo de Avaliação de Risco

Identificação de Risco

Análise de Risco

Avaliação de Risco

26
Tratamento de Risco

Figura [VIII]. 2008, ISO 31000. Risk management – principles and guidelines on implementation

| Gestão de Riscos: abordagem de conceitos e aplicações


Comunicação e consulta – Relacionamento interno e externo previamente
realizado com os stakeholders com objetivo de discutir os aspectos a serem
abordados no processo de gerenciamento de riscos. Essa etapa garante que
contexto seja definido de forma apropriada, que os interesses dos envolvidos
são conhecidos, reunir diferentes áreas de expertise para analisar riscos, riscos
são identificados de forma adequada, planos para gestão da mudança durante
o processo de gerenciamento de riscos, suporte ao tratamento e comunicação;

Estabelecimento do contexto – O estabelecimento do contexto considera

parâmetros internos e externos, escopo e critério para o processo de
gerenciamento de risco. De forma resumida, é avaliado o ambiente no qual a
gestão de risco será inserida para avaliação;

Processo de avaliação de risco (identificação, análise e avaliação de risco) - O

processo de avaliação de riscos é a visão ampla da identificação, análise e
avaliação de riscos. A identificação de riscos trata as fontes, áreas de impacto,
eventos, causas e potenciais conseqüências. A análise de risco está relacionada
com a compreensão do risco. Provê a inserção na avaliação e na decisão se os
riscos precisam ser tratados e os tratamentos, estratégias e métodos mais
apropriados para tal. O objetivo da avaliação de risco é auxiliar a tomada de
decisão, com base nos resultados da análise e sobre quais riscos precisam de
tratamento e como priorizá-los;

Tratamento de Risco - Envolve a seleção de uma ou mais opções de

modificação de riscos e implementações dessas opções. Consiste em um
processo cíclico de avaliação do tratamento de risco, decidindo se os níveis de
riscos residuais são toleráveis ou não, se a tolerabilidade está gerando novos
tratamentos de risco, e avaliando o efeito do tratamento até que o risco
residual esteja de acordo com o critério (apetite) de risco da organização;

Monitoramento e revisão - O monitoramento e revisão devem fazer parte do

planejamento do processo de gestão de risco, com o propósito de: analisar as
lições aprendidas a partir dos eventos, mudanças e tendências; detectar
mudanças no contexto interno e externo, incluindo mudanças no próprio risco 27

e como esse pode demandar revisões do seu respectivo tratamento e

priorização; garantir que as medidas de controle e tratamento de risco são
efetivas tanto no desenho como na operação; identificar riscos emergentes..

| Gestão de Riscos: abordagem de conceitos e aplicações

Não só acadêmicos como os profissionais das áreas de controladoria, auditoria, gestão de
processos e gestão de riscos começam a aplicar as premissas estabelecidas pela norma ISO
31000. Essa ação não só favorece àqueles que lidam diretamente com a prática no sentido de
universalizar taxonomias, mas principalmente, permite que organizações em todo o mundo se
organizem em um sentido padrão no que diz respeito à gestão de riscos.

Metodologias, frameworks e normas da própria ISO, como a 21500 (Gerenciamento de

projetos) 4, a qual em suas seções considera a gestão de riscos como uma disciplina na gestão
de projetos, busca atender e alinhar-se as padronizações viabilizadas pela norma ISO 31000.

2.2 A visão da Gestão de Oportunidades

O princípio do planejamento estratégico consiste na definição dos objetivos e metas a serem

atingidos por uma organização no que tange a geração de valor ao negócio e o aumento do
capital. Partindo desse princípio, a definição e formalização da estratégia da corporação
respondem a questão “Aonde queremos chegar?” O risco, conforme visto anteriormente, nada
mais é senão os eventos comprometedores da estratégia do negócio. A sua gestão garante que
as situações adversas inerentes sejam conhecidas e controladas. Peters (2008, p. 51) afirma:

[...] Quando os pontos fortes de uma organização estão de acordo com os

fatores críticos de sucesso para satisfazer às oportunidades de mercado a
empresa será, por certo, competitiva no longo prazo. No entanto, as fraquezas
de uma empresa podem levá-la à descontinuidade ou, no mínimo,
comprometer objetivos importantes da mesma.

Os fatores críticos de sucesso, quando geridos, trazem como resultado a competitividade em

longo prazo. A gestão desses aspectos está diretamente relacionada com o conhecimento da
organização quanto ao:

Mercado no qual a empresa está inserida, tanto no que se refere às tendências

comerciais como às práticas de governança corporativa;

Entendimento quanto aos processos de negócio da organização, atuando na

gestão direta desses como aspectos determinantes para a obtenção dos
resultados; 28

4
Fonte: Análise comparativa da norma ISO 21500 frente à proposta da ISO 31000, ano base
2008. Disponível em: http://www.valcann.com/publicacoes/analise_21500x31000.pdf

| Gestão de Riscos: abordagem de conceitos e aplicações


Atuação interna no constante acompanhamento da atuação da organização frente
às tendências de mercado.

A gestão dos fatores críticos mencionados consiste no autoconhecimento organizacional, uma

vez que as soluções são aplicadas para problemas que são conhecidos. O gerenciamento de
riscos vem justamente para preencher essa coluna. A prática de gerir riscos sempre privilegiou
garantir a não ocorrência de situações adversas a apontar possíveis fontes de geração de valor
competitivo para a empresa.

O que é tratado como “Gestão de Oportunidades” traz uma proposta bastante interessante no
contexto de que quando as incertezas do negócio são conhecidas e os devidos controles são
aplicados, se abrem janelas para oportunidades que irão conceber diferenciais competitivos ao
negócio.

Duas empresas atuam no segmento industrial de embalagens. Ambas possuem um universo de

riscos de negócio inerentes que são ao menos semelhantes, porém não equivalentes, afinal de
contas cada organização funciona de uma forma diferente. Mas tratemos que ambas possuam
modelos de gestão semelhantes. Um dos processos executados por elas é a importação de
matéria prima em um dado período do ano, quando os preços dessas se tornam mais
interessantes que os praticados no mercado interno. Por essa condição, ambas tendem a
comprar 25% a mais nesse período para estocagem. Considerando que o exemplo se encerre
nesse momento, nenhuma das duas empresas consegue obter diferenciais competitivos nesse
sentindo uma vez que ambas possuem o conhecimento da estratégia de redução de custo
sazonal aplicado na aquisição da matéria prima importada.

Seguindo com o exemplo, é sabido que ambas as empresas possuem um risco inerente nessa
operação que é a “incapacidade de armazenar a matéria prima importada por
indisponibilidade de equipamento de empilhamento”. O exemplo dado considera que ambas as
empresas, por comprarem 25% acima do que geralmente compram, precisam alugar um
equipamento específico para operar a armazenagem da carga extra e que esse aluguel precisa
ser realizado com no mínimo 96 horas de antecedência por existir apenas um fornecedor na
região. Até esse momento, ambas as empresas vinham no mesmo nível de gestão da incerteza
e estavam sujeitos aos mesmos benefícios e adversidades. Porém, ciente de que a aquisição da
matéria prima importada no dado período do ano era financeiramente benéfica, uma das
29
empresas, resolveu aproveitar a oportunidade.

Em uma ação de realocação e organização dos estoques, conseguiu viabilizar mais espaço
interno para armazenagem. Antecipou o arrendamento da máquina empilhadeira e o

| Gestão de Riscos: abordagem de conceitos e aplicações

aumentou em 15% a quantidade que normalmente importava. Demandou com isso o aluguel
de mais um equipamento. Resultado: a segunda empresa, que alugava o equipamento ao
mesmo fornecedor, não previu o risco de depender de um único ofertante de empilhadeira e
da possibilidade do concorrente alugar a máquina que era sua.

Por fim, não conseguiu realizar a operação de importação dada a indisponibilidade da máquina
e viu seu concorrente aumentar sua margem no período, por dispor de matéria prima mais
barata.

O exemplo mostra o quão são visíveis os resultados gerados pela gestão positiva de riscos, a
qual visualiza as incertezas como fontes diretas de oportunidades. Macieira (2007, p.5) afirma:

[...] Na gestão de riscos negativos, uma organização analisa suas fontes de risco
de forma a identificar os eventos (ameaças) com conseqüências negativas
(perdas) sobre os resultados da organização. Em oposição, na gestão de riscos
positivos, as mesmas fontes de risco deverão ser analisadas. Mas dessa vez, o
foco deverá ser a busca de eventos (oportunidades) com conseqüências
positivas (ganhos) que levem a organização a alcançar resultados superiores
aos obtidos atualmente.

A abordagem é prática no sentido de que os gestores passam a enxergar suas deficiências não
como problemas que precisam ser expurgados da organização e sim como situações que
precisam ser controladas, e principalmente, analisadas. É possível afirmar que a gestão
positiva de riscos trás uma visão bastante humanista ao contexto. É comum se ouvir dizer que
as pessoas de sucesso são aquelas que aprenderam com seus erros e através deles buscaram
se sobressair para atingir melhores resultados. O princípio é exatamente o mesmo para as
organizações. Assim como os riscos negativos, assim chamados pelo autor supracitado, são
geridos no sentido de prover uma proteção a capacidade da empresa em gerar o retorno do
capital (valor ao acionista), os riscos positivos são fontes de geração de valor (ganhos
financeiros) pelos resultados provenientes das oportunidades.

Considerando que uma visão positiva de riscos enfatiza justamente o aumento da

probabilidade dos eventos de oportunidades, é factível a abordagem de que o risco é
fundamental para a operação plena do mercado.
30

Aplicando um exemplo ilustrativo, consideremos que existe apenas um tipo de sapato sendo
vendido no mercado e que é extremamente desconfortável. É evidente o evento negativo do
“desconforto”. Contudo, com o passar do tempo, um sujeito desenvolve uma forma eficiente

| Gestão de Riscos: abordagem de conceitos e aplicações

de calçá-lo e cria um segundo modelo, dessa vez considerando o desconforto prévio e
concebendo um modelo mais cômodo. O ato de explorar o evento negativo do “desconforto”,
criando um modelo de sapato “confortável” configura exatamente o que é a Gestão de
Oportunidades. Uma prova clara e evidente que os riscos são importantes para todo e
qualquer contexto de mercado, pois através da eficiência e eficácia do processo de gestão
dessas incertezas é que se cria valor ao negócio e ao objetivo para o qual ele é aplicado.

Em suma, pode-se dizer que risco é a base motivadora da inovação. Através da visualização de
demandas atendidas de forma ineficientes – riscos negativos – viabilizam-se produtos e
serviços, ou seja, ações de tratamento que resolvam essas adversidades e converta-as em
resultado – riscos positivos ou oportunidades.

31

| Gestão de Riscos: abordagem de conceitos e aplicações

3. Considerações finais
A publicação do presente artigo objetiva explicitar conceitos básicos do que é a gestão de
riscos, tanto para aqueles que objetivam iniciar estudos, pesquisas e aplicações práticas da
abordagem, como referência para aqueles que já estão familiarizados com as idéias aqui
apresentadas. Minha humilde contribuição literária para esse tema que tende a se tornar cada
vez mais freqüente no ambiente corporativo.

Meus sinceros agradecimentos àqueles que contribuíram direta ou indiretamente com esse
artigo: André Macieira (ELO Group); Angelo Valle (PMI/GT05); Prof. Antonio Luiz (Universidade
de Pernambuco); Arthur Maranhão (Fiabesa); Fábio Cabral (Expertise Auditoria); Gerson
Maranhão (Fiabesa); Letícia Lopes (Lopes & Consultores Associados); Marcelo Correia
(Fiabesa); Paulo Maranhão (Fiabesa); Prim Cabral (MPR Consultoria); Ricardo Baudel (TRE);
Valmir Pinheiro (CHESF); Virgínia Pinheiro (CHESF/GT05).

Para aqueles que desejarem enviar informações, contribuições, questionamentos ou fazer

contato sobre algum dos temas relacionados ao artigo, me coloco a disposição através do e-
mail: dcavalcanti@dcavalcanti.com.

Carlos Diego Cavalcanti – dcavalcanti@dcavalcanti.com

32

| Gestão de Riscos: abordagem de conceitos e aplicações

4. Referências
CAVALCANTI, Carlos Diego. Impactos dos projetos de adequação à seção 404 da lei Sarbanes-
Oxley. Projeto de Pesquisa de Especialização em Administração Financeira – FCAP – UPE, 2008.

COSO. Gerenciamento de Riscos Corporativos – Estrutura Integrada. Committee of

Sponsoring Organizations of the Treadway Commission, 2007.

DTT. Metodologia de Auditoria com foco em Riscos. Deloitte Touche Tohmastu, 2003.

IBGC. Código das Melhores Práticas de Governança Corporativa. Instituto Brasileiro de

Governança Corporativa, 2007.

ISO. ISO/DIS 31.000, Risk management. International Organization for Standardization, 2008.

MACIEIRA, André. Gestão baseada em Riscos. Elogroup, 2008.

MOURA, B. C. Logística: conceitos e tendências. Vila Nova, 2006.

PETERS, Marcos. Implantando e gerenciando a lei Sarbanes Oxley: Governança corporativa

agregando valor aos negócios. Editora Atlas, 2007.

TALEB, Nassim Nicholas. A lógica do cisne negro. Editora Best Seller, 2008.

33

| Gestão de Riscos: abordagem de conceitos e aplicações

 34

| Gestão de Riscos: abordagem de conceitos e aplicações