Você está na página 1de 19

AULA 02

Parte 01: TIPOS DE RISCOS

Na AULA 01 da Semana da Gestão de Riscos nós ensinamos você


que Gestão de Riscos é um dos Pilares do Programa de Compliance. O Decreto
8.420 de 2015 dispõe, no inciso V, que para a validação do Programa de
Integridade é necessária a “análise periódica de riscos para realizar adaptações
necessárias ao programa de integridade”. Portanto, a Gestão de Riscos é
importante, necessária e, principalmente, valida o programa implementado.

1. RISCOS DO NEGÓCIO

Quando uma pessoa vai abrir um negócio qual a primeira coisa


que sempre perguntam? Não entendeu a pergunta? Imagine que um amigo seu
te ligue e conte que vai abrir uma loja de roupas. Geralmente, sempre
perguntamos: “qual o risco do negócio?”. Mas, sabemos como analisar o risco de
um negócio? A pergunta “qual o risco do seu negócio”, em regra, quer dizer:

➔ O projeto é viável?
➔ O investimento que você tem condições será suficiente?
➔ Qual (ou quais) prazo será cumprido?

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
Aqui nós temos, claramente, um risco! Afinal, para abertura de
uma loja de roupas será necessário avaliar diversas coisas. Não existe modelo!
Nós já falamos isso para você, lembra? Imagine que o negócio será um
restaurante. A lista cresce. O investimento, provavelmente, será muito maior. Os
prazos para cumprir, são muitos. Há, ainda, necessidade de alvará e diversas
autorizações para abertura.

2. RISCOS OPERACIONAIS

Para área trabalhista os riscos operacionais são os mais


analisados. Nós gostamos muito de pesquisar o significado das palavras. Você
sabe o que significa OPERACIONAL? Os significados são muitos. Mas, de forma
simplificada, o que mais nos atraiu foi: “qualquer atividade que permita ou facilite
a realização de outras”1. Quais sejam:

➔ FALTA DE MÃO DE OBRA QUALIFICADA


➔ Falta de matéria prima em estoque
➔ Acidente com danos ao meio ambiente
➔ ACIDENTE DE TRABALHO

Então, se os riscos operacionais não forem mapeados e mitigados


da maneira correta você prejudicará toda a engrenagem do negócio. Que tal

1
https://www.dicionarioinformal.com.br/operacional/

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
utilizar essa analogia para conquistar o seu possível cliente que ainda está na
dúvida se a Gestão de Riscos é, ou não, realmente importante?

3. RISCOS DE COMPLIANCE

Não podemos banalizar o Programa de Compliance. Não


esqueça: compliance para inglês ver não funciona. Por isso que o
comprometimento da alta gestão é o primeiro pilar e um dos mais importantes.
Não há compliance quando a própria alta administração não está comprometida.
Mas, quais são dos riscos de compliance?

➔ CORRUPÇÃO
➔ FRAUDE INTERNA
➔ FRAUDE EM LICITAÇÃO
➔ CONFLITO DE INTERESSES
➔ LAVAGEM DE DINHEIRO
➔ NÃO CONFORMIDADE LEGAL
➔ CONCORRÊNCIA DESLEGAL
➔ INSIDER TRADING*2

2
Uso de informações privilegiadas nas negociações de valores mobiliários. O uso indevido de informação
privilegiada no mercado financeiro pode ser investigado e sofrer punição em três diferentes níveis no
Brasil. A responsabilidade de investigar e punir administrativamente atos de insider trading é da Comissão
de Valores Mobiliários (CVM).

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
Os riscos existem. Como diria Aswath Damodaran “não existe
almoço grátis”3, quer uma grande recompensa? Esteja disposto a se expor a um
risco considerável. Não se esqueça que o risco é inerente a qualquer atividade na
vida profissional, pessoal ou nas organizações. Como administrar?
MAPEAMENTO DE RISCO! Por exemplo, a Empresa deverá analisar três aspectos
de cada risco:

➔ IMPACTO DO RISCO
➔ PROBABILIDADE DE OCORRÊNCIA
➔ REAÇÃO ou RESPOSTA AO RISCO

Por isso a análise de riscos é um pilar essencial do Programa de


Compliance. Afinal, nem sempre é possível eliminar completamente o risco.
Sendo necessário a realização de um mapeamento para definição de prioridades
e elaboração de um Plano de Ação a fim de minimizar os eventos que podem
trazer malefícios e maximizar os benéficos.
Quando falamos em Gestão de Riscos estamos lidando com o
MAPEAMENTO, ANÁLISE e TRATAMENTO do risco. Para que seja possível realizar
uma escolher, quais sejam:

➔ EVITAR O RISCO
➔ ACEITAR O RISCO

3
Damodaran, Aswath. Gestão Estratégica do Risco: Uma Referência para a Tomada de Riscos Empresariais
(p. 25).

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
o RETER: manter o risco no nível atual de impacto e
probabilidade
o REDUZIR: ações para minimizar a probabilidade e (ou)
o impacto do risco
o EXPLORAR: aumentar o grau de exposição como
estratégia para vantagens competitivas

Parte 02: METODOLOGIA PARA MAPEAMENTO DE RISCO

Para continuarmos a nossa AULA 02 é importante relembrar um


pouco da AULA 01. Afinal, como mapear algo que você não sabe? Vamos
relembrar?
O que é risco? O conceito de risco, em regra, está associado a
DANOS. Quais os DANOS que essa ação poderá resultar? Definido no COSO como
a possibilidade de que um evento ocorrerá e afetará negativamente a realização
dos objetivos. No ISO 31.000 (Gestão de Riscos) definimos como influências e
fatores externos que tornam incerto se e quando elas atingirão seus objetivos. O
efeito que essa incerteza tem sobre os objetivos da organização é chamado de
risco.
Na doutrina, o conceito de risco está ligado, também, a eventos.
No entanto, os ventos podem ser riscos ou oportunidades, na medida em geram
impactos negativos, positivos ou ambos. Portanto, os eventos com impacto
NEGATIVO representam RISCOS, que podem atrapalhar a criação de valor já

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
existente. Por outro lado, eventos com impacto POSITIVO podem
contrabalancear eventos negativos ou podem representar OPORTUNIDADES.
Não complique! Vamos analisar alguns exemplos simples? Você tem
uma entrevista de emprego, quais são os riscos?

➔ CHEGAR ATRASADO
➔ NÃO SABER RESPONDER ALGUM QUESTIONAMENTO
➔ NÃO SER CONTRATADO

Você já detectou os riscos. Qual a probabilidade de acontecer? Qual o


impacto? O que você pode fazer para mitigar esses riscos? Parabéns! Você acaba de
iniciar um mapeamento de riscos.

1. COSO

The Comitee of Sponsoring Organizations – COSO 4é uma


organização Norte Americana privada, fundada em 1985, que tem o objetivo de
desenvolver e estudar assuntos gerenciais e de governança empresarial com o
intuito de fornecer linhas guia ou diretrizes para os executivos.
As áreas de principal interesse do COSO são Governança
Corporativa, Ética de Negócios, GESTÃO DE RISCOS CORPORATIVOS, Controles
Internos Fraudes e Relatórios Financeiros.

4
https://www.coso.org/Pages/default.aspx

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
É muito importante entender a base conceitual que o COSO
utiliza para que possamos realizar a Gestão de Riscos em uma Empresa. Aliás, os
seus ensinamentos auxiliam em muitos pilares do Programa de Compliance, em
especial: Gestão de Riscos, Auditoria e Controles Internos. Portanto, para facilitar
o seu entendimento vamos listar aqui a estrutura conceitual do COSO, a saber:

➔ ambiente de controle (postura da organização e


conscientização das pessoas)
➔ avaliação de riscos (identificação e análise de riscos
relevantes para alcançar os objetivos definidos)
➔ atividades de controle (políticas e processos em todos os
níveis para garantir a observância das diretrizes e medidas de
prevenção dos riscos)
➔ informações e comunicações (fluxos das informações e
comunicações dentro da corporação)
➔ monitoramento (processos de monitoramento e avaliação do
sistema e dos demais processos)

A estrutura descrita no COSO consiste nesses cinco componentes


que fornecem uma estrutura efetiva para descrever e analisar o sistema de
controles internos usado por uma empresa. Importante salientar, ainda, os oito
componentes do ERMIF (Enterprise Risk Management) que compreendem os
cinco anteriores e expandem o modelo de estrutura, de forma a atender a maior
demanda que advém da gestão de riscos corporativos, quais sejam:

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
➔ ambiente interno
➔ definição de objetivos
➔ identificação de eventos
➔ avaliação de riscos
➔ resposta a riscos
➔ atividades de controle
➔ informação e comunicação
➔ monitoramento

2. ISO 31000

Não é possível estudar Gestão de Riscos sem estudar ISO 31000.


Inclusive, importante destacar o processo delimitado no documento, veja:

A gestão de riscos será EFICAZ quando seguir algumas diretrizes,


quais sejam:
➔ INTEGRADA

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
➔ ESTRUTURADA E ABRANGENTE
➔ PERSONALIZADA
➔ INCLUSIVA
➔ DINÂMICA
➔ MELHOR INFORMAÇÃO DISPONÍVEL
➔ FATORES HUMANOS E CULTURAIS
➔ MELHORIA CONTÍNUA

Nesse sentido, o processo de Gestão de Riscos envolverá a


aplicação sistemática de políticas, procedimentos e práticas para as atividades de
comunicação e consulta, estabelecimento do contexto e avaliação, tratamento,
monitoramento, análise crítica, registro e relato dos riscos.

3. MATRIZ DE IMPACTO x PROBABILIDADE

A matriz de risco é formada pelo binômio PROBABILIDADE de


ocorrência x IMPACTO do risco, o objetivo é revelar quais são as áreas de maior
preocupação da empresa. Alguns exemplos de riscos trabalhistas: horas extras,
excesso de jornada, terceirizações, adicionais, assédio moral ou sexual,
enquadramento sindical, acidentes do trabalho, doenças profissionais, entre
outros.
Após a classificação do risco será definido, em conjunto com a
Alta Gestão, quais os riscos prioritários e os processos de tratamento para
neutralização e mitigação do risco. Os principais pontos de risco serão objeto de

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
plano de ação, procedimento específicos, treinamento dos gestores, auditorias e
treinamentos.
Na MATRIZ IMPACTO x PROBABILIDADE analisaremos critérios
objetivos. É de suma importância que você saiba determinar a PROBABILIDADE
de um evento. Saiba que a probabilidade de um evento poderá ser dividida em:

➔ QUASE CERTO (5)


➔ PROVÁVEL (4)
➔ POSSÍVEL (3)
➔ IMPROVÁVEL (2)
➔ REMOTO (1)

Quantas vezes um evento deverá acontecer para classificarmos


ele em uma das possibilidades elencadas acima? Para facilitar para você veja a
tabela abaixo:

CLASSIFICAÇÃO DESCRIÇÃO PESO


REMOTO menos de uma vez por ano 1
IMPROVÁVEL uma vez por ano 2
POSSÍVEL uma vez por semestre 3
PROVÁVEL uma vez por mês 4
QUASE CERTO uma vez por semana ou mais 5

A PROBABILIDADE você já aprendeu a classificar. No entanto, é


necessário aprender sobre o IMPACTO de um evento, poderá ser dividido em:

➔ CRÍTICO (5)
➔ ELEVADO (4)

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
➔ MODERADO (3)
➔ BAIXO (2)
➔ INSIGNIFICANTE (1)

Qual o nosso objetivo? Facilitar o seu aprendizado! Veja a tabela


abaixo:

CLASSIFICAÇÃO DESCRIÇÃO PESO


INSIGNIFICANTE sem danos e prejuízos, perda financeira pequena ou indireta 1
BAIXO compromete somente o processo em questão, com impacto referente à 2
eficiência do processo sob dimensão de custo e duração.
MODERADO requer tratamento, indica significativa perda financeira. impacto relacionado 3
à perda ou comprometimento de ativos não críticos ou descumprimento de
leis ou regulamentações que não comprometem a imagem da empresa.
ELEVADO grandes danos e prejuízos financeiros diretos, perda de capacidade de 4
operação. impacto relacionado à perda ou descumprimento.
CRÍTICO eventos relevantes que comprometem fortemente o resultado da empresa e 5
sua estratégia. eventos deste tipo podem afetar o resultado da empresa de
forma relevante.

A elaboração de um MAPA DE CALOR é uma maneira de


apresentar o risco ao cliente de uma maneira palpável. É muito mais provável que
ele entenda e, principalmente, se comprometa com sua mitigação. Lembre-se: O
AUMENTO DO RISCO AUMENTA A PERCEPÇÃO DA EMPRESA!

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
ANEXO
MODELO 01: MATRIZ DE IMPACTO x PROBABILIDADE

MATRIZ DE RISCO

MAPA DE CALOR

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
MODELO 02: ISO 31.000 ESQUEMATIZADO

➔ ESCOPO:
o fornecer diretrizes
o gerenciamento de qualquer tipo de risco
o aplicável a qualquer atividade

➔ RISCO:
o efeito da incerteza nos objetivos
o um efeito é um desvio em relação ao esperado
o efeito pode ser negativo, positivo ou ambos

GESTÃO DE RISCOS: ATIVIDADES COORDENADAS PARA DIRIGIR E CONTROLAR UMA


ORGANIZAÇÃO NO QUE SE REFERE A RISCOS

➔ PARTE INTERESSADA:
o pessoa ou organização
o pode afetar ou ser afetada
o pode ser utilizada como “stakeholder”

➔ FONTE DO RISCO: ELEMENTO COM POTENCIAL DE DAR ORIGEM AO RISCO

➔ EVENTO:
o ocorrência ou mudança em um conjunto
o pode consistir em uma ou mais ocorrências
o pode ser algo esperado ou não
o acontece ou não
o um evento pode ser uma fonte de risco

CONSEQUÊNCIA: RESULTADO DE UM EVENTO QUE AFETA OS OBJETIVOS

➔ PROBABILIDADE: chance de algo acontecer

CONTROLE: MEDIDA QUE MANTÉM OU MODIFICA O RISCO

➔ PRINCÍPIOS:
o integrada
o estruturada e abrangente
o personalizada
o inclusiva

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
o dinâmica
o melhor informação disponível
o fatores humanos e culturais
o melhoria contínua
➔ ESTRUTURA:
o LIDERANÇA E COMPROMETIMENTO
▪ personalizar
▪ assegurar recursos
▪ atribuir autoridades e responsabilidades
▪ alinhar a gestão
▪ reconhecer obrigações
▪ estabelecer quantidade e tipo de risco
▪ comunicar o valor da gestão de riscos
▪ promover o monitoramento
▪ assegurar a estrutura de gestão de riscos
o INTEGRAÇÃO
▪ compreensão
▪ proceso dinâmico
▪ personalizado
o CONCEPÇÃO
▪ entenda a organização
▪ examinar contexto
▪ articular comprometimento com a gestão
▪ atribuir papéis organizacionais
▪ alocar recursos
▪ estabelecer comunicação
▪ implementação
o IMPLEMENTAÇÃO
▪ plano apropriado
▪ tipos de decisões
▪ modificações de processos
▪ garantia de arranjos
o AVALIAÇÃO
▪ mensure o desempenho
▪ determine adequação
o MELHORIA
▪ adaptação
▪ melhoria contínua
o PROCESSO
▪ aplicação sistemática de políticas
▪ comunicação e consulta
▪ defina escopo
• objetivos

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
• resultados
• tempo
• ferramentas
• recursos
• relacionamentos
▪ CONTEXTOS EXTERNO E INTERNO
• contextos objetivos
• fatores organizacionais podem ser uma fonte de
risco
▪ CRITÉRIOS
• considere natureza e o tipo
• consequências
• fatores relacionados ao tempo
• consistência no uso de medidas
• como o nível de risco será determinado
• capacidade da organização

O PROCESSO DE AVALIZAÇÃO DE RISCOS É O PROCESSO GLOBAL DE IDENTIFICAÇÃO


DE RISCOS, ANÁLISE DE RISCOS E AVALIAÇÃ DE RISCOS

➔ ANÁLISE DE RISCOS:
o probabilidade de eventos e consequências
o natureza e magnitude das consequências
o complexidade e conectividade
o fatores temporais e volatidade
o eficácia dos controles existentes
o sensibilidade e niveis de confiança

➔ AVALIAÇÃO DE RISCOS:
o fazer mais nada
o considerar as opções de tratamento de riscos
o realizar análises adicionais para melhor compreender o risco
o manter os controles existentes
o reconsiderar os objetivos

➔ TRATAMENTO DE RISCOS:
o PROCESSO ITERATIVO DE:
▪ formular e selecionar opções

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
▪ planejar e implementar o tratamento
▪ avaliar a eficácia
▪ decidir se o risco remanescente é aceitável
▪ tratamento adicional, se necessário

o OPÇÕES DE TRATAMENTO DE RISCOS:


▪ evitar o risco
▪ assumir ou aumentar
▪ remover a fonte
▪ mudar a probabilidade
▪ mudar as consequências
▪ compartilhar o risco
▪ reter o risco

Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.
Conforme a Lei 9.610/98, é proibida a reprodução total e parcial ou divulgação comercial sem
autorização prévia e expressa da OneStep Escola Executiva.