Escolar Documentos
Profissional Documentos
Cultura Documentos
www.softexpert.com.br
A gestão de riscos é um tema cada vez mais importante para os negócios e as empresas têm demonstrado maior
preocupação frente aos seus riscos. Riscos são importantes para as decisões estratégicas, são a principal causa das
incertezas nas organizações e estão presentes nas atividades mais simples de uma empresa. Uma abordagem ampla e
corporativa da gestão de riscos permite que uma organização contabilize o potencial impacto de todos os tipos de risco
em todos os seus processos, atividades, produtos e serviços.
www.softexpert.com.br
De acordo com o COSO, ERM pode ser
assim definido:
www.softexpert.com.br
Identificação
O ponto de partida é descobrir os riscos e defini-los com
algum detalhamento e em um formato estruturado.
Em um processo de gestão de
riscos podem existir várias Avaliação
etapas e atividades. Mas o Os riscos são avaliados quanto a probabilidade e o
impacto de sua ocorrência.
ciclo de vida completo da
gestão de riscos pode ser Tratamento
resumido em apenas 5 Uma abordagem para o tratamento de cada risco deve ser definida, que
em alguns casos pode ser não fazer nada. Isso requer uma análise da
www.softexpert.com.br
01 | Identificação dos riscos
Defina os objetivos corporativos e operacionais. É muito importante ter clareza nos objetivos antes de
começar a identificar os riscos. Isso vai lhe permitir identificar eventos que influenciem na sua
capacidade de alcançar seus objetivos.
Liste todos os riscos relevantes. Normalmente o melhor processo para desenhar uma longa lista de
riscos potenciais é uma combinação de sessões de brainstorming com entrevistas individuais. Você
deve procurar por riscos de todos os tipos, como financeiro, gestão, reputação, econômicos, meio
ambiente, tecnologia e fraude, e em todas as áreas.
Identifique os fatores de risco. Você precisa tentar identificar causas prováveis para os riscos – o que
pode ter feito o risco aparecer da primeira vez. Pode haver somente uma causa para um risco, assim
como também podem haver muitas.
Especifique as medidas de controle existentes. Para muitos riscos você já terá algumas medidas
existentes para controlar a probabilidade ou o impacto de sua ocorrência. Para serem eficazes, estes
controles internos devem ser demonstráveis através de políticas, procedimentos ou práticas. Uma
pergunta chave é se os controles existentes são adequados ou se controles adicionais são
necessários para a gestão eficaz de cada risco.
Defina os responsáveis. Para uma gestão de riscos eficaz, é importante que cada risco tenha um
responsável, garantindo que os controles internos estejam funcionando e que ações de tratamento
relevantes sejam tomadas. Essa função também envolve monitorar regularmente a situação do risco
e ajustar sua avaliação com base nas informações mais atualizadas.
www.softexpert.com.br
02 | Avaliação dos riscos
Avalie a probabilidade de ocorrência dos riscos. Para chegar ao resultado da avaliação do
risco você precisa primeiro analisar a probabilidade de que o risco se manifeste, considerando
os controles existentes que estão ativos. Essa tarefa pode não ser tão fácil e os critérios
variam de acordo com os tipos dos riscos.
Avalie o impacto dos riscos. O impacto de um risco é normalmente definido considerando o
nível de severidade desse impacto. Definir regras para avaliar os impactos é mais complexo
que para avaliar a probabilidade, já que em muitos casos essa avaliação é apenas qualitativa.
Obtenha o resultado final da avaliação. O resultado final provém da combinação das
avaliações de probabilidade e de impacto, normalmente através da multiplicação de seus
coeficientes, gerando a chamada “matriz de avaliação de riscos”. É comum dividir a matriz em
cores para proporcionar uma abordagem mais visual para a situação do risco, em
complemento ao seu resultado quantitativo.
Priorize os riscos e defina o apetite de risco. Não é possível se livrar de todos os riscos, então
alguns precisarão ser tratados. No entanto, é importante definir qual a tolerância da
organização para com os riscos e então definir uma prioridade para cada risco, de acordo com
esta tolerância (apetite). Definir uma prioridade lhe dá uma informação secundária sobre o
risco, em complemento à sua situação, assim você pode identificar rapidamente os riscos
mais significantes ou urgentes.
www.softexpert.com.br
03 | Tratamento dos riscos
Defina o tipo de resposta ao risco. Existem quatro tipos genéricos de respostas que você pode
dar aos riscos: tolerar, transferir, tratar e eliminar. Os méritos relativos e os aspectos práticos
de cada abordagem vão depender em grande parte da natureza do risco, e especialmente do
nível de prioridade atribuído a ele. Para todos os riscos, com exceção daqueles que você está
“tolerando”, é necessário articular um plano de ação de mitigação para prevenir, reduzir ou
transferir o risco.
Crie ações de mitigação para os riscos prioritários. Você precisa criar um plano de ação de
mitigação para todos os riscos que você quer tratar. O objetivo das ações de mitigação não é
necessariamente eliminar o risco completamente, mas reduzi-lo a um nível aceitável. Você
também precisa considerar a relação custo/benefício ao decidir por tratar ou não um risco.
www.softexpert.com.br
04 | Monitoramento dos riscos
Reavalie os riscos regularmente. O principal objetivo ao se monitorar riscos é garantir que os
riscos da organização estão sendo administrados de forma eficaz. A avaliação dos riscos deve
ser revisada regularmente pelos seus responsáveis e esta atualização deve se basear:
• No andamento das ações de tratamento e outras ações que podem afetar o perfil do risco.
• Na identificação de novos riscos e fatores que podem ter surgido desde a última avaliação.
Para ajudar nas reuniões de revisão periódicas, existe muita informação adicional que você
pode usar quando for reavaliar seus riscos. Por exemplo, o histórico de incidentes vai lhe dar
uma indicação de quão eficaz os tratamentos e os controles internos estão sendo.
www.softexpert.com.br
05 | Comunicação dos riscos
Consolide a informação e verifique o progresso dos riscos. A comunicação em um processo
de gestão de riscos se aplica em todas as etapas do ciclo de vida do risco, embora se possa
dizer que ela é mais crítica na etapa de monitoramento. A forma de se comunicar o resultado
dos riscos é algo que deve ser planejado e definido no início do processo de gestão, já
pensando no conteúdo, formato e frequência da divulgação.
Perfil dos riscos, riscos críticos, andamento dos planos de mitigação, situação dos riscos,
tendência e mapas de calor (heat maps) são alguns dos tipos de relatórios ou dashboards que
você irá querer ter em cada etapa do processo de gestão de riscos.
www.softexpert.com.br
Agora que você já conhece as 5 principais etapas de um processo eficaz de gestão de riscos, conheça
também o SoftExpert ERM, a solução mais completa e inovadora do mercado para excelência na gestão de
riscos corporativos.
SoftExpert ERM
Reduza riscos. Maximize oportunidades.
SoftExpert ERM (Enterprise Risk Management) permite às organizações identificar, analisar,
avaliar, monitorar e gerenciar seus riscos corporativos utilizando uma abordagem integrada. A
solução reúne todos os dados relacionados à gestão de riscos em um único ambiente, incluindo
uma biblioteca reutilizável de riscos e seus respectivos controles e avaliações, eventos, tais
como perdas e não conformidades, indicadores de desempenho e planos de tratamento.
www.softexpert.com.br
Identificação de riscos
Saiba mais
Saiba mais
www.softexpert.com.br
Tratamento dos riscos
Saiba mais
Saiba mais
www.softexpert.com.br
Comunicação dos riscos
Saiba mais
www.softexpert.com.br
SoftExpert Excellence Suite SoftExpert
www.softexpert.com.br
Leve sua empresa para o próximo nível.
www.softexpert.com.br | vendas@softexpert.com
Aviso Legal: O conteúdo desta publicação não pode ser copiado ou reproduzido, no todo ou em partes, sem a autorização prévia da SoftExpert Software. Esta publicação é disponibilizada pela SoftExpert e/ou sua rede de afiliados apenas em caráter informativo, sem nenhuma
garantia de qualquer tipo. As únicas garantias relacionadas aos produtos e serviços da SoftExpert são aquelas declaradas em contrato. Algumas características e funcionalidades dos produtos apresentados nesta publicação podem ser opcionais ou dependentes da composição da(s)
oferta(s) adquirida(s). O conteúdo deste material está sujeito a alteração sem aviso prévio.