Gestão

de riscos e
continuidade
dos negócios
Marcos Assi e Roberta Volpato Hanoff
INTRODUÇÃO

Acreditamos que o conhecimento sempre será bem-vindo, não

importando o momento, e pensando nisso tivemos o prazer de
elaborar este e-book para auxiliar nossos clientes, alunos e todos
aqueles que seguem nossos trabalhos e fazem parte de nosso dia
a dia seja na gestão de riscos, no compliance, no controles internos
e na auditoria.

Esperamos que este material possa auxiliar nos processos que

estão ocorrendo e nos que estão por vir, lembrando que gestão
de riscos sempre vai lidar com o intangível, e nossa missão é
minimizar o tangível.
Nas incertezas de
seus impactos
Tendo em vista as inúmeras incertezas relacionadas aos impactos
e principalmente com os desdobramentos da pandemia de
COVID-19, que está afetando o Mundo inteiro (e no Brasil não está
diferente), as empresas, independentemente do porte, precisam
avaliar seus processos de gestão, de maneira que sejam baseados
“Gestão de Riscos tem papel relevante
em suas realidades, bem como seu apetite ao risco, dadas as
para manutenção de seus produtos
necessidades de manutenção de fluxo de caixa e atingimento,
e serviços, colaboradores e gestores,
dentro do possível, os objetivos estratégicos originalmente
clientes e fornecedores fazendo parte de
desenhados.
sua cadeia de valor.”
Portanto, para que o seu negócio ainda seja sustentável neste
imenso desafio, a Gestão de Riscos tem papel relevante para
manutenção de seus produtos e serviços, colaboradores e
gestores, clientes, e por que não, para seus fornecedores – afinal,
todos fazem parte de sua cadeia de valor.
Gerenciamento de Riscos
Nesse sentido, visando a que esse gerenciamento aconteça de modo
adequado, devemos considerar os seguintes aspectos:
• Caso não tenha estabelecido ainda um comitê de Gestão de Crises,
reunindo os principais executivos e gestores da organização
diariamente (de preferência matutinas), para reavaliações tempestivas
dos avanços do COVID-19 e seus impactos no negócio, já está mais que
na hora!
• Construa um plano de Gestão de Crises1, associado a um Plano de
Recuperação e Continuidade do Negócio (incluindo possibilidades de
desastres e/ou situações externas, e para isso, citamos como exemplo
a greve dos caminhoneiros, a H1N1 que causou sérios problemas
também, as questões das barragens, entre outras).
• Por outro lado, se o plano já existe e a empresa o considera
desatualizado, ou mesmo inapropriado a tratar a crise no momento
presente, não vale se ocupar com uma atualização agora, no momento
em que agir de forma rápida, consciente e coordenada é a pedida do
momento.
Para quem busca um Guia Prático de construção de um Plano de Gestão de Crises,
recomendamos o download do e-book desenvolvido pela CEO do Studio Estratégia,
Roberta Volpato Hanoff, clique aqui.
• Depois de superados os problemas, um grupo de trabalho de sua
empresa, criado de modo multissetorial e liderado pelos membros
da Alta Direção, deverá, através do debate sobre os aprendizados
obtidos com o enfrentamento da crise, constatar as vulnerabilidades
dos processos de gestão e controles internos, reconstruindo, desta
forma, um novo, coerente e efetivo Plano de Gestão de Crises.

• A mesma lógica deve ser adotada para a Avaliação dos Riscos do

Negócio: se isto ainda não faz parte da cultura do seu negócio, ou
se a Avaliação está há muito tempo desatualizada, agora não é o
momento de se ocupar dela – até porque os aspectos estratégicos,
operacionais, financeiros e regulatórios derivados da pandemia
de COVID-19 serão medidos apenas nas próximas semanas, então,
qualquer esforço envidado agora implicará retrabalho logo à frente.

Na atual conjuntura, a organização deve se ocupar de “apagar

incêndios” (sem deixar, é claro, de fazê-lo de forma coordenada,
estratégica e mediante a reunião dos recursos humanos, financeiros
e tecnológicos necessários), mas nada além disto. Os detalhes, já
que não priorizados até o momento, postergue para o período de
calmaria.
 Acidentes e eventos naturais;

Desastres ambientais e de saúde, envolvendo epidemias

de doenças graves e seus reflexos internos e externos;

Panes tecnológicas que efetivamente comprometam

As discussões, evidências*
a continuidade do negócio;
e conclusões deverão
considerar riscos de...

Instabilidade de mercado;

Posturas ilegais e antiéticas, de menbros internos ou

Fonte: Guia Prático de construção de um terceiros, que culminem em conflitos de interesses ou
Plano de Gestão de Crises, pagina 11
envolvimento em escândalos de grande repercussão;

Morte de colaboradores (próprios, terceirizados ou

quarteirizados) no desempenho de suas funções.

*auditoria de riscos

• Quando se fala em riscos, automaticamente pensamos em impactos.
Caso a empresa, além de não ter avaliado previamente seus riscos
inerentes, também não tenha mapeado e calculado os impactos
à sua recuperação e continuidade, uma alternativa rápida e que
pode servir a tentar salvar o negócio é a renegociação com bancos,
clientes e fornecedores (especialmente, prazos e pagamentos), além
da manutenção da execução dos serviços e realização de entregas
(pois, do contrário, isto pode “matar” seu negócio).
• Outra ferramenta rápida, e que pode ser usada, ainda que
temporariamente, para ajustar seu apetite e tolerância a risco,
a construção de indicadores de performance e riscos para o
monitoramento contínuo, com o estabelecimento de gatilhos
para o acionamento de medidas de contingência e continuidade
de forma minimamente estruturada, abaixo algums sugestões de
indicadores:
• Indicadores Econômicos;
• Avaliação de variação de Receitas e Despesas;
• Controle de Fraudes;
• Controle de inadimplência e cobrança;
• Controle de multas operacionais;
• Controle de patrimônio (inventário de bens);
• Conciliação Contábil das principais contas (ativo, passivo
e resultados);
• Controle de manual de alçadas (pagamentos e
reembolsos);
• Controle de perdas e estornos;
• Controle de multas de não conformidade dos contratos;
• Controle de Terceiros relevantes (conformidade com
regras internas);
• Controle de Contratos (Glosas);
• Controle de segurança e controle de acesso, entre outros

• O seu comitê de Gestão de Crises deve, nas reuniões diárias
obrigatórias que mencionamos de início, discutir sobre o
mapeamento de cenários (já ouviram falar de “stress testing”?).
Estes momentos são essenciais para aprender com os problemas
e desenvolver possíveis soluções, especialmente para o caso de
prolongamento da crise, avaliando o apetite de risco e, o principal,
qual a tolerância do negócio para situações como a atual.
• Implemente mecanismos internos de comunicação para
colaboradores, clientes e fornecedores, e realizar o monitoramento
dos avanços do COVID-19, de preferência de fontes seguras (https://
coronavirus.saude.gov.br/), e de seus impactos para o negócio e a
vida das partes interessadas.
Esta comunicação deverá ser coesa e recorrente, realizada por porta-
vozes especialmente escolhidos para esta finalidade, de forma a que
todas partes interessadas, de dentro e de fora da organização, tenha
acesso ao mesmo conteúdo e ao mesmo tempo – isto certamente
evitará vazamentos de dados descontextualizados e, até mesmo,
especulações promovidas por pessoas que não estão suficientemente
inteiradas do contexto e dos planos de ação adotados pela organização,
além de cenários de pânico e incerteza. Desta forma, todos estarão “na
mesma página”, sabendo apenas o que for realmente útil, verdadeiro
e necessário para que prossigam trabalhando de modo seguro e, ao
mesmo tempo, auxiliando a empresa no atingimento dos objetivos de
seu Plano de Gestão de Crises e de Continuidade dos Negócios.
É provável que, quando chegarmos ao final da crise de pandemia, as
organizações que a ela sobreviverem se deparem com algumas baixas
e perdas, mas, esperamos que estes dados, mesmo negativos, não
tenham destaque maior do que os aprendizados que advierem com o
período.
E, para que os aprendizados façam sentido de verdade, revisite os
processos de Controles Internos, Compliance, Gestão de Riscos, Gestão
de Crises e Gestão da Continuidade de Negócios, jamais negligenciando
a importância de se preocupar com a melhoria contínua e com correções
que, se detectadas e implementadas imediatamente, garantirão valor
agregado e perenidade.
Gestão de riscos
e gestão de crises
A gestão de crises envolve o reconhecimento de que está
acontecendo uma crise, que é necessário encontrar uma solução
para ela e que se pode aprender com ela e tirar proveito da situação.
Usualmente, a reação imediata a uma crise financeira é a negação,
seguida de pânico. Neste caso, uma declaração formal para toda
empresa de que se está enfrentando uma crise grave é necessário
para focar a atenção e outros recursos para conseguir resolvê-la.

Mas quando a crise é uma catástrofe, desastre, greve, incêndio,

explosão ou algum dano de grandes proporções? Neste caso,
a gestão de crise só funciona se possuímos um bom plano de
contingência, mas no caso da pandemia, será que temos como
prever algo desta magnitude? Creio que os efeitos ainda estão
por vir.
Alguém deve estar se perguntando o que gestão de crises tem a
ver com gestão de compliance? Tudo e mais um pouco, pois se os
profissionais de compliance têm como função assessorar a Diretoria
Executiva da organização, neste caso, quem poderá ser cobrado?
O primeiro a confiabilidade, já que o grau
Por isso os profissionais de compliance devem que acompanhar
de perto a gestão dos negócios para que a empresa esteja em 1 de proteção proporcionado do plano
deve levar em conta grandes eventos
conformidade e com os riscos avaliados, mas por maior que seja este inesperados, que venham afetar o
acompanhamento, muita gente focada somente em anticorrupção processo dos negócios;
e lavagem de dinheiro, vai lamentar a falta de conhecimento em
O segundo ponto para garantir a
gestão de riscos e gestão dos negócios.
2 qualidade do plano é a disponibilidade,
afinal é necessário avaliar o tempo
Diante disso, apresentaremos alguns pontos importantes de planos
necessário para retornar ao
de contingência e recuperação.Vale ressaltar que são apenas algumas
funcionamento normal da empresa; e
sugestões, pois, para que sejam bem-sucedidos e demonstrem sua
verdadeira funcionalidade, os testes necessitam ser efetivos, e não O último critério é a sustentabilidade,
testes de “faz de conta”, com o intuito de “fantasiar” a efetividade
dos planos para ação. Portanto, os planos de contingência devem
3 o custo e a adaptabilidade do plano a
mudanças nos recursos e processos.
ser levados a sério.

Os planos de contingência deveriam ser avaliados segundo três

critérios, sendo:
Buscar uma análise completa do processo pelos envolvidos, Metodologia de Avaliação - Diagrama de Turtle
identificando riscos potenciais e avaliando as medidas de controle
e mitigação, é importante para a criação do plano de contingência
já que, geralmente, buscamos a implementação de controles que
Pessoal, competências
nem sempre funcionam. Recursos e equipamentos e talentos
Desse modo, quando identificamos os riscos, existe a possibilidade
de redução ou eliminação de controles caros e ineficazes, criando
soluções alternativas e minimizando a exposição a eles. Isso facilita

Demanda

Resultado
Entradas Saídas
a definição e o acompanhamento de ações para eficiência dos Processo
controles.

Métodos de identificação de riscos proporcionam a avaliação de

padrões dos controles já existentes e o auxílio na disseminação
da cultura de riscos na organização, facilitando a obtenção de Modelos e procedimentos Desempenho e indicadores
entendimento e linguagem comuns sobre riscos.
Fonte do autor.
 Processos de Governança Corporativa, Compliance, Controles Internos e Riscos

Controles Internos Segurança Corporativa Gestão de Riscos

Estabelecer canais adequados de reporte e Estrutura de Controles Gestão do Risco

Segurança da Informação
monitoramento de ações de melhoria sobre Internos Operacional
a exposição aos riscos e a promoção de
responsabilidades dentro da organização são Monitoramento dos Controles de Acesso Gestão dos Riscos de
essenciais para o gerenciamento de riscos e Controles Internos e Incidentes Mercado e de Liquidez
controles.

Para que seu processo de Governança Gestão de Processos Gestão do Risco

Segurança Cibernética
de Negócios de Crédito
Corposrativa, compliance, controles internos
e gestão de riscos sejam mais efetivos,
sugerimos a aplicação dos pilares de gestão Prevenção e Combate a Gestão de Terceiros
Segurança Bancária
conforme modelo abaixo, desenvolvido para Ilicitos Financeiros
suprir as necessidades das organizações.
Gestão de Controles Gestão da Continuidade
Gestão de Segurança
Contábeis de Negócios

Gestão de Compliance, programas de integridade, conduta e ética

Fonte: Modelo desenvolvido pela MASSI Consultoria
Acredito que devemos usar muito a serenidade e responsabilidade
nas decições que serão tomadas nas proximas semanas, para que
no calor da emoção, tenhamos dissernimento suficiente para
refletir onde estamos, o que faremos e onde pretendemos estar.

Nossa recomendação é que neste momento, caso não tenha um

plano de contingencia e tão pouco de continuidade, a sua gestão
de crise seja feita por meio de um comitê de gestão de crises, como
já mencionado anteriomente, com diretores e gestores, e em certos
casos com conselheiros e por que não, os seus consultores, para
que a decisão seja colegiada e amparada por modelos de negócios
que seja aplicáveis e de fácil solução, uma boa comunicação a todos
os colaboradores e as partes interessadas, pois além do financeiro
devemos pensar nas pessoas e em todos que fazem parte do ciclo
de vida de sua organização, seja rápido, seja coerente e busque
fazer aquilo que você tem condições de implementar e garantir,
está é a hora da realidade superar o sonho, onde a estratégia deve
ser realizada pelo operacional, o ótimo é inimigo do bom.
Muito interessante falarmos de riscos e gestão de crises somente
após uma crise não é verdade, tendo em vista que quando falamos
sobre prevenção a riscos, muitos zombam da gente, mas mesmo
com todas as previsões será que alguém havia previsto algo deste
tamanho, acredito que não.

E justamente em meu livro Gestão de Compliance e seus desafios²

publicado em 2013 já tínhamos apontado para isso, por isso resolvi
reproduzir alguns trechos.

Portanto, a gestão de crises deve ser vista como uma sequela do

planejamento de contingência, ao invés de um substituto dele.
Embora a gestão de crises não substitua o planejamento ou outra
forma de gerência de risco, existem situações, tais como: eventos de
perda de grande criticidade que são completamente imprevisíveis
e incontroláveis ou muito improváveis, ou ainda, quando os custos
de prognósticos, planejamento, redução ou prevenção são altos
demais, em que ela é inteiramente apropriada, acredito que é o
caso da COVID-19.

²ASSI, Marcos. Gestão de Compliance e seus desafios, como Implementar controles internos,
superar dificuldades e manter a eficiência dos negócios, Saint Paul Editora, 2013.
 Marcos Assi, CCO, CRISC e é professor e consultor da MASSI Consultoria e Treinamento –
professor de MBA na FECAP, IBMEC, Centro Paula Souza, UNIMAR, FADISMA, SUSTENTARE,
entre outras, autor dos livros “Controles Internos e Cultura Organizacional”, “Gestão de Riscos
com Controles Internos”, “Gestão de Compliance e seus desafios” e “Governança, riscos e
compliance” pela Saint Paul Editora e “Compliance: Como Implementar” pela Trevisan Editora.

Roberta Volpato Hanoff é advogada, professora e auditora líder para as normas NBR ISO
19600:2014 e 37001:2016, de Sistemas de Gestão de Compliance e Antissuborno; CEO da

MARCOS ASSI consultoria STUDIO ESTRATÉGIA – GOVERNANÇA, RISCOS E COMPLIANCE e coautora do livro
“Compliance: Como Implementar”, pela Trevisan Editora.

Bibliografia

ASSI, Marcos. Controles Internos e Cultura Organizacional: Como consolidar a Confiança na gestão dos
negócios. São Paulo: Saint Paul Editora, 3ª Edição, 2019.

ASSI, Marcos. Gestão de riscos com controles internos – Ferramentas, certificações e métodos para garantir
a eficiência dos negócios: Saint Paul Editora, 2012.

ASSI, Marcos. Gestão de Compliance e seus desafios, como Implementar controles internos, superar
dificuldades e manter a eficiência dos negócios, Saint Paul Editora, 2013.

VOLPATO Hanoff, Roberta. E-book: Gestão de Crises em Ambiente Empresarial. Florianópolis, 2020.

Apoio e produção
ROBERTA VOLPATO
HANOFF