GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

Unidade III
5 INTRODUÇÃO À ANÁLISE DE RISCOS

A análise de risco permite que as organizações funcionem com mais segurança; que os gestores
possam enfrentar as crises de forma mais organizada e responsável, além de dar mais credibilidade à
organização e, consequentemente, o mercado e a sociedade reconhecem essa vertente.

5.1 O que é risco e elementos da análise de riscos

A norma ISO 31000 define risco o “efeito da incerteza nos objetivos” (ISO 31000). Em outras palavras,
é a intercorrência possível no percurso para alcançar determinado objetivo.

Tudo que poderá ocorrer na trajetória será quantificado numa escala de probabilidade e de impacto.
O risco tem relação com as incertezas.

Apenas para exemplificar, observe a seguinte análise:

Objetivo

Viajar da cidade de São Paulo até Recife.

Características da viagem

A viagem será realizada num carro de passeio. O veículo tem quatro anos de uso e suas revisões estão
em dia. Possui quatro pneus e um estepe em bom estado. O total de quilômetros a serem percorridos será
de aproximadamente 2.700. Considerando um período de viagem de 12 horas por dia, a uma velocidade
média de 60 km/h, o objetivo seria alcançado em 3,75 dias, ou quatro dias, aproximadamente.

Questões logísticas relevantes

Locais de abastecimento do veículo. Locais para hospedagem dos viajantes. Locais para as refeições
dos viajantes.

Riscos inerentes à viagem

Furar pneus. Problemas mecânicos no veículo. Eventuais problemas de saúde nos viajantes. Eventuais
congestionamentos que atrasem a viagem. Eventuais problemas de tempo, como temporais.

77
 Unidade III

Planejamento da viagem

O aspecto inicial do planejamento da viagem tem a ver com o tempo disponível para alcançar o
objetivo. Nas condições especificadas, dirigir doze horas por dia, a uma velocidade média de 60km/h,
demandaria quatro dias para completar o percurso. Há necessidade de chegar em quatro dias? Há uma
folga de tempo? Tais aspectos precisam ser dimensionados inicialmente. Definidos tais parâmetros, os
seguintes pontos devem ser pesquisados:

Na hipótese de sair de São Paulo em determinado horário, qual a autonomia do veículo? Suponha que o
veículo tenha autonomia para seis horas de viagem. Então, o planejamento poderia ser, para o primeiro dia:

Dia 1: Saída de SP, às 6h00.

Dia 1: 9h00 – Parada para café e descanso de 30 minutos. – Três horas dirigindo.

Dia 1: 9h30 – Retorno à estrada.

Dia 1: 12h30 – Parada para almoço e abastecimento. – Seis horas dirigindo.

Dia 1: 14h00 – Retorno à estrada.

Dia 1: 17h00 – Parada para café e descanso de 30 minutos. – Nove horas dirigindo.

Dia 1: 17h30 – Retorno à estrada.

Dia 1: 20h30 – Parada para hospedagem e abastecimento – Doze horas dirigindo.

Note que faz parte do planejamento verificar no percurso os seguintes pontos de parada, que
correspondam, aproximadamente, à respectiva quilometragem e ao tempo dedicado ao percurso.

No ponto b, calcula-se que os viajantes já estariam a 180 quilômetros de São Paulo (três horas dirigindo a
60 km/h). É necessário verificar, na estrada escolhida, qual o ponto de apoio nessa região. Evidentemente que
os pontos de apoio podem ficar a alguns quilômetros antes ou depois. Pode também haver mais de um ponto
de apoio (postos de combustíveis, com lojas de conveniência e/ou lanchonetes na estrada). O planejamento
consiste em analisar tais pontos e escolher aqueles que possam oferecer os melhores serviços.

No ponto d, os viajantes já teriam andado 360 quilômetros (seis horas dirigindo a 60 km/h). Novamente
a questão do planejamento: nessa oportunidade há a necessidade de abastecimento, portanto é preciso
que seja a parada em posto de abastecimento de combustíveis. Também está previsto o almoço. Devem
ser planejadas as paradas desse tipo em postos de gasolina com restaurantes nas estradas ou, ainda, em
cidades de beira de estrada que possam atender a tais requisitos. Novamente a questão da exata posição
pode ser discutida, só que com alguma diferença: é necessário pesquisar a exata posição do ponto de
apoio que pode ser antes dos 360 quilômetros a serem rodados, e não depois, pois o aspecto limitante
é a reposição do combustível.
78
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

Outra alternativa seria a busca do abastecimento sempre num ponto anterior ao da completa
utilização do tanque. Por exemplo, ao rodar os primeiros 180 quilômetros, preparar uma parada num
posto de abastecimento de combustível. Isso daria maior segurança aos viajantes e o planejamento
ficaria mais efetivo.

Note que tais providências ficam na seara do planejamento. Essa fase bem desenvolvida, sem dúvida,
é um instrumento que auxilia a prevenção de riscos.

O planejamento para os outros dias seriam reproduções bastante próximas do que foi planejado para
o primeiro dia. Após o planejamento, há a fase de identificação dos riscos.

Lembrete

O gestor deve coletar o máximo de dados possível. Essa etapa de

preparação é importantíssima para a organização inicial da gestão de riscos.

Considerando a definição de riscos, ligada às incertezas e aos riscos já levantados, pode-se elencar:

• Riscos relacionados aos problemas com pneus. Mitigação dos riscos: verificar estado dos pneus.
Só viajar com pneus em bom estado. Verificar estado do estepe. Verificar se há os equipamentos
funcionando para a troca de pneus, se necessário.

• Riscos relacionados à manutenção do veículo. Mitigação dos riscos: mandar o veículo para uma
revisão geral. Contratação de seguro com socorro mecânico, especialmente para o percurso São
Paulo – Recife.

• Eventuais problemas de saúde nos viajantes. Mitigação dos riscos: todos os integrantes devem
possuir planos de saúde, com cobertura nacional.

• Eventuais congestionamentos que atrasem a viagem. Mitigação dos riscos: esses congestionamentos
são de difícil previsão e é impossível predizer se ocorrerão ou não. Pode ser verificado se há
caminhos alternativos no percurso e, caso haja, é preciso deixar a informação arquivada com
os viajantes. Mesmo com congestionamentos, a utilização de caminhos alternativos, caso haja,
dependerá do trecho em que ocorrer o problema, da viabilidade do caminho alternativo, entre
outras possibilidades. Caso haja problemas desse tipo, é importante ter todos os contatos do
destino para, no mínimo, notificar possíveis atrasos.

• Eventuais problemas meteorológicos, como temporais. Mitigação dos riscos: também difícil de
prever. Da mesma forma do risco anterior, é importante ter todos os contatos do destino para, no
mínimo, notificar possíveis atrasos.

Após os levantamentos desenvolvidos, passa-se à formalização da análise, com os elementos

explicitados. Pode-se desenvolver uma tabela que facilite a visualização de todos os elementos da análise.
79
 Unidade III

Tal visualização é importante na medida em que facilita a visão sistêmica da análise e o planejamento
e a tomada de decisões.

Os administradores das organizações de todas as áreas devem introduzir no planejamento de todos

os setores uma seção específica de análise de risco.

A análise básica de risco envolve os seguintes fatores:

a. Risco: eventos ou condições que precisam ser identificados que podem

prejudicar ou ameaçar as atividades da organização.

b. Impacto: o quanto determinado evento ou determinada condição pode

efetivamente impactar se for confirmada a incidência do evento ou condição.

c. Evento deflagrador: situação que confirme a incidência.

d. Ações preventivas: o que pode ser feito para que o evento deflagrador
não ocorra.

e. Ações corretivas: o que pode ser feito depois que o evento ou condição
que prejudica ou ameaça a organização efetivamente se confirmou
(MAXIMIANO, 2009, p. 140-141).

Considerando as análises já feitas, construímos o seguinte quadro:

Quadro 7 – Risco, impacto e medidas

Risco Impacto Medidas preventivas Medidas corretivas

Verificar estado dos pneus. Só viajar
com pneus em bom estado. Verificar
Pequeno atraso
Problemas com pneus. na viagem. estado do estepe. Verificar se há os Trocar o pneu furado.
equipamentos funcionando para a
troca de pneus, se necessário.
Mandar o veículo para uma revisão Chamar o socorro
Manutenção do Atraso na geral. Contratação de seguro com mecânico e providenciar
veículo. viagem. socorro mecânico, especialmente o conserto do veículo.
para o percurso São Paulo – Recife.
Acionar o plano de
Todos os integrantes devem possuir
Problemas de saúde Atraso na saúde. Verificar unidades
planos de saúde, com cobertura
nos viajantes. viagem. de atendimento mais
nacional. próximas.
Eventuais Atraso na Verificar se há caminhos alternativos Notificar possíveis
congestionamentos viagem. no percurso. atrasos.
que atrasem a viagem.
Problemas Notificar possíveis
Atraso na
meteorológicos, como Verificar previsões meteorológicas . atrasos. Tentar abrigo em
viagem.
temporais. local seguro.

80
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

Observação

O evento deflagrador pode ou não constar no quadro de análise. Se for

evidente, como um pneu furado ou como outros dos exemplos anteriores,
não há necessidade.

Outro exemplo:

Risco

Uma determinada máquina de uma linha de produção de três máquinas parar de funcionar.

Impacto

Pode comprometer 33,33% de toda a produção da empresa, prejudicando um terço da entrega

de vendas.

Evento deflagrador

A máquina efetivamente parar.

Ações preventivas

Plano de manutenção que preveja revisões periódicas nas máquinas.

Ações corretivas

Providenciar o rápido conserto da máquina ou sua substituição, conforme o caso. Contatar clientes
eventualmente prejudicados.

Quadro 8 – Risco, impacto e medidas 2

Risco Impacto Medidas preventivas Medidas corretivas

Possível Providência do rápido
Interrupção do Plano de manutenção que
comprometimento conserto da máquina ou
funcionamento de preveja revisões periódicas
de 33,33% de toda a sua substituição, conforme
uma das três máquinas nas máquinas.
produção da empresa, o caso. Contato com os
de uma linha de prejudicando um terço clientes eventualmente
produção. da entrega de vendas. prejudicados.

Quanto mais elaborado um plano de análises para enfrentamento de riscos, mais bem organizada
está a empresa para lidar com tais eventualidades.

81
 Unidade III

Um outro ponto que não pode ser desprezado e que faz parte da análise de risco: quando, à luz da
incerteza, determinada ocorrência caminha de forma diferente do planejado. A preocupação evidente
é a possibilidade de se comprometer o objetivo traçado ou de alcançá-lo de modo menos eficaz. No
entanto, os resultados podem superar positivamente os objetivos pretendidos. Nesse caso houve um
desvio positivo.

A próxima figura expressa exatamente isso:

Objetivo

Incerteza Incerteza
Lim

a
tez
Efeito - Efeito +
ite

cer
con

a in
hec

od
ido

itiv
pos
do
efe

ito
Risco
ito

efe
neg

do
ativ

ido
hec
od

con
a in
cer

ite
Lim
tez
a

Maximizar

Anular ou diminuir

Figura 12 – O que é risco?

Note que o objetivo pretendido é representado pela seta reta. Há uma área em vermelho à esquerda
e outra em azul, à direita. O espaço à esquerda sinaliza os desvios que comprometem o objetivo e que
podem ocorrer no caminho, para os quais se justificam plenamente todas as análises de risco. E o espaço
à direita sinalizam, da mesma forma, possíveis desvios dos objetivos finais, só que superam o esperado.

Exemplo: uma fábrica de calçados espera vender ao final do ano dez mil pares de calçados. Se vendesse
apenas sete mil, estaria no espaço à esquerda. Se vendesse quinze mil, estaria à direita.

Lembrete

Gerir riscos é estabelecer “remédios” para a incerteza. Contudo, às vezes,

a incerteza pode representar algo positivo.
82
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

Observe, ainda, que nesse caso específico, o desvio positivo poderia merecer estudos de
enfrentamento também, pois o aumento de 50% a mais de vendas do que o previsto poderia gerar
uma série de despesas agregadas para as quais a organização poderia não estar preparada.

De qualquer forma é importante ressaltar que o resultado positivo sempre concorrerá para a
realização da organização. Como lembram Rosa e Toledo (2015, p. 4):

Ressalta-se que a probabilidade relacionada aos efeitos positivo e negativo

não são necessariamente iguais. Pelo contrário, idealmente o propósito
da gestão de riscos é identificar, compreender e tratar o risco de forma a
aumentar a probabilidade de atingir-se o efeito positivo em detrimento do
efeito negativo.

A compreensão de toda a sistemática, desde o vocabulário adequado até os processos que constituem a
gestão de riscos, são objetos de normativas específicas, como a ISO 31000, que será abordada mais adiante.

Saiba mais

Aprofundar-se nos conceitos da gestão de riscos faz com que o gestor

seja mais consciente de suas responsabilidades nessa área. Saiba mais com
a leitura de:

AMARO, A. Consciência e cultura do risco nas organizações. Territorium,

n. 12, 5-9, 9 set. 2005. Disponível em: https://impactum-journals.uc.pt/
territorium/article/view/3372/2612. Acesso em: 13 nov. 2019.

5.2 Elementos complementares da análise de risco

O gestor pode complementar informações para subsidiar análise de riscos. Além da descrição
do risco, impacto, evento deflagrador e medidas corretivas e preventivas, podem ser agregados os
seguintes dados:

• Orientação: o que fazer diante da identificação do possível risco.

• Ação: descrever a ação ou ações específicas em cada caso, sejam preventivas ou corretivas.

• Responsável: quem efetivamente executará cada ação, preventiva ou corretiva.

• Prazo: estabelecimento de prazo para cada ação a ser executada.

Para ilustrar o acréscimo dos elementos citados, segue exemplo oriundo de pesquisa realizada numa
empresa de autopeças, que pode ser observado no quadro a seguir:

83
 Unidade III

Quadro 9 – Análise de riscos

Probabilidade

Grau impacto

intervenção
Preventiva Coletiva

Orientação
Atividade

Risco

Ação Responsável Prazo Ação Responsável Prazo

Processo Atuar no
Estudos Segregar
fora do Muito controle do
iniciais do Baixa Mitigar Operador Imediato as peças e Operador Imediato
padrão alto processo
processo inspecionar
Cpk através CEP
Estudos de Treinar
análises Resultado Segreagar
operadores, De acordo
dos Muito Dpto. de peças
sistemas danão...
análise Remota Mitigar calibrar com Operador Imediato
alto qualidade planejamento do lote
instrumentos
de analisado
de medição
medição

Fonte: Silva et al. (2010, p. 208).

Observa-se no exemplo anterior que, apesar de as probabilidades serem consideradas baixas e

remotas, o grau de impacto, caso ocorra, seria muito alto. A orientação de mitigar o risco (torná-lo
mais brando ou suave) seria através das ações preventivas especificadas. Caso o risco se concretize,
seguem as ações corretivas. Há também prazos e responsáveis para as ações de prevenção e correção.
Convém notar que a figura mostra apenas um exemplo de análise e o seu formato é exatamente o que
foi extraído na fonte referenciada.

Saiba mais

Leia o artigo científico completo:

SILVA, C. E. S. da. et al. Aplicação do gerenciamento de riscos no processo

de desenvolvimento de produtos nas empresas de autopeças. Revista
Produção, v. 20, n. 2., p. 200-203, abr./jun. 2010. Disponível em: http://www.
scielo.br/pdf/prod/v20n2/aop_200812132.pdf. Acesso em: 13 nov. 2019.

Outro ponto importante está relacionado com os princípios da gestão de riscos. Por exemplo, a
Controladoria Geral da União (CGU) estabelece como princípios os seguintes pontos:

• proteção do ambiente interno como forma de garantir a atividade desenvolvida pela organização,
em ambiente corporativo saudável;

• a atividade de gerir riscos é própria de todas as áreas da organização;

• a gestão de riscos auxilia a tomada de decisões por parte da área estratégica da organização;

• a incerteza é abordada sem rodeios, de forma objetiva;

84
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

• tudo deve ser sistematizado de forma estruturada;

• as informações são fidedignas;

• a análise considera aspectos próprios da cultura e dos recursos humanos envolvidos;

• a administração de riscos:

— é absolutamente transparente;

— é dinâmica e capaz de mudanças, se necessário;

— é um instrumento de apoio da melhoria contínua de toda a organização;

— está integrada às inovações.

Cada organização pode adaptar estes e outros princípios, mas o importante é fazer com que
a gestão de riscos seja um instrumento organizacional que apoie e auxilie o desenvolvimento da
organização, bem como uma ferramenta eficiente e eficaz no gerenciamento de possíveis ocorrências
de risco. O comitê de riscos pode, por exemplo, fazer reuniões periódicas com os vários setores da
organização, para atualizar os estudos na área.

O quadro a seguir expressa tais princípios no âmbito da CGU:

Quadro 10 – Gestão de riscos CGU

Princípios da gestão de riscos da CGU

Agregar valor e proteger o ambiente interno da CGU.
Ser parte integrante dos processos organizacionais.
Subsidiar a tomada de decisões.
Abordar explicitamente a incerteza.
Ser sistemática, estruturada e oportuna.
Ser baseada nas melhores informações disponíveis.
Considerar fatores humanos e culturais.
Ser transparente e inclusiva.
Ser dinâmica, interativa e capaz de reagir a mudanças.
Apoiar a melhoria contínua da CGU.
Estar integrada às oportunidades e à inovação.

Adaptado de: CGU (2018, p. 9).

85
 Unidade III

5.3 Fontes para estudos da gestão de riscos

Há uma série de fontes importantes para o estudo e o aperfeiçoamento da área de gestão de

riscos. Uma delas é a publicação de um comitê americano, conhecida por Committee of Sponsoring
Organizations/Enterprise Risk Management Framework (Coso/ERM):

Committee of Sponsoring Organizations (Coso) é o Comitê das

Organizações Patrocinadora da Comissão Nacional sobre Fraudes em
Relatórios Financeiros. Criada em 1985, é uma entidade do setor privado
– ou seja, iniciativa independente –, sem fins lucrativos, voltada para o
aperfeiçoamento da qualidade de relatórios financeiros, principalmente
para estudar as causas da ocorrência de fraudes em relatórios financeiros.
Cabe ressaltar que a origem do modelo Coso está relacionada a um grande
número de escândalos financeiros na década de 1970 nos Estados Unidos,
que colocaram em dúvida a confiabilidade dos relatórios corporativos
(ENAP, 2018, p. 6).

O trabalho do Coso/ERM (ERM traduzido por Gerenciamento de Riscos Corporativos/Estrutura

Integrada) fornece parâmetros para uma gestão de riscos para qualquer organização. A Pricewaterhouse
Coopers traduziu o trabalho do Coso e, a seguir, alguns dados do que estão consignados naquele manual.

O Coso/ERM aborda objetivos vinculados aos níveis:

• estratégicos: definições de acordo com a missão da organização;

• operacionais: eficiência e eficácia nas operações;

• de comunicação: relatórios transparentes;

• conformidade: respeito às leis e normas.

Além dos objetivos, elencam-se os componentes do gerenciamento de riscos, que são: ambiente
interno, fixação de objetivos, identificação de eventos, avaliação de riscos, respostas a riscos, atividades
de controle, informações e comunicações, monitoramento.

Cada um desses componentes é uma coluna importante na medida em que fortalecem a estrutura
de toda a análise e as providências pertinentes numa situação de risco. A análise do ambiente interno
subsidia todos os componentes seguintes, pois, com base no que se obtém com a análise do ambiente,
são feitas: a fixação de objetivos, a identificação de situações de risco, a avaliação de cada uma
dessas situações, as respostas possíveis a elas, as atividades de controle e todas as informações e
comunicações pertinentes.

A atividade de monitoramento é especialmente importante porque permite que todo o contexto

seja atualizado constantemente. A organização é dinâmica. As melhores análises e diagnósticos são
86
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

fotografias que examinam situações obtidas num determinado contexto (horário, dia, componentes
etc.). Basta chegar uma máquina nova ou a criação de um novo setor que a organização já não é a
mesma que a diagnosticada nos estudos anteriores.

O monitoramento contínuo permite atualizações desse cenário, de forma que a gestão de riscos
esteja sempre atualizada e pronta a interagir em ocorrências que possam trazer danos à organização.

Além dos objetivos e dos componentes, o manual do Coso trata também dos diversos níveis e
unidades da organização, que são citados como nível, divisão, unidade de negócio e subsidiária.
É evidente que cada organização se diferencia pelo seu tamanho, organograma, estrutura interna,
departamentos etc.

A figura a seguir mostra, na concepção do Coso, a inter-relação entre os objetivos citados, os

componentes do gerenciamento de riscos e os diversos níveis da organização.

al o de
gico
cion icaçã ida
até era un for
m
str Op m n
E Co Co

Ambiente interno

Unidade de negócio
Fixação de objetivos
Subsidiária
Identificação de eventos
Nível de organização

Divisão

Avaliação de riscos

Resposta a risco

Atividades de controle

Informações e comunicações

Monitoramento

Figura 13 – Coso/ERM

O bom gerenciamento de riscos deve interagir com todos os níveis da organização, com todas as
suas unidades e deve conter todos os componentes necessários para que a atividade seja eficiente
e eficaz.

87
 Unidade III

Saiba mais

Leia a tradução completa da obra Coso/ERM em:

STEINBERG, R. M. et al. Coso: gerenciamento de riscos corporativos –

estrutura integrada. Boston: PWC, 2007. Disponível em: https://www.coso.
org/Documents/Coso-ERM-Executive-Summary-Portuguese.pdf. Acesso
em: 13 nov. 2019.

Outra importante fonte de estudos é o que está estabelecido na norma ISO 31000. A International
Organization for Standardization (ISO) é uma organização que promove estudos de padronização em
vários segmentos. Desenvolve normas e testes e tem representantes de vários países. Há exemplos de
trabalhos reconhecidos internacionalmente, como a ISO 9000, que trata da gestão da qualidade, e a
ISO 14000, que trata da certificação ambiental.

Na área de riscos foi desenvolvida a ISO 31000:

A ABNT NBR ISO 31000 foi elaborada pela Comissão de Estudo

Especial de Gestão de Riscos (CEE- 63), sendo uma adoção idêntica,
em conteúdo técnico, estrutura e redação, à ISO 31000:2009, que foi
elaborada pela ISO Technical Management Board Working Group on
risk management (ISO/TMB/WG), conforme ISO/IEC Guide 21-1:2005.

Quando implementada e mantida de acordo com essa Norma, a gestão dos

riscos possibilita à organização inúmeros benefícios dos quais destacamos:

• aumentar a probabilidade de atingir os objetivos;

• encorajar uma gestão proativa;

• estar atento para a necessidade de identificar e tratar os riscos através

de toda a organização;

• melhorar a identificação de oportunidades e ameaças;

• atender às normas internacionais e requisitos legais e regulatórios

pertinentes;

• melhorar o reporte das informações financeiras;

• melhorar a governança;

88
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

• melhorar a confiança das partes interessadas;

• estabelecer uma base confiável para a tomada de decisão e o

planejamento;

• melhorar os controles;

• alocar e utilizar eficazmente os recursos para o tratamento de riscos;

• melhorar a eficácia e a eficiência operacional;

• melhorar o desempenho em saúde e segurança, bem como a proteção

do meio ambiente;

• melhorar a prevenção de perdas e a gestão de incidentes;

• minimizar perdas;

• melhorar a aprendizagem organizacional; e

• aumentar a resiliência da organização (ENAP, 2018, p. 6-7).

A norma ISO 31000 busca desenvolver uma visão sistêmica da área de riscos, com estímulos
importantes como o atendimento às normas internacionais (além de outros regramentos) e a confiança
dos envolvidos no processo.

Nesse ponto é importante ressaltar que exatamente como outras normas (a ISO 9000 ou a
ISO 14000) a ISO 31000 não é obrigatória. É norma de implantação volitiva, ou seja, depende
da vontade da organização implantá-la. Contudo, uma organização que trate seus riscos com
parâmetros internacionais naturalmente adquire maior confiança e credibilidade de todos os
stakeholders, tais como órgãos governamentais, acionistas e fornecedores.

Em termos gerais, a ISO 31000 inicia com um estudo da organização, que estabelece o contexto no
qual a norma deve ser aplicada. Desse ponto, passa-se, então, para o processo de avaliação de riscos
que abrange:

• identificação dos riscos: situações que podem gerar ocorrências danosas à organização;

• análise de riscos: pontos na organização que eventualmente possam gerar riscos;

• avaliação de riscos: probabilidade de ocorrência e danos relacionados a cada probabilidade de

ocorrência detectada;

89
 Unidade III

• tratamentos de riscos: verificação de providências que possam mitigar ou eliminar determinados

riscos detectados.

Além dos itens citados há a comunicação e consulta e o monitoramento e a análise crítica.

A comunicação e consulta é a atividade permanente em toda a organização que auxilia todo

o gerenciamento de crises. Os setores devem ser ouvidos permanentemente, pois as áreas táticas e
operacionais podem detectar determinados riscos especialmente quando houver mudanças como:

• instituição de novos processos na área produtiva;

• instituição de novas máquinas e/ou equipamentos.

Periodicamente devem ser feitas reuniões para que eventuais mudanças possam ser avaliadas, haja
vista o dinamismo das organizações. Além disso, deve haver o monitoramento constante de todos os
processos pertinentes às análises de riscos e, ainda, às análises críticas.

A análise crítica busca estudar todo um processo, perceber seus pontos positivos e negativos e
estabelecer soluções para eventuais problemas encontrados num determinado contexto.

Por exemplo, se uma determinada máquina ou equipamento utilizar mais energia que outras já em
uso, a análise crítica questionará:

• Tal máquina pode/deve permanecer na área em que foi depositada?

• Qual a razão de utilizar mais energia elétrica que as demais?

• A fiação e demais instalações locais suportam a utilização de tal equipamento?

• Tal máquina ou equipamento é realmente necessário? Quais os benefícios que trará?

• É possível adaptar as instalações para a utilização do equipamento apontado?

• Os gastos com a adaptação são compensados pelos benefícios que trará?

• Haverá aumento de riscos com a implantação de tal equipamento?

• Quais os riscos envolvidos?

Enfim, a análise crítica trará elementos de decisão importantes para que a gestão de riscos possa
decidir se a implantação e utilização do novo equipamento devem ser realizadas ou não.

A figura a seguir traz uma síntese do processo de gestão de riscos, segundo a ISO 31000:

90
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

Estabelecimento do contexto

Processo de avaliação de riscos

Identificação de riscos

Comunicação e Análise de riscos Monitoramento e

consulta análise crítica

Avaliação de riscos

Tratamento de riscos

Figura 14 – Processo de gestão de riscos segundo a ISO 31000

Saiba mais

O gerenciamento de riscos e a ISO 31000 adquirem cada vez mais

importância nas diretrizes administrativas das organizações. Leia a seguir o
artigo que estabelece uma comparação entre o guia PMBOK e a ISO 31000:

FONTE, E. C. da. Gerenciamento de riscos: uma comparação entre o guia

PMBOK 6ª edição e a ISO 31000:2018. Revista Boletim do Gerenciamento,
n. 4, p. 22-32, 2019. Disponível em: https://nppg.org.br/revistas/
boletimdogerenciamento/article/view/63/152. Acesso em: 26 nov. 2019.

91
 Unidade III

O Reino Unido a partir de 2001 implantou um abrangente programa de gerenciamento de riscos

baseado em princípios amplamente utilizados internacionalmente. Tais princípios estão relacionados
numa obra publicada pelo Her Majesty’s Treasury ou HM Treasury, departamento inglês responsável
pela política econômica do país. O documento foi intitulado The orange book: management of risk –
principles and concepts.

5.3.1 Orange book

O documento The orange book: management of risk – principles and concepts (O livro laranja:
gerenciamento de riscos – princípios e conceitos) foi produzido e publicado pelo HM Treasury do Governo
Britânico, sendo amplamente utilizado como a principal referência do Programa de Gerenciamento de
Riscos do Governo do Reino Unido, iniciado em 2001. O documento foi atualizado em 2004.

Segundo o Projeto de Desenvolvimento do Guia de Orientação para o Gerenciamento de Riscos

desenvolvido pelo MP, Programa Gespública, o Orange book tem como vantagens – além de ser
compatível com padrões internacionais de gerenciamento de riscos – apresentar uma introdução ao
tema gerenciamento de riscos, tratando de forma abrangente e simples um assunto tão complexo.

Ainda do ponto de vista do referido projeto, riscos devem ser gerenciados em três níveis: estratégico,
de programas e de projetos e atividades. A organização deve ser capaz de gerenciar riscos nos três níveis.
Vejamos alguns detalhes sobre cada um desses níveis:

Nível estratégico

Nesse nível, acontece o contrato político do governo com a sociedade

e é estabelecida a coerência do seu programa de governo. As decisões
aqui tomadas envolvem a formulação dos objetivos estratégicos e as
prioridades para a alocação de recursos públicos em alinhamento com
as políticas públicas.

Nível programa

Neste nível, encontram-se as decisões de implementação e gerenciamento

de programas temáticos previstos no nível estratégico, através dos quais são
executadas as políticas e as ações prioritárias de governo.

Nível projetos e atividades

Neste nível, encontram-se os projetos que contribuirão para o atingimento dos

objetivos dos programas, e as atividades relativas aos processos finalísticos.
As lideranças em todos os níveis da organização devem estar conscientes,
capacitadas e motivadas com relação à relevância do gerenciamento de
riscos nos três níveis, que são interdependentes (ENAP, 2018, p. 10).

92
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

Os pontos que permeiam as atividades nos níveis estratégico, de programa e de projetos e atividades
permitem identificar e planejar o que deve ser implementado, decidido e estimulado por cada nível
envolvido da organização. Observe que tendo como origem um departamento do poder público inglês,
há referências como políticas públicas e alocação de recursos públicos. O Orange book é tido como
orientador da gestão de riscos em empresas governamentais.

Complementando os elementos necessários à análise de riscos é conveniente ressaltar que os objetivos

de cada organização devem sempre estar presentes em todas as formulações. Isso orienta o comitê de
riscos a trabalhar os objetivos explicitados em direção absolutamente alinhada e complementar.

Para exemplificar, veja o quadro a seguir. Nele estão claros os objetivos da CGU em relação à gestão
de riscos.

Quadro 11 – Gestão de riscos CGU

Objetivos da gestão de riscos da CGU

Aumentar a probabilidade de atingimento dos objetivos da CGU.
Fomentar uma gestão proativa.
Atentar para a necessidade de se identificar e tratar riscos em toda a CGU.
Facilitar a identificação de oportunidades e ameaças.
Prezar pelas conformidades legal e normativa dos processos organizacionais.
Melhorar a prestação de contas à sociedade.
Melhorar a governança.
Estabelecer uma base confiável para a tomada de decisão e o planejamento.
Melhorar o controle interno da gestão.
Alocar e utilizar eficazmente os recursos para a mitigação de riscos.
Melhorar a eficácia e a eficiência operacional.
Melhorar a prevenção de perdas e a gestão de incidentes.
Minimizar perdas.
Melhorar a aprendizagem organizacional.
Aumentar a capacidade da organização de se adaptar a mudanças.

Adaptado de: CGU (2018, p. 9).

Os objetivos deixam explícitos que a gestão de riscos deve melhorar de forma geral toda a organização,
seja aumentando a probabilidade de atingir seus objetivos, seja para estimular a proatividade, seja para
cumprir os regramentos a que a organização está sujeita, seja para melhorar as operações, seja para melhorar
o aprendizado organizacional, seja para estabelecer e retroalimentar uma gestão sistêmica de riscos.

Cada organização deve estabelecer claramente seus objetivos em relação à gestão de riscos,
comunicando a todos os setores que tal atividade deve ser compromisso de todos com a segurança e
continuidade de negócios da organização.

93
 Unidade III

Observação

Sempre que possível, consulte as fontes no idioma original.

Internacionalmente, o inglês é o idioma bastante utilizado em estudos e
pesquisas, além de referências internacionais. Estudar inglês é ótimo para
a carreira nesta área.

Saiba mais

Leia o Coso/ERM e o Orange book no original, em inglês:

SCHANDL, A.; FOSTER, P. L. Coso internal control – integrated framework:

an implementation guide for the healthcare provider industry. Nova York:
Coso, 2019. Disponível em: https://www.coso.org/Documents/Coso-CROWE-
Coso-Internal-Control-Integrated-Framework.pdf. Acesso em: 14 nov. 2019.

HM GOVERNMENT. The orange book: management of risk – principles

and concepts. 2019. Disponível em: https://assets.publishing.service.gov.
uk/government/uploads/system/uploads/attachment_data/file/815635/
Orange_Book_Management_of_Risk.pdf. Acesso em: 14 nov. 2019.

6 TÉCNICAS DE ANÁLISES DE RISCOS

As técnicas de análise de risco variam. Podem se basear em cálculos bastante complexos oriundos
de organizações especializadas nas avaliações de nichos específicos ou na observação atenta do
operador responsável pela análise. De uma forma geral, as melhores análises de risco estão baseadas no
equacionamento de duas vertentes básicas: a probabilidade do risco e o impacto.

6.1 Considerações básicas sobre as análises de riscos

O primeiro ponto a ser definido é que a análise do risco deve e precisa ser absolutamente individual
para cada ocorrência possível. Fazer uma única análise de risco para ocorrências semelhantes não é uma
boa prática. Por exemplo, uma empresa possui cinco linhas de produção. Ainda que sejam parecidas, as
análises de risco devem contemplar cada uma, com suas especificidades. Para cada linha, alguns dados
que podem auxiliar numa análise pertinente dos possíveis riscos:

• Qual produto é fabricado em cada uma das linhas?

• Qual a velocidade de produção em cada uma delas?

94
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

• Quantos funcionários trabalham em cada uma?

• Quantos turnos de trabalho em cada uma das linhas?

• Qual o histórico de interrupções e quais as razões?

Tais questionamentos permitiriam saber, por exemplo, as linhas com maior incidência de interrupção
de trabalho e quais os motivos que levaram às interrupções. Por exemplo, um problema de manutenção
registrado numa única linha pode se repetir nas outras. Um eventual acidente de trabalho com
determinado funcionário pode ocorrer novamente com outros trabalhadores.

A individualização do contexto e da compreensão das atividades é fundamental. Posteriormente,

podem ser estabelecidas relações que podem evitar problemas semelhantes já ocorridos.

Outro fator determinante para a análise de riscos é verificar o impacto que determinado evento
poderia trazer para a organização.

A respeito do impacto, o manual da CGU estabelece:

Considerando o resultado da etapa de Entendimento do Contexto, o fluxo

do processo organizacional e a partir da experiência da equipe técnica
designada deve-se construir uma lista abrangente de eventos que podem
evitar, atrasar, prejudicar ou impedir o cumprimento dos objetivos do
processo organizacional ou das suas etapas críticas. Os riscos podem ser
identificados a partir de perguntas, como:

• Quais eventos podem evitar o atingimento de um ou mais objetivos

do processo organizacional?

• Quais eventos podem atrasar o atingimento de um ou mais objetivos

do processo organizacional?

• Quais eventos podem prejudicar o atingimento de um ou mais

objetivos do processo organizacional?

• Quais eventos podem impedir o atingimento de um ou mais objetivos

do processo organizacional? (CGU, 2018, p. 19).

Após a individualização de possibilidade de ocorrência de cada evento, o estabelecimento do impacto

permitirá orientar a organização para o enfrentamento possível do risco estudado. E, nesse contexto,
os estudos devem estar relacionados aos objetivos da organização: o impacto poderá evitar, atrasar,
prejudicar ou impedir tais objetivos? Quanto maior a relevância do impacto, mais os objetivos serão
impactados, chegando até, numa proporção extremada, a impedir que a organização continue existindo.

95
 Unidade III

Por exemplo, uma empresa que tenha em seu estoque 1 milhão de litros de combustível (tipo
gasolina) estocados num único tanque que fica próximo às instalações produtivas e administrativas.

Risco 1

Pequeno vazamento de 10 litros de combustível. Se o vazamento for monitorado, imediatamente é

contido e o incidente não possui maior relevância, seja na continuidade dos negócios da empresa, seja
no aspecto do prejuízo financeiro.

Risco 2

O tanque com 1 milhão de litros de combustível pode explodir e causar mortes e ferimentos seríssimos,
além de destruir completamente a organização. Como resultado, pode ocorrer a descontinuidade dos
negócios (extinção da empresa), com prejuízos financeiros de grande monta.

Portanto, a identificação dos impactos é fundamental para uma correta análise dos riscos.

Outro ponto relevante é a análise das possíveis causas das ocorrências citadas no exemplo. Por que o
tanque explodiria? Quais motivações poderiam levar a tal incidente? Da mesma forma, por que haveria
um vazamento pequeno no tanque?

Tais questões propiciam um planejamento adequado e uma verificação das possíveis causas
geradoras de eventos críticos. Por exemplo, se há uma ligação elétrica muito próxima do tanque citado,
esta pode ser transferida para evitar um evento deflagrador de uma explosão. A válvula de contenção
do combustível deve ser periodicamente verificada para evitar um vazamento.

Além disso, devem-se analisar possíveis ações criminosas, como fraudes com o objetivo de prejudicar
a organização. Nesse caso, providências como o monitoramento constante do espaço físico, seja através
de câmaras de monitoramento, seja através de vigilantes, permitem a manutenção de um ambiente de
segurança adequado.

Explorando, ainda, a abordagem e controle dos eventos identificados nos estudos iniciais, a CGU
observa que:

Os eventos identificados inicialmente podem ser analisados e revisados,

reorganizados, reformulados e até eliminados nessa etapa, e, para tanto,
podem ser utilizadas as seguintes questões:

• O evento é um risco que pode comprometer claramente um objetivo

do processo?

• O evento é um risco ou uma falha no desenho do processo

organizacional?

96
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

• À luz dos objetivos do processo organizacional, o evento identificado

é um risco ou uma causa para um risco?

• O evento é um risco ou uma fragilidade em um controle para tratar

um risco do processo? (CGU, 2018, p. 19).

Por exemplo, se o gestor tiver a absoluta certeza de que uma explosão só poderia ser originada de
um ato de sabotagem e de nenhum outro evento oriundo da manutenção ou da operação normal dos
trabalhos, o foco na segurança será maior e mais justificado, permitindo que as energias sejam alocadas
para esta vertente.

Observação

O monitoramento por câmeras deve ter operadores adequados para a

intervenção necessária. Há organizações que filmam todo o espaço físico,
muitas vezes com centenas de câmeras, mas não há um ser humano capaz
de intervir nas situações observadas. Por exemplo, um princípio de incêndio
devidamente observado e com intervenção imediata pode não gerar um
evento crítico para a empresa, como um incêndio de grandes proporções.

Como lembra Barros (2013, p. 75-76), há diversas técnicas e ferramentas para a análise de riscos.
Para conhecimento, as principais são elencadas:

• Análise preliminar de perigo (APP ou APR [de risco]).

• Análise de risco do processo – hazard operability (Hazop).

• Análise pela árvore de causas (AAC).

• Análise por árvore de falhas (AAF).

• Análise por árvore de eventos (AAE).

• Análise dos modos de falhas e efeitos (Amfe).

• E se? What if?

• Lista de verificação.

• Técnica do incidente crítico (TIC).

• Análise pela matriz das interações.

97
 Unidade III

• Inspeção planejada (IP).

• Registro e análise de ocorrências (RAO).

Cada uma delas possui especificidade própria e pode se adequar de forma completa ou parcial em
cada organização.

Por exemplo, o método que analisa especificamente processos (formas de fazer determinadas coisas,
cada etapa do trabalho) pode ser o fornecido pela análise de risco do processo – hazard operability
(Hazop). Por tal método são especificados os elementos e etapas do trabalho, bem como a identificação
das variáveis, possíveis desvios e perigos. A CGU, após a identificação de cada etapa dos processos,
classifica os possíveis riscos em categorias e explora as possíveis causas.

Para eventos identificados e analisados como riscos do processo, deve-se indicar:

• Objetivo do processo organizacional/etapa impactado pelo risco;

• Categoria do risco, dentre as definidas para a CGU:

— Operacional: eventos que podem comprometer as atividades da

CGU, normalmente associados a falhas, deficiência ou inadequação
de processos internos, pessoas, infraestrutura e sistemas;

— Legal: eventos derivados de alterações legislativas ou normativas

que podem comprometer as atividades da CGU;

— Financeiro/orçamentário: eventos que podem comprometer a

capacidade da CGU de contar com os recursos orçamentários e
financeiros necessários à realização de suas atividades, ou eventos
que possam comprometer a própria execução orçamentária, como
atrasos no cronograma de licitações;

— Integridade: eventos relacionados a corrupção, fraudes, irregularidades

e/ou desvios éticos e de conduta que podem comprometer os valores
e padrões preconizados pela CGU e a realização de seus objetivos.

• Causas: motivos que podem promover a ocorrência do risco;

• Consequências: resultados do risco que afetam os objetivos;

• Controles preventivos: controles existentes e que atuam sobre as

possíveis causas do risco, com o objetivo de prevenir a sua ocorrência.
Exemplos de controles preventivos: requisitos/checklist definidos para
o processo e capacitação dos servidores envolvidos no processo;
98
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

• Controles de atenuação e recuperação: controles existentes

executados após a ocorrência do risco com o intuito de diminuir o
impacto de suas consequências. Exemplos de controles de atenuação
e recuperação: plano de contingência; tomada de contas especiais;
procedimento apuratório (CGU, 2018, p. 19-20).

Tais formulações permitem um trabalho mais coeso e organizado e, por conseguinte, decisões mais
apropriadas. Mais adiante serão abordados alguns detalhes destas ferramentas.

Saiba mais

Conheça mais detalhes da análise desenvolvida pelo método Hazop

com a leitura de:

SANTOS, W. L. dos; THEOBALD, R. Estudo de perigos e operabiliade

(Hazop) em uma planta piloto de desestabilização de emulsões de petróleo
via micro-ondas. In: ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCAO,
33, 2013, Salvador, BA, A gestão dos processos de produção e as parcerias
globais para o desenvolvimento sustentável dos sistemas produtivos.
Disponível em: http://www.abepro.org.br/biblioteca/enegep2013_TN_
STO_180_028_23092.pdf. Acesso em: 26 nov. 2019.

Apenas para enfatizar o que até aqui foi abordado, independentemente de técnicas específicas, há
vertentes que não podem ser esquecidas: um diagnóstico preciso e detalhado de tudo o que ocorre
na organização (atividades, processos), os riscos inerentes ao que foi estabelecido nesse diagnóstico e,
caso os eventos críticos se confirmem, qual ou quais os impactos que poderão ocorrer em relação aos
objetivos da organização.

Outro ponto a considerar é a distinção que alguns autores fazem entre risco e perigo. Perigo
seria algo possível de ocorrer. Risco está vinculado à organização de forma concreta. Serrano
(2009, p. 233) aduz:

A diferença risco/perigo indica que, para ser definido o conceito de risco,

precisamos do conceito de perigo e o oposto. Por exemplo, uma inundação é
um perigo, porém, aquele que constrói sua casa no leito de um rio expõe‑se
a um risco. Um furacão é um perigo, mas quem provoca o aquecimento
global se (e nos) expõe a um risco.

Apesar das inundações oriundas de chuvas fortes serem um perigo real, se a empresa estiver numa
área propícia a enchentes, deve analisar tal situação sob a perspectiva de risco.

99
 Unidade III

6.2 Exemplos práticos de análises de riscos

A seguir serão apresentadas algumas análises de risco baseadas em dois métodos: um mais simples
e objetivo, o método 1, baseado em Caruso e Steffen (2006, p. 6), em que as análises são processadas
de uma forma mais rápida e atende aos objetivos da gestão de riscos. E outro método pouco mais
complexo, baseado nas análises recomendadas pela CGU, de acordo com as práticas do Tribunal de
Contas da União (TCU).

No primeiro método, que batizamos de método 1, há definições de probabilidade e consequência

(impacto) divididas em quatro níveis. Para a probabilidade de risco há os níveis extremamente improvável,
improvável, possível e bem possível ou já ocorrida. E para a consequência ou impacto há os níveis de
insignificante, média, alta e ameaça ao negócio.

Tabela 1 – Tabela de probabilidades X consequências – Método 1

Probabilidade (P) Consequência (C)

1 Extremamente improvável Insignificante 1

2 Improvável Média 2
3 Possível Alta 3
4 Bem possível ou já ocorrida Ameaça ao negócio 4

Fonte: Caruso e Steffen (2006, p. 6).

Análise:

R=P×C

Sendo que:

R = Grau de risco

P = Probabilidade

C = Consequência

1 <R <4 = Risco baixo

4 <R <6 = Risco médio

6 <R <9 = Risco alto

R> 9 = Crítico

100
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

Observe, ainda, os fatores de análise:

• Fator probabilidade:

— Extremamente improvável: quando a probabilidade de ocorrência é ínfima. O gestor

estabelece esse critério quando realmente a ocorrência é extremamente rara.

— Improvável: tal critério é estabelecido quando a ocorrência é rara, de ocorrência improvável.

— Possível: quando há a possibilidade de a ocorrência se materializar.

— Bem possível ou já ocorrida: quando a ocorrência tem forte possibilidade de ocorrer ou já ocorreu.

• Fator consequência:

— Insignificante: se o fato estudado efetivamente ocorrer, mas não representar qualquer impacto
na segurança da organização.

— Média: tal critério é estabelecido quando a ocorrência possa trazer consequências médias para
a organização.

— Alta: quando há possibilidade de consequências graves.

— Ameaça ao negócio: quando a ocorrência tem o potencial de comprometer a existência

da organização.

Portanto, o nível de risco é definido pela multiplicação das colunas probabilidade (P) e consequência (C).
Após a multiplicação, o nível pode ser classificado de baixo (se a multiplicação ficar entre 1 e menos
que 4), médio (igual ou maior que 4 e menor que 6), alto (igual ou maior que 6 e menor que 9) e crítico
(maior que 9, sendo o grau máximo 16).

Em relação ao método 1, uma observação importante: é um método bastante simples e, ao mesmo

tempo, eficiente. Permite uma análise bastante rápida e pode ser usado para complementar uma análise
de maior relevância ou, até mesmo, ser o único método em análise menos relevante. Observe os exemplos
a seguir:

Exemplo 1

Análise do fato mais relevante.

Hipótese

Instalações que armazenem material inflamável. É uma situação de relevância, pois, se houver
algum acidente, pode gerar danos bastante significativos. O método 1 deve ser utilizado como
101
 Unidade III

complementar, sendo importante a utilização de outros métodos, para que a análise seja a mais
ampla possível em função da relevância. De qualquer forma, nesse caso, uma possível análise está
representada na tabela a seguir:

Tabela 2 – Análise de fato de maior relevância (método 1)

Método 1: instalações com combustível

Probabilidade (P) Consequência (C)
1 Extremamente improvável Insignificante 1
2 Improvável Média 2
3 Possível X X Alta 3
4 Bem possível ou já ocorrida Ameaça ao negócio 4

Fonte: Caruso e Steffen (2006, p. 6).

No caso específico, foi considerado que, se o combustível pegasse fogo, por exemplo, a consequência
seria alta. Conforme a análise realizada, as circunstâncias apresentadas indicaram uma ocorrência
possível. Nesse caso, temos: R= 3 × 3 → R = 9. Ou seja, o risco é igual a 9, que define um risco alto.
Nesse caso é importante se concentrar, ao máximo, nas medidas preventivas, além da utilização de
outros métodos, principalmente aqueles vinculados à saúde e à segurança do trabalho.

Exemplo 2

Análise de fato menos relevante.

Hipótese

Possibilidade de um carro da empresa ter o pneu furado nas garagens internas. O método 1 pode
ser utilizado como principal, haja vista que a ocorrência não trará problemas de maior relevância.
Evidentemente que tal método pode também ser utilizado em outras situações. Contudo, para situações
mais complexas pode ser utilizado o método que apresentaremos a seguir.

Nesse caso, uma possível análise está representada na tabela a seguir:

Tabela 3 – Análise de fato de menor relevância (método 1)

Método 1: pneu furado nas garagens da empresa

Probabilidade (P) Consequência (C)
1 Extremamente improvável X Insignificante 1
2 Improvável Média 2
3 Possível Alta 3
4 Bem possível ou já ocorrida X Ameaça ao negócio 4

Fonte: Caruso e Steffen (2006, p. 6).

102
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

No caso específico, a ocorrência de um pneu furado nas dependências da organização pode ser
considerada um evento de forte probabilidade ou, até mesmo, conforme o caso concreto, de fato já
ocorrido. Contudo, apesar do incômodo, um pneu furado não tem a relevância para causar maiores
riscos. Nesse caso, temos: R= 4 × 1 → R = 4. Ou seja, o risco é igual a 4, que define um risco médio. Aqui
é importante verificar as possibilidades de enfrentamento adequado do problema, como a reposição
imediata do pneu furado, a devida sinalização interna, entre outras providências. Observe que o risco
somente é médio em função da alta possibilidade de ocorrência.

Há tabelas mais complexas que naturalmente podem ser aplicadas em organizações mais complexas.
A CGU, baseada nas formulações do TCU, recomenda um programa específico de gestão de riscos, que
estabelece a seguinte escala de probabilidade:

Quadro 12 – Gestão de Riscos CGU

Escala de probabilidade
Probabilidade Descrição da probabilidade, desconsiderando os controles Peso
Improvável. Em situações excepcionais, o evento poderá até ocorrer, mas
Muito baixa 1
nada nas circunstâncias indica essa possibilidade.
Rara. De forma inesperada ou casual, o evento poderá ocorrer, pois as
Baixa 2
circunstâncias pouco indicam essa possibilidade.
Possível. De alguma forma, o evento poderá ocorrer, pois as
Média 5
circunstâncias indicam moderadamente essa possibilidade.
Provável. De forma até esperada, o evento poderá ocorrer, pois as
Alta 8
circunstâncias indicam fortemente essa possibilidade.
Praticamente certa. De forma inequívoca, o evento ocorrerá, as
Muito alta 10
circunstâncias indicam claramente essa possibilidade.

Fonte: CGU (2018, p. 20).

A escala de probabilidade apontada no quadro anterior estabelece pesos que variam de

1 a 10. A classificação deve ser criteriosa, haja vista as especificidades de cada ocorrência.
As ocorrências no aspecto estatístico podem ser consideradas, através de pesquisas oficiais,
de pesquisas próprias e, até mesmo, de certas experiências empíricas. Por exemplo, a
probabilidade de um avião cair numa casa. Mesmo sem qualquer estatística oficial é forçoso
admitir que tal ocorrência seja raríssima. Logo, se for necessário classificar tal ocorrência na
escala estabelecida, dificilmente haverá outra classificação que não a de “muito baixa”, ou,
pela tabela, com o peso 1. Já furar o pneu de um carro em trânsito por qualquer município do
Brasil e, evidentemente, sem considerar as circunstâncias dos pneus utilizados (se estão em
mau estado, por exemplo, o que aumentaria a possibilidade de furarem) seria razoável arbitrar
o risco com o peso 2.

Já os impactos também são definidos numa escala de 1 a 10. Da mesma forma que o método 1, os
valores devem ser multiplicados e o resultado obtido pode variar de 1 a 100.

103
 Unidade III

Quadro 13 – Escala de impacto CGU

Escala de impacto
Impacto Descrição do impacto nos objetivos, caso o evento ocorra Peso
Mínimo impacto nos objetivos (estratégicos, operacionais, de
Muito baixo 1
informação/comunicação/divulgação ou de conformidade).
Baixo Pequeno impacto nos objetivos (idem). 2
Médio Moderado impacto nos objetivos (idem), porém recuperável. 5
Alto Significativo impacto nos objetivos (idem), de difícil reversão. 8
Muito alto Catastrófico impacto nos objetivos (idem), de forma irreversível. 10

Fonte: CGU (2018, p. 20).

RI = NP × NI

Em que:

RI = Nível do risco inerente

NP = Nível de probabilidade do risco

NI = Nível de impacto do risco

Quadro 14 – Classificação de risco CGU

Classificação do risco
Classificação Faixa
Risco baixo (RB) 0 – 9,99
Risco médio (RM) 10 – 39,99
Risco alto (RA) 40 – 79,99
Risco extremo (RE) 80 – 100

Fonte: CGU (2018, p. 21).

Qualquer valor abaixo de 10 é classificado como risco baixo. De 10 até menos de 40, risco médio. De
40 até qualquer valor abaixo de 80, risco alto. E 80 ou mais, até 100, de risco extremo.

Por fim, a análise pertinente dos números pode ser encontrada numa matriz de riscos, também
apontada pela CGU, baseada na obra Gestão de riscos: avaliação da maturidade, do TCU:

104
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

Quadro 15 – Matriz de riscos

Muito 80 100
10 20 50
alto RE RE
RM RM RA
10

Alto 8 16 40 64 80
8 RB RM RA RA RE

Médio 5 10 25 40 50
5 RB RM RM RA RA
Impacto
Baixo 2 4 10 16 20
2 RB RB RB RM RM

Muito
baixo 1 2 5 8 10
RB RB RB RB RM
1
Muito baixa Baixa Média Alta Muito alta
1 2 5 8 10
Probabilidade

Fonte: CGU (2018, p. 21).

Nada impede, também, que a organização desenvolva um programa próprio, com parâmetros
específicos, que contemplem:

• riscos específicos;

• tabela de graduação de riscos adaptada para a realidade da empresa;

• tabela de graduação de impactos adaptada para a realidade da empresa;

• matriz específica, contemplando as interações risco X impacto.

Saiba mais

Leia o importante trabalho do TCU:

BRASIL. Tribunal de Contas da União. Roteiro de avaliação de maturidade

da gestão de riscos. Brasília: TCU/Secretaria de Métodos e Suporte ao
Controle Externo, 2018. Disponível em: https://portal.tcu.gov.br/lumis/
portal/file/fileDownload.jsp?fileId=8A81881E68E7EE66016901FDB5B166
EA. Acesso em: 18 nov. 2019.

105
 Unidade III

Resumo

Desenvolvemos os conceitos de risco e princípios básicos das análises de

risco. Foram desenvolvidas tabelas com exemplos de risco, impacto, evento
deflagrador, medidas corretivas e medidas preventivas, além dos conceitos
pertinentes de cada um desses itens.

Foram citados também alguns princípios complementares à análise

de riscos, como a responsabilidade de quem deve agir tanto nas medidas
preventivas quanto nas medidas corretivas. A fixação de princípios da
gestão de riscos também foi abordada.

Foram discutidas também algumas fontes de estudos de gestão

de riscos: o Committee of Sponsoring Organizations (Coso), a norma
ISO 31000 e The orange book: management of risk – principles
and concepts, livro britânico que trata do gerenciamento de riscos
especialmente em organizações governamentais. Foram abordados
também os objetivos de uma gestão de riscos, bem como as técnicas
de análises de riscos, com exemplos pertinentes.

Exercícios

Questão 1. Você assumiu a gestão de uma indústria de medicamentos veterinários. Uma de suas
funções é construir o programa de análise de riscos da empresa. Para isso você precisa, prioritariamente:

A) Identificar riscos, impactos e ações punitivas.

B) Conhecer os riscos aos quais a empresa está sujeita e contratar engenheiros para monitorar e
gerenciar esses riscos.

C) Organizar a comissão de gerenciamento de crise e a comissão interna de prevenção de

acidentes trabalhistas.

D) Identificar riscos, impactos, ações preventivas e corretivas.

E) Identificar riscos, impactos, ações de preservação financeira e econômica da empresa.

Resposta correta: alternativa D.

106
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

Análise das alternativas

A) Alternativa incorreta.

Justificativa: identificar riscos e impactos é parte do trabalho de análise de risco, porém as medidas
punitivas pertencem a outro campo da gestão e nem sempre serão de responsabilidade do mesmo gestor.

B) Alternativa incorreta.

Justificativa: a contratação de funcionários deve ocorrer após a construção da matriz de análise de

risco para que sejam identificadas corretamente as medidas que terão que ser adotadas.

C) Alternativa incorreta.

Justificativa: comissões podem ser organizadas por determinação da empresa ou para cumprimento
de lei. A Comissão Interna de Prevenção de Acidentes (Cipa) é determinação da lei; outras comissões
poderão ser organizadas a partir da concretização da matriz de análise de riscos e das medidas preventivas
e corretivas que forem identificadas como necessárias.

D) Alternativa correta.

Justificativa: esse é o caminho correto para organizar o mapa de riscos da empresa e, a partir dele,
organizar os recursos necessários para adotar medidas preventivas e corretivas.

E) Alternativa incorreta.

Justificativa: as ações de preservação financeira e econômica da empresa deverão estar contidas nas
medidas preventivas e corretivas.

Questão 2. Leia o texto a seguir.

As normas da família ISO 31000 têm como foco a gestão de risco. Não são normas que visam
à certificação, e podem ser implementadas por qualquer empresa, independentemente de sua área,
tamanho ou setor de atuação. Publicada pela ISO em 2009, a família ISO 31000 são normas guias,
que trazem informações e recomendações para guiar aqueles que querem implementá-la e procuram
fornecer informações básicas para todos os tipos de gestão de risco.

Funcionalidade

As ISO 31000 têm como objetivo fazer com que a organização tenha noções de gestão de risco. Ou
seja, além de prever possíveis crises, a empresa deve ter capacidade e confiança para que, caso aconteça
alguma situação de crise, ela possa sair com o menor prejuízo possível. Como não é uma norma que
possui certificação, a série ISO 31000 procura fazer com que cada organização crie a sua própria gestão
de risco de acordo com suas demandas e particularidades, e a faça funcionar de forma eficaz.
107
 Unidade III

Funciona como uma norma mais geral, e abrange todos os tipos de risco: financeiros, econômicos,
crises locais e crises mundiais. Além disso, oferece diretrizes para que a empresa saiba como se comportar
e tente prever o máximo de riscos possíveis.

Vantagens

As ISO 31000 não possuem certificação, mas a sua implementação ainda assim traz muitas vantagens
à empresa. Pela simples construção, monitoramento e funcionamento de uma gestão de riscos, a empresa
já possui certa credibilidade, não só no mercado, mas também entre clientes e parceiros. Processos de
informação e administração tendem a melhorar. Além disso, a norma também envolve os colaboradores,
o que aumenta ainda mais a participação do público interno no sistema de gestão de risco.

Em caso de crise, a empresa pode aliviar bastante os danos graças à gestão de risco implementada,
além de poder estar um passo à frente de outros tipos de riscos que podem atingir a empresa. A noção
que a empresa passa a ter oferece respaldo para quando ela precisa decidir se vale a pena correr um
risco ou aceitá-lo para ter novas oportunidades. Essa noção também é um dos benefícios gerados pela
norma 31000.

Diretrizes

A ISO 31000 não tem critérios de certificação, pois não é uma norma que foi desenvolvida com essa
intenção. Ainda assim, possui diretrizes, guias e orientações para que as empresas possam desenvolver
a sua gestão de riscos específica. Entre as diretrizes sobre gestão de riscos temos:

• A noção sobre riscos e as oportunidades da empresa.

• Remoção de fontes de risco.

• Alteração de consequências e probabilidades.

• Atualização constante das informações sobre riscos.

As normas possuem muito mais informações para guiar as organizações por um caminho mais eficaz
de gestão de risco.

Normas ISO 31000

A família ISO 31000 é composta por três normas, todas elas guias que procuram orientar a empresa
na construção ou manutenção de uma gestão de riscos. São normas correspondentes:

• ISO 31000 – Informações básicas, princípios e diretrizes para a implementação da gestão de riscos.

• ISO/IEC 31010 – Técnicas de avaliação e gestão de riscos.

108
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS

• ISO Guia 73 – Vocabulário relacionado à gestão de riscos.

Fonte: Disponível em: https://www.normastecnicas.com/sem-categoria/serie-iso-31000/. Acesso em: 22 de nov. de 2019.

Analise as afirmativas a seguir:

I – A ISO 31000 é uma norma de certificação imprescindível para as empresas comprovarem sua
adequação às normas internacionais de análise de risco.

II – O gerenciamento de riscos em uma empresa é processo que depende de constante atualização.

III – O conteúdo da norma ISO 31000 viabiliza que cada empresa conheça seus riscos e crie sua
própria matriz, adequada às suas necessidades.

IV – Seguir a norma ISO 31000 é fundamental para que todas as empresas adotem regras de análise
de risco rigorosamente iguais e confiáveis.

Assinale a alternativa que apresenta as afirmativas corretas:

A) I e II.

B) II e III.

C) III e IV.

D) I e IV.

E) II e IV.

Resposta correta: alternativa B.

Análise das afirmativas

I – Afirmativa incorreta.

Justificativa: a ISO 31000 não é uma norma de certificação.

II – Afirmativa correta.

Justificativa: o conhecimento dos riscos para organização de matriz para prevenção e adoção de
medidas corretivas é um processo dinâmico, que precisa ser atualizado sistematicamente para que possa
ser seguro e confiável.

109
 Unidade III

III – Afirmativa correta.

Justificativa: quando se trata de riscos não existe um caminho único porque cada empresa, mesmo
aquelas que atuam na mesma área econômica, estão sujeitas a riscos diferentes decorrentes de fatores
internos ou externos. É fundamental que cada empresa conheça minuciosamente seus riscos próprios e
a ISO 31000 tem recursos que permitem isso.

IV – Afirmativa incorreta.

Justificativa: regras de análise de risco iguais para empresas diferentes não é um caminho seguro e
confiável. Cada empresa precisa conhecer minuciosamente seus riscos que, muitas vezes, serão diferentes
de outras empresas da mesma área econômica e produtiva.

110