Escolar Documentos
Profissional Documentos
Cultura Documentos
Unidade III
5 INTRODUÇÃO À ANÁLISE DE RISCOS
A análise de risco permite que as organizações funcionem com mais segurança; que os gestores
possam enfrentar as crises de forma mais organizada e responsável, além de dar mais credibilidade à
organização e, consequentemente, o mercado e a sociedade reconhecem essa vertente.
A norma ISO 31000 define risco o “efeito da incerteza nos objetivos” (ISO 31000). Em outras palavras,
é a intercorrência possível no percurso para alcançar determinado objetivo.
Tudo que poderá ocorrer na trajetória será quantificado numa escala de probabilidade e de impacto.
O risco tem relação com as incertezas.
Objetivo
Características da viagem
A viagem será realizada num carro de passeio. O veículo tem quatro anos de uso e suas revisões estão
em dia. Possui quatro pneus e um estepe em bom estado. O total de quilômetros a serem percorridos será
de aproximadamente 2.700. Considerando um período de viagem de 12 horas por dia, a uma velocidade
média de 60 km/h, o objetivo seria alcançado em 3,75 dias, ou quatro dias, aproximadamente.
Locais de abastecimento do veículo. Locais para hospedagem dos viajantes. Locais para as refeições
dos viajantes.
Furar pneus. Problemas mecânicos no veículo. Eventuais problemas de saúde nos viajantes. Eventuais
congestionamentos que atrasem a viagem. Eventuais problemas de tempo, como temporais.
77
Unidade III
Planejamento da viagem
O aspecto inicial do planejamento da viagem tem a ver com o tempo disponível para alcançar o
objetivo. Nas condições especificadas, dirigir doze horas por dia, a uma velocidade média de 60km/h,
demandaria quatro dias para completar o percurso. Há necessidade de chegar em quatro dias? Há uma
folga de tempo? Tais aspectos precisam ser dimensionados inicialmente. Definidos tais parâmetros, os
seguintes pontos devem ser pesquisados:
Na hipótese de sair de São Paulo em determinado horário, qual a autonomia do veículo? Suponha que o
veículo tenha autonomia para seis horas de viagem. Então, o planejamento poderia ser, para o primeiro dia:
Dia 1: 9h00 – Parada para café e descanso de 30 minutos. – Três horas dirigindo.
Dia 1: 17h00 – Parada para café e descanso de 30 minutos. – Nove horas dirigindo.
Note que faz parte do planejamento verificar no percurso os seguintes pontos de parada, que
correspondam, aproximadamente, à respectiva quilometragem e ao tempo dedicado ao percurso.
No ponto b, calcula-se que os viajantes já estariam a 180 quilômetros de São Paulo (três horas dirigindo a
60 km/h). É necessário verificar, na estrada escolhida, qual o ponto de apoio nessa região. Evidentemente que
os pontos de apoio podem ficar a alguns quilômetros antes ou depois. Pode também haver mais de um ponto
de apoio (postos de combustíveis, com lojas de conveniência e/ou lanchonetes na estrada). O planejamento
consiste em analisar tais pontos e escolher aqueles que possam oferecer os melhores serviços.
No ponto d, os viajantes já teriam andado 360 quilômetros (seis horas dirigindo a 60 km/h). Novamente
a questão do planejamento: nessa oportunidade há a necessidade de abastecimento, portanto é preciso
que seja a parada em posto de abastecimento de combustíveis. Também está previsto o almoço. Devem
ser planejadas as paradas desse tipo em postos de gasolina com restaurantes nas estradas ou, ainda, em
cidades de beira de estrada que possam atender a tais requisitos. Novamente a questão da exata posição
pode ser discutida, só que com alguma diferença: é necessário pesquisar a exata posição do ponto de
apoio que pode ser antes dos 360 quilômetros a serem rodados, e não depois, pois o aspecto limitante
é a reposição do combustível.
78
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
Outra alternativa seria a busca do abastecimento sempre num ponto anterior ao da completa
utilização do tanque. Por exemplo, ao rodar os primeiros 180 quilômetros, preparar uma parada num
posto de abastecimento de combustível. Isso daria maior segurança aos viajantes e o planejamento
ficaria mais efetivo.
Note que tais providências ficam na seara do planejamento. Essa fase bem desenvolvida, sem dúvida,
é um instrumento que auxilia a prevenção de riscos.
O planejamento para os outros dias seriam reproduções bastante próximas do que foi planejado para
o primeiro dia. Após o planejamento, há a fase de identificação dos riscos.
Lembrete
Considerando a definição de riscos, ligada às incertezas e aos riscos já levantados, pode-se elencar:
• Riscos relacionados aos problemas com pneus. Mitigação dos riscos: verificar estado dos pneus.
Só viajar com pneus em bom estado. Verificar estado do estepe. Verificar se há os equipamentos
funcionando para a troca de pneus, se necessário.
• Riscos relacionados à manutenção do veículo. Mitigação dos riscos: mandar o veículo para uma
revisão geral. Contratação de seguro com socorro mecânico, especialmente para o percurso São
Paulo – Recife.
• Eventuais problemas de saúde nos viajantes. Mitigação dos riscos: todos os integrantes devem
possuir planos de saúde, com cobertura nacional.
• Eventuais congestionamentos que atrasem a viagem. Mitigação dos riscos: esses congestionamentos
são de difícil previsão e é impossível predizer se ocorrerão ou não. Pode ser verificado se há
caminhos alternativos no percurso e, caso haja, é preciso deixar a informação arquivada com
os viajantes. Mesmo com congestionamentos, a utilização de caminhos alternativos, caso haja,
dependerá do trecho em que ocorrer o problema, da viabilidade do caminho alternativo, entre
outras possibilidades. Caso haja problemas desse tipo, é importante ter todos os contatos do
destino para, no mínimo, notificar possíveis atrasos.
• Eventuais problemas meteorológicos, como temporais. Mitigação dos riscos: também difícil de
prever. Da mesma forma do risco anterior, é importante ter todos os contatos do destino para, no
mínimo, notificar possíveis atrasos.
Tal visualização é importante na medida em que facilita a visão sistêmica da análise e o planejamento
e a tomada de decisões.
d. Ações preventivas: o que pode ser feito para que o evento deflagrador
não ocorra.
e. Ações corretivas: o que pode ser feito depois que o evento ou condição
que prejudica ou ameaça a organização efetivamente se confirmou
(MAXIMIANO, 2009, p. 140-141).
80
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
Observação
Outro exemplo:
Risco
Uma determinada máquina de uma linha de produção de três máquinas parar de funcionar.
Impacto
Evento deflagrador
Ações preventivas
Ações corretivas
Providenciar o rápido conserto da máquina ou sua substituição, conforme o caso. Contatar clientes
eventualmente prejudicados.
Quanto mais elaborado um plano de análises para enfrentamento de riscos, mais bem organizada
está a empresa para lidar com tais eventualidades.
81
Unidade III
Um outro ponto que não pode ser desprezado e que faz parte da análise de risco: quando, à luz da
incerteza, determinada ocorrência caminha de forma diferente do planejado. A preocupação evidente
é a possibilidade de se comprometer o objetivo traçado ou de alcançá-lo de modo menos eficaz. No
entanto, os resultados podem superar positivamente os objetivos pretendidos. Nesse caso houve um
desvio positivo.
Incerteza Incerteza
Lim
a
tez
Efeito - Efeito +
ite
cer
con
a in
hec
od
ido
itiv
pos
do
efe
ito
Risco
ito
efe
neg
do
ativ
ido
hec
od
con
a in
cer
ite
Lim
tez
a
Maximizar
Anular ou diminuir
Note que o objetivo pretendido é representado pela seta reta. Há uma área em vermelho à esquerda
e outra em azul, à direita. O espaço à esquerda sinaliza os desvios que comprometem o objetivo e que
podem ocorrer no caminho, para os quais se justificam plenamente todas as análises de risco. E o espaço
à direita sinalizam, da mesma forma, possíveis desvios dos objetivos finais, só que superam o esperado.
Exemplo: uma fábrica de calçados espera vender ao final do ano dez mil pares de calçados. Se vendesse
apenas sete mil, estaria no espaço à esquerda. Se vendesse quinze mil, estaria à direita.
Lembrete
Observe, ainda, que nesse caso específico, o desvio positivo poderia merecer estudos de
enfrentamento também, pois o aumento de 50% a mais de vendas do que o previsto poderia gerar
uma série de despesas agregadas para as quais a organização poderia não estar preparada.
De qualquer forma é importante ressaltar que o resultado positivo sempre concorrerá para a
realização da organização. Como lembram Rosa e Toledo (2015, p. 4):
A compreensão de toda a sistemática, desde o vocabulário adequado até os processos que constituem a
gestão de riscos, são objetos de normativas específicas, como a ISO 31000, que será abordada mais adiante.
Saiba mais
O gestor pode complementar informações para subsidiar análise de riscos. Além da descrição
do risco, impacto, evento deflagrador e medidas corretivas e preventivas, podem ser agregados os
seguintes dados:
• Ação: descrever a ação ou ações específicas em cada caso, sejam preventivas ou corretivas.
Para ilustrar o acréscimo dos elementos citados, segue exemplo oriundo de pesquisa realizada numa
empresa de autopeças, que pode ser observado no quadro a seguir:
83
Unidade III
Probabilidade
Grau impacto
intervenção
Preventiva Coletiva
Orientação
Atividade
Risco
Processo Atuar no
Estudos Segregar
fora do Muito controle do
iniciais do Baixa Mitigar Operador Imediato as peças e Operador Imediato
padrão alto processo
processo inspecionar
Cpk através CEP
Estudos de Treinar
análises Resultado Segreagar
operadores, De acordo
dos Muito Dpto. de peças
sistemas danão...
análise Remota Mitigar calibrar com Operador Imediato
alto qualidade planejamento do lote
instrumentos
de analisado
de medição
medição
Saiba mais
Outro ponto importante está relacionado com os princípios da gestão de riscos. Por exemplo, a
Controladoria Geral da União (CGU) estabelece como princípios os seguintes pontos:
• proteção do ambiente interno como forma de garantir a atividade desenvolvida pela organização,
em ambiente corporativo saudável;
• a gestão de riscos auxilia a tomada de decisões por parte da área estratégica da organização;
• a administração de riscos:
— é absolutamente transparente;
Cada organização pode adaptar estes e outros princípios, mas o importante é fazer com que
a gestão de riscos seja um instrumento organizacional que apoie e auxilie o desenvolvimento da
organização, bem como uma ferramenta eficiente e eficaz no gerenciamento de possíveis ocorrências
de risco. O comitê de riscos pode, por exemplo, fazer reuniões periódicas com os vários setores da
organização, para atualizar os estudos na área.
85
Unidade III
Além dos objetivos, elencam-se os componentes do gerenciamento de riscos, que são: ambiente
interno, fixação de objetivos, identificação de eventos, avaliação de riscos, respostas a riscos, atividades
de controle, informações e comunicações, monitoramento.
Cada um desses componentes é uma coluna importante na medida em que fortalecem a estrutura
de toda a análise e as providências pertinentes numa situação de risco. A análise do ambiente interno
subsidia todos os componentes seguintes, pois, com base no que se obtém com a análise do ambiente,
são feitas: a fixação de objetivos, a identificação de situações de risco, a avaliação de cada uma
dessas situações, as respostas possíveis a elas, as atividades de controle e todas as informações e
comunicações pertinentes.
fotografias que examinam situações obtidas num determinado contexto (horário, dia, componentes
etc.). Basta chegar uma máquina nova ou a criação de um novo setor que a organização já não é a
mesma que a diagnosticada nos estudos anteriores.
O monitoramento contínuo permite atualizações desse cenário, de forma que a gestão de riscos
esteja sempre atualizada e pronta a interagir em ocorrências que possam trazer danos à organização.
Além dos objetivos e dos componentes, o manual do Coso trata também dos diversos níveis e
unidades da organização, que são citados como nível, divisão, unidade de negócio e subsidiária.
É evidente que cada organização se diferencia pelo seu tamanho, organograma, estrutura interna,
departamentos etc.
al o de
gico
cion icaçã ida
até era un for
m
str Op m n
E Co Co
Ambiente interno
Unidade de negócio
Fixação de objetivos
Subsidiária
Identificação de eventos
Nível de organização
Divisão
Avaliação de riscos
Resposta a risco
Atividades de controle
Informações e comunicações
Monitoramento
Figura 13 – Coso/ERM
O bom gerenciamento de riscos deve interagir com todos os níveis da organização, com todas as
suas unidades e deve conter todos os componentes necessários para que a atividade seja eficiente
e eficaz.
87
Unidade III
Saiba mais
Outra importante fonte de estudos é o que está estabelecido na norma ISO 31000. A International
Organization for Standardization (ISO) é uma organização que promove estudos de padronização em
vários segmentos. Desenvolve normas e testes e tem representantes de vários países. Há exemplos de
trabalhos reconhecidos internacionalmente, como a ISO 9000, que trata da gestão da qualidade, e a
ISO 14000, que trata da certificação ambiental.
• melhorar a governança;
88
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
• melhorar os controles;
• minimizar perdas;
A norma ISO 31000 busca desenvolver uma visão sistêmica da área de riscos, com estímulos
importantes como o atendimento às normas internacionais (além de outros regramentos) e a confiança
dos envolvidos no processo.
Nesse ponto é importante ressaltar que exatamente como outras normas (a ISO 9000 ou a
ISO 14000) a ISO 31000 não é obrigatória. É norma de implantação volitiva, ou seja, depende
da vontade da organização implantá-la. Contudo, uma organização que trate seus riscos com
parâmetros internacionais naturalmente adquire maior confiança e credibilidade de todos os
stakeholders, tais como órgãos governamentais, acionistas e fornecedores.
Em termos gerais, a ISO 31000 inicia com um estudo da organização, que estabelece o contexto no
qual a norma deve ser aplicada. Desse ponto, passa-se, então, para o processo de avaliação de riscos
que abrange:
• identificação dos riscos: situações que podem gerar ocorrências danosas à organização;
89
Unidade III
Periodicamente devem ser feitas reuniões para que eventuais mudanças possam ser avaliadas, haja
vista o dinamismo das organizações. Além disso, deve haver o monitoramento constante de todos os
processos pertinentes às análises de riscos e, ainda, às análises críticas.
A análise crítica busca estudar todo um processo, perceber seus pontos positivos e negativos e
estabelecer soluções para eventuais problemas encontrados num determinado contexto.
Por exemplo, se uma determinada máquina ou equipamento utilizar mais energia que outras já em
uso, a análise crítica questionará:
Enfim, a análise crítica trará elementos de decisão importantes para que a gestão de riscos possa
decidir se a implantação e utilização do novo equipamento devem ser realizadas ou não.
A figura a seguir traz uma síntese do processo de gestão de riscos, segundo a ISO 31000:
90
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
Estabelecimento do contexto
Identificação de riscos
Avaliação de riscos
Tratamento de riscos
Saiba mais
91
Unidade III
O documento The orange book: management of risk – principles and concepts (O livro laranja:
gerenciamento de riscos – princípios e conceitos) foi produzido e publicado pelo HM Treasury do Governo
Britânico, sendo amplamente utilizado como a principal referência do Programa de Gerenciamento de
Riscos do Governo do Reino Unido, iniciado em 2001. O documento foi atualizado em 2004.
Ainda do ponto de vista do referido projeto, riscos devem ser gerenciados em três níveis: estratégico,
de programas e de projetos e atividades. A organização deve ser capaz de gerenciar riscos nos três níveis.
Vejamos alguns detalhes sobre cada um desses níveis:
Nível estratégico
Nível programa
92
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
Os pontos que permeiam as atividades nos níveis estratégico, de programa e de projetos e atividades
permitem identificar e planejar o que deve ser implementado, decidido e estimulado por cada nível
envolvido da organização. Observe que tendo como origem um departamento do poder público inglês,
há referências como políticas públicas e alocação de recursos públicos. O Orange book é tido como
orientador da gestão de riscos em empresas governamentais.
Para exemplificar, veja o quadro a seguir. Nele estão claros os objetivos da CGU em relação à gestão
de riscos.
Os objetivos deixam explícitos que a gestão de riscos deve melhorar de forma geral toda a organização,
seja aumentando a probabilidade de atingir seus objetivos, seja para estimular a proatividade, seja para
cumprir os regramentos a que a organização está sujeita, seja para melhorar as operações, seja para melhorar
o aprendizado organizacional, seja para estabelecer e retroalimentar uma gestão sistêmica de riscos.
Cada organização deve estabelecer claramente seus objetivos em relação à gestão de riscos,
comunicando a todos os setores que tal atividade deve ser compromisso de todos com a segurança e
continuidade de negócios da organização.
93
Unidade III
Observação
Saiba mais
As técnicas de análise de risco variam. Podem se basear em cálculos bastante complexos oriundos
de organizações especializadas nas avaliações de nichos específicos ou na observação atenta do
operador responsável pela análise. De uma forma geral, as melhores análises de risco estão baseadas no
equacionamento de duas vertentes básicas: a probabilidade do risco e o impacto.
O primeiro ponto a ser definido é que a análise do risco deve e precisa ser absolutamente individual
para cada ocorrência possível. Fazer uma única análise de risco para ocorrências semelhantes não é uma
boa prática. Por exemplo, uma empresa possui cinco linhas de produção. Ainda que sejam parecidas, as
análises de risco devem contemplar cada uma, com suas especificidades. Para cada linha, alguns dados
que podem auxiliar numa análise pertinente dos possíveis riscos:
94
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
Tais questionamentos permitiriam saber, por exemplo, as linhas com maior incidência de interrupção
de trabalho e quais os motivos que levaram às interrupções. Por exemplo, um problema de manutenção
registrado numa única linha pode se repetir nas outras. Um eventual acidente de trabalho com
determinado funcionário pode ocorrer novamente com outros trabalhadores.
Outro fator determinante para a análise de riscos é verificar o impacto que determinado evento
poderia trazer para a organização.
95
Unidade III
Por exemplo, uma empresa que tenha em seu estoque 1 milhão de litros de combustível (tipo
gasolina) estocados num único tanque que fica próximo às instalações produtivas e administrativas.
Risco 1
Risco 2
O tanque com 1 milhão de litros de combustível pode explodir e causar mortes e ferimentos seríssimos,
além de destruir completamente a organização. Como resultado, pode ocorrer a descontinuidade dos
negócios (extinção da empresa), com prejuízos financeiros de grande monta.
Portanto, a identificação dos impactos é fundamental para uma correta análise dos riscos.
Outro ponto relevante é a análise das possíveis causas das ocorrências citadas no exemplo. Por que o
tanque explodiria? Quais motivações poderiam levar a tal incidente? Da mesma forma, por que haveria
um vazamento pequeno no tanque?
Tais questões propiciam um planejamento adequado e uma verificação das possíveis causas
geradoras de eventos críticos. Por exemplo, se há uma ligação elétrica muito próxima do tanque citado,
esta pode ser transferida para evitar um evento deflagrador de uma explosão. A válvula de contenção
do combustível deve ser periodicamente verificada para evitar um vazamento.
Além disso, devem-se analisar possíveis ações criminosas, como fraudes com o objetivo de prejudicar
a organização. Nesse caso, providências como o monitoramento constante do espaço físico, seja através
de câmaras de monitoramento, seja através de vigilantes, permitem a manutenção de um ambiente de
segurança adequado.
Explorando, ainda, a abordagem e controle dos eventos identificados nos estudos iniciais, a CGU
observa que:
96
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
Por exemplo, se o gestor tiver a absoluta certeza de que uma explosão só poderia ser originada de
um ato de sabotagem e de nenhum outro evento oriundo da manutenção ou da operação normal dos
trabalhos, o foco na segurança será maior e mais justificado, permitindo que as energias sejam alocadas
para esta vertente.
Observação
Como lembra Barros (2013, p. 75-76), há diversas técnicas e ferramentas para a análise de riscos.
Para conhecimento, as principais são elencadas:
• Lista de verificação.
97
Unidade III
Cada uma delas possui especificidade própria e pode se adequar de forma completa ou parcial em
cada organização.
Por exemplo, o método que analisa especificamente processos (formas de fazer determinadas coisas,
cada etapa do trabalho) pode ser o fornecido pela análise de risco do processo – hazard operability
(Hazop). Por tal método são especificados os elementos e etapas do trabalho, bem como a identificação
das variáveis, possíveis desvios e perigos. A CGU, após a identificação de cada etapa dos processos,
classifica os possíveis riscos em categorias e explora as possíveis causas.
Tais formulações permitem um trabalho mais coeso e organizado e, por conseguinte, decisões mais
apropriadas. Mais adiante serão abordados alguns detalhes destas ferramentas.
Saiba mais
Apenas para enfatizar o que até aqui foi abordado, independentemente de técnicas específicas, há
vertentes que não podem ser esquecidas: um diagnóstico preciso e detalhado de tudo o que ocorre
na organização (atividades, processos), os riscos inerentes ao que foi estabelecido nesse diagnóstico e,
caso os eventos críticos se confirmem, qual ou quais os impactos que poderão ocorrer em relação aos
objetivos da organização.
Outro ponto a considerar é a distinção que alguns autores fazem entre risco e perigo. Perigo
seria algo possível de ocorrer. Risco está vinculado à organização de forma concreta. Serrano
(2009, p. 233) aduz:
Apesar das inundações oriundas de chuvas fortes serem um perigo real, se a empresa estiver numa
área propícia a enchentes, deve analisar tal situação sob a perspectiva de risco.
99
Unidade III
A seguir serão apresentadas algumas análises de risco baseadas em dois métodos: um mais simples
e objetivo, o método 1, baseado em Caruso e Steffen (2006, p. 6), em que as análises são processadas
de uma forma mais rápida e atende aos objetivos da gestão de riscos. E outro método pouco mais
complexo, baseado nas análises recomendadas pela CGU, de acordo com as práticas do Tribunal de
Contas da União (TCU).
2 Improvável Média 2
3 Possível Alta 3
4 Bem possível ou já ocorrida Ameaça ao negócio 4
Análise:
R=P×C
Sendo que:
R = Grau de risco
P = Probabilidade
C = Consequência
R> 9 = Crítico
100
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
• Fator probabilidade:
— Bem possível ou já ocorrida: quando a ocorrência tem forte possibilidade de ocorrer ou já ocorreu.
• Fator consequência:
— Insignificante: se o fato estudado efetivamente ocorrer, mas não representar qualquer impacto
na segurança da organização.
— Média: tal critério é estabelecido quando a ocorrência possa trazer consequências médias para
a organização.
Portanto, o nível de risco é definido pela multiplicação das colunas probabilidade (P) e consequência (C).
Após a multiplicação, o nível pode ser classificado de baixo (se a multiplicação ficar entre 1 e menos
que 4), médio (igual ou maior que 4 e menor que 6), alto (igual ou maior que 6 e menor que 9) e crítico
(maior que 9, sendo o grau máximo 16).
Exemplo 1
Hipótese
Instalações que armazenem material inflamável. É uma situação de relevância, pois, se houver
algum acidente, pode gerar danos bastante significativos. O método 1 deve ser utilizado como
101
Unidade III
complementar, sendo importante a utilização de outros métodos, para que a análise seja a mais
ampla possível em função da relevância. De qualquer forma, nesse caso, uma possível análise está
representada na tabela a seguir:
No caso específico, foi considerado que, se o combustível pegasse fogo, por exemplo, a consequência
seria alta. Conforme a análise realizada, as circunstâncias apresentadas indicaram uma ocorrência
possível. Nesse caso, temos: R= 3 × 3 → R = 9. Ou seja, o risco é igual a 9, que define um risco alto.
Nesse caso é importante se concentrar, ao máximo, nas medidas preventivas, além da utilização de
outros métodos, principalmente aqueles vinculados à saúde e à segurança do trabalho.
Exemplo 2
Hipótese
Possibilidade de um carro da empresa ter o pneu furado nas garagens internas. O método 1 pode
ser utilizado como principal, haja vista que a ocorrência não trará problemas de maior relevância.
Evidentemente que tal método pode também ser utilizado em outras situações. Contudo, para situações
mais complexas pode ser utilizado o método que apresentaremos a seguir.
102
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
No caso específico, a ocorrência de um pneu furado nas dependências da organização pode ser
considerada um evento de forte probabilidade ou, até mesmo, conforme o caso concreto, de fato já
ocorrido. Contudo, apesar do incômodo, um pneu furado não tem a relevância para causar maiores
riscos. Nesse caso, temos: R= 4 × 1 → R = 4. Ou seja, o risco é igual a 4, que define um risco médio. Aqui
é importante verificar as possibilidades de enfrentamento adequado do problema, como a reposição
imediata do pneu furado, a devida sinalização interna, entre outras providências. Observe que o risco
somente é médio em função da alta possibilidade de ocorrência.
Há tabelas mais complexas que naturalmente podem ser aplicadas em organizações mais complexas.
A CGU, baseada nas formulações do TCU, recomenda um programa específico de gestão de riscos, que
estabelece a seguinte escala de probabilidade:
Escala de probabilidade
Probabilidade Descrição da probabilidade, desconsiderando os controles Peso
Improvável. Em situações excepcionais, o evento poderá até ocorrer, mas
Muito baixa 1
nada nas circunstâncias indica essa possibilidade.
Rara. De forma inesperada ou casual, o evento poderá ocorrer, pois as
Baixa 2
circunstâncias pouco indicam essa possibilidade.
Possível. De alguma forma, o evento poderá ocorrer, pois as
Média 5
circunstâncias indicam moderadamente essa possibilidade.
Provável. De forma até esperada, o evento poderá ocorrer, pois as
Alta 8
circunstâncias indicam fortemente essa possibilidade.
Praticamente certa. De forma inequívoca, o evento ocorrerá, as
Muito alta 10
circunstâncias indicam claramente essa possibilidade.
Já os impactos também são definidos numa escala de 1 a 10. Da mesma forma que o método 1, os
valores devem ser multiplicados e o resultado obtido pode variar de 1 a 100.
103
Unidade III
Escala de impacto
Impacto Descrição do impacto nos objetivos, caso o evento ocorra Peso
Mínimo impacto nos objetivos (estratégicos, operacionais, de
Muito baixo 1
informação/comunicação/divulgação ou de conformidade).
Baixo Pequeno impacto nos objetivos (idem). 2
Médio Moderado impacto nos objetivos (idem), porém recuperável. 5
Alto Significativo impacto nos objetivos (idem), de difícil reversão. 8
Muito alto Catastrófico impacto nos objetivos (idem), de forma irreversível. 10
RI = NP × NI
Em que:
Classificação do risco
Classificação Faixa
Risco baixo (RB) 0 – 9,99
Risco médio (RM) 10 – 39,99
Risco alto (RA) 40 – 79,99
Risco extremo (RE) 80 – 100
Qualquer valor abaixo de 10 é classificado como risco baixo. De 10 até menos de 40, risco médio. De
40 até qualquer valor abaixo de 80, risco alto. E 80 ou mais, até 100, de risco extremo.
Por fim, a análise pertinente dos números pode ser encontrada numa matriz de riscos, também
apontada pela CGU, baseada na obra Gestão de riscos: avaliação da maturidade, do TCU:
104
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
Muito 80 100
10 20 50
alto RE RE
RM RM RA
10
Alto 8 16 40 64 80
8 RB RM RA RA RE
Médio 5 10 25 40 50
5 RB RM RM RA RA
Impacto
Baixo 2 4 10 16 20
2 RB RB RB RM RM
Muito
baixo 1 2 5 8 10
RB RB RB RB RM
1
Muito baixa Baixa Média Alta Muito alta
1 2 5 8 10
Probabilidade
Nada impede, também, que a organização desenvolva um programa próprio, com parâmetros
específicos, que contemplem:
• riscos específicos;
Saiba mais
105
Unidade III
Resumo
Exercícios
Questão 1. Você assumiu a gestão de uma indústria de medicamentos veterinários. Uma de suas
funções é construir o programa de análise de riscos da empresa. Para isso você precisa, prioritariamente:
B) Conhecer os riscos aos quais a empresa está sujeita e contratar engenheiros para monitorar e
gerenciar esses riscos.
106
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
A) Alternativa incorreta.
Justificativa: identificar riscos e impactos é parte do trabalho de análise de risco, porém as medidas
punitivas pertencem a outro campo da gestão e nem sempre serão de responsabilidade do mesmo gestor.
B) Alternativa incorreta.
C) Alternativa incorreta.
Justificativa: comissões podem ser organizadas por determinação da empresa ou para cumprimento
de lei. A Comissão Interna de Prevenção de Acidentes (Cipa) é determinação da lei; outras comissões
poderão ser organizadas a partir da concretização da matriz de análise de riscos e das medidas preventivas
e corretivas que forem identificadas como necessárias.
D) Alternativa correta.
Justificativa: esse é o caminho correto para organizar o mapa de riscos da empresa e, a partir dele,
organizar os recursos necessários para adotar medidas preventivas e corretivas.
E) Alternativa incorreta.
Justificativa: as ações de preservação financeira e econômica da empresa deverão estar contidas nas
medidas preventivas e corretivas.
As normas da família ISO 31000 têm como foco a gestão de risco. Não são normas que visam
à certificação, e podem ser implementadas por qualquer empresa, independentemente de sua área,
tamanho ou setor de atuação. Publicada pela ISO em 2009, a família ISO 31000 são normas guias,
que trazem informações e recomendações para guiar aqueles que querem implementá-la e procuram
fornecer informações básicas para todos os tipos de gestão de risco.
Funcionalidade
As ISO 31000 têm como objetivo fazer com que a organização tenha noções de gestão de risco. Ou
seja, além de prever possíveis crises, a empresa deve ter capacidade e confiança para que, caso aconteça
alguma situação de crise, ela possa sair com o menor prejuízo possível. Como não é uma norma que
possui certificação, a série ISO 31000 procura fazer com que cada organização crie a sua própria gestão
de risco de acordo com suas demandas e particularidades, e a faça funcionar de forma eficaz.
107
Unidade III
Funciona como uma norma mais geral, e abrange todos os tipos de risco: financeiros, econômicos,
crises locais e crises mundiais. Além disso, oferece diretrizes para que a empresa saiba como se comportar
e tente prever o máximo de riscos possíveis.
Vantagens
As ISO 31000 não possuem certificação, mas a sua implementação ainda assim traz muitas vantagens
à empresa. Pela simples construção, monitoramento e funcionamento de uma gestão de riscos, a empresa
já possui certa credibilidade, não só no mercado, mas também entre clientes e parceiros. Processos de
informação e administração tendem a melhorar. Além disso, a norma também envolve os colaboradores,
o que aumenta ainda mais a participação do público interno no sistema de gestão de risco.
Em caso de crise, a empresa pode aliviar bastante os danos graças à gestão de risco implementada,
além de poder estar um passo à frente de outros tipos de riscos que podem atingir a empresa. A noção
que a empresa passa a ter oferece respaldo para quando ela precisa decidir se vale a pena correr um
risco ou aceitá-lo para ter novas oportunidades. Essa noção também é um dos benefícios gerados pela
norma 31000.
Diretrizes
A ISO 31000 não tem critérios de certificação, pois não é uma norma que foi desenvolvida com essa
intenção. Ainda assim, possui diretrizes, guias e orientações para que as empresas possam desenvolver
a sua gestão de riscos específica. Entre as diretrizes sobre gestão de riscos temos:
As normas possuem muito mais informações para guiar as organizações por um caminho mais eficaz
de gestão de risco.
A família ISO 31000 é composta por três normas, todas elas guias que procuram orientar a empresa
na construção ou manutenção de uma gestão de riscos. São normas correspondentes:
• ISO 31000 – Informações básicas, princípios e diretrizes para a implementação da gestão de riscos.
108
GERENCIAMENTO DE CRISES E CONTROLE DE RISCOS
I – A ISO 31000 é uma norma de certificação imprescindível para as empresas comprovarem sua
adequação às normas internacionais de análise de risco.
III – O conteúdo da norma ISO 31000 viabiliza que cada empresa conheça seus riscos e crie sua
própria matriz, adequada às suas necessidades.
IV – Seguir a norma ISO 31000 é fundamental para que todas as empresas adotem regras de análise
de risco rigorosamente iguais e confiáveis.
A) I e II.
B) II e III.
C) III e IV.
D) I e IV.
E) II e IV.
I – Afirmativa incorreta.
II – Afirmativa correta.
Justificativa: o conhecimento dos riscos para organização de matriz para prevenção e adoção de
medidas corretivas é um processo dinâmico, que precisa ser atualizado sistematicamente para que possa
ser seguro e confiável.
109
Unidade III
Justificativa: quando se trata de riscos não existe um caminho único porque cada empresa, mesmo
aquelas que atuam na mesma área econômica, estão sujeitas a riscos diferentes decorrentes de fatores
internos ou externos. É fundamental que cada empresa conheça minuciosamente seus riscos próprios e
a ISO 31000 tem recursos que permitem isso.
IV – Afirmativa incorreta.
Justificativa: regras de análise de risco iguais para empresas diferentes não é um caminho seguro e
confiável. Cada empresa precisa conhecer minuciosamente seus riscos que, muitas vezes, serão diferentes
de outras empresas da mesma área econômica e produtiva.
110