Slides de Aula - Unidade III

UNIDADE III
Gerenciamento de Crises
e Controle de Riscos
Prof. Dr. Herbert Espuny

Introdução à análise de riscos
 A análise de riscos permite que as organizações funcionem com mais segurança. Permite
que os gestores possam enfrentar as crises de forma mais organizada e responsável.
Dá mais credibilidade à organização e, consequentemente, o mercado e a sociedade
reconhecem esta vertente.
O que é risco e elementos da análise de riscos
 A norma ISO-31000 define risco como o “efeito da incerteza nos objetivos” (ISO-31000 NET).
Em outras palavras, é a intercorrência possível no percurso para alcançar determinado
objetivo.
 Tudo o que poderá ocorrer na trajetória será quantificado numa escala de probabilidade
e de impacto. O risco tem relação com as incertezas.
Apenas para exemplificar, observe a seguinte análise:
 Objetivo: viajar da cidade de São Paulo até a cidade de Recife.
 Características da viagem: a viagem será realizada num carro de passeio. O veículo tem
4 anos de uso e suas revisões estão em dia. Possui 4 pneus e um estepe em bom estado.
O total de quilômetros a serem percorridos será de aproximadamente 2.700. Considerando
um período de viagem de 12 horas por dia, a uma velocidade média de 60 k/h, o objetivo
seria alcançado em 3,75 dias, ou quatro dias, aproximadamente.
 Questões logísticas relevantes: locais de abastecimento do veículo. Locais para

hospedagem dos viajantes. Locais para as refeições dos viajantes.
 Riscos inerentes à viagem: furar pneus. Problemas mecânicos no veículo. Eventuais

problemas de saúde nos viajantes. Eventuais congestionamentos que atrasem a viagem.
Eventuais problemas de tempo, como temporais.
Planejamento da viagem: o aspecto inicial do planejamento da viagem tem a ver com

o tempo disponível para alcançar o objetivo. Nas condições especificadas, dirigir 12 horas
por dia, a uma velocidade média de 60k/h, demandaria 4 dias para completar o percurso.
Há necessidade de chegar em 4 dias? Há uma folga de tempo? Tais aspectos precisam
ser dimensionados inicialmente. Definidos tais parâmetros, os seguintes pontos devem
ser pesquisados:
Na hipótese de sair de São Paulo em determinado horário, qual a autonomia do veículo?

Suponha-se que o veículo tenha autonomia para 6 horas de viagem. Então, o planejamento
poderia ser, para o primeiro dia:
a) Dia 1: Saída de SP às 6h00

b) Dia 1: 9h00 – Parada para café e descanso de 30 m. – Três horas dirigindo
c) Dia 1: 9h30 – Retorno à estrada
d) Dia 1: 12h30 – Parada para almoço e abastecimento. – Seis horas dirigindo.
e) Dia 1: 14h00 – Retorno à estrada
f) Dia 1: 17h00 – Parada para café e descanso de 30 m. – Nove horas dirigindo
g) Dia 1: 17h30 – Retorno à estrada
h) Dia 1: 20h30 – Parada para hospedagem e abastecimento – 12 horas dirigindo
 Observe-se que faz parte do planejamento verificar no percurso os seguintes pontos

de parada que correspondam, aproximadamente, ao tempo dedicado ao percurso
e à respectiva quilometragem.
 No ponto b calcula-se que os viajantes já estariam a 180 quilômetros de São Paulo (3 horas
dirigindo a 60 k/h). É necessário verificar, na estrada escolhida, qual o ponto de apoio nessa
região. Evidentemente que os pontos de apoio podem ficar a alguns quilômetros antes ou
depois. Pode, também, haver mais de um ponto de apoio (postos de combustíveis, com lojas
de conveniência e/ou lanchonetes na estrada). O planejamento consiste em analisar tais
pontos e escolher aqueles que possam oferecer os melhores serviços.
 No ponto d, os viajantes já teriam andado 360 quilômetros (6 horas dirigindo a 60 k/h).

Novamente a questão do planejamento: nesta oportunidade há a necessidade de
abastecimento, portanto é preciso que seja a parada em posto de abastecimento de
combustíveis. Também está previsto o almoço. Devem ser planejadas as paradas deste tipo
em postos de gasolina com restaurantes nas estradas ou, ainda, em cidades de beira de
estrada que possam atender a tais requisitos. Novamente, a questão da exata posição pode
ser discutida, só que com alguma diferença: é necessário pesquisar a exata posição do
ponto de apoio, que pode ser antes dos 360 km a serem rodados. Mas não depois, pois
o aspecto limitante é a reposição do combustível.
 Outra alternativa seria a busca do abastecimento sempre num ponto anterior ao da completa
utilização do tanque. Por exemplo, ao rodar os primeiros 180 quilômetros, preparar uma
parada num posto de abastecimento de combustível. Isto daria maior segurança aos
viajantes e o planejamento ficaria mais efetivo.
 Observe-se que tais providências ficam na seara do planejamento. Esta fase bem
desenvolvida, sem dúvida, é um instrumento que auxilia a prevenção de riscos.
 O planejamento para os outros dias seriam reproduções bastante próximas do que foi
planejado para o primeiro dia. Após o planejamento, há a fase de identificação dos riscos.
Considerando a definição de riscos ligada às incertezas e aos riscos já levantados,

pode-se elencar:
a) Riscos relacionados aos problemas com pneus. Mitigação dos riscos: verificar estado dos
pneus. Só viajar com pneus em bom estado. Verificar estado do estepe. Verificar se há os
equipamentos funcionando para a troca de pneus, se necessário.
b) Riscos relacionados à manutenção do veículo. Mitigação dos riscos: mandar o veículo

para uma revisão geral. Contratação de seguro com socorro mecânico, especialmente
para o percurso São Paulo – Recife.
c) Eventuais problemas de saúde nos viajantes. Mitigação dos riscos: todos os integrantes
devem possuir planos de saúde com cobertura nacional.
d) Eventuais congestionamentos que atrasem a viagem. Mitigação dos riscos: esses

eventuais são de difícil previsão e impossível de predizer se ocorrerão ou não. É possível
verificar se há caminhos alternativos no percurso e, caso haja, deixar a informação
arquivada com os viajantes. Mesmo que haja congestionamentos, a utilização de caminhos
alternativos, caso haja, dependerá do trecho em que estiver o problema, se o caminho
alternativo estará viável, dentre outras possibilidades. Caso ocorram problemas deste tipo,
é importante ter todos os contatos do destino para, no mínimo, notificar possíveis atrasos.
e) Eventuais problemas meteorológicos, como temporais. Mitigação dos riscos: também difícil
de prever. Da mesma forma do risco anterior, é importante ter todos os contatos do destino
para, no mínimo, notificar possíveis atrasos.
 Após os levantamentos desenvolvidos, passa-se à formalização da análise, com os

elementos explicitados. Pode-se desenvolver uma tabela que facilite a visualização
de todos os elementos da análise.
 Tal visualização é importante na medida em que facilita a visão sistêmica da análise
e facilita o planejamento e a tomada de decisões.
 Os administradores das organizações de todas as áreas devem introduzir, no planejamento

de todos os setores, uma seção específica de análise de risco.
 A análise básica de risco envolve os seguintes fatores (MAXIMIANO, 2009, pp. 140-141):
a) Risco: eventos ou condições que precisam ser identificados, que podem prejudicar
ou ameaçar as atividades da organização.
b) Impacto: o quanto determinado evento ou determinada condição pode efetivamente
impactar se for confirmada a incidência do evento ou condição.
c) Evento deflagrador: situação que confirme a incidência.
d) Ações preventivas: o que pode ser feito para que o evento deflagrador não ocorra.
e) Ações corretivas: o que pode ser feito depois que o evento ou condição que prejudica
ou ameaça a organização efetivamente se confirmou.
Interatividade
Considere as seguintes afirmações:
I. Providências que visem minimizar as consequências causadas.

II. Providências que visem minimizar a possibilidade da ocorrência.
III. Providências que corrijam os danos causados.
Em relação às medidas corretivas, estão corretas:
a) As afirmativas I, II e III.
b) As afirmativas II e III.
c) As afirmativas I e III.
d) As afirmativas I e II.
e) Somente uma das afirmativas.
Resposta
Considere as seguintes afirmações:
I. Providências que visem minimizar as consequências causadas.

II. Providências que visem minimizar a possibilidade da ocorrência.
III. Providências que corrijam os danos causados.
Em relação às medidas corretivas, estão corretas:
 Considerando as análises RISCO IMPACTO

MEDIDAS MEDIDAS
PREVENTIVAS CORRETIVAS
já feitas, pode ser Verificar estado dos pneus. Só
construído o Pequeno
viajar com pneus em bom estado.
Problemas Verificar estado do estepe.
seguinte quadro: com pneus
atraso
Verificar se há os equipamentos
Trocar o pneu furado
na viagem
funcionando para a troca de
pneus, se necessário
Mandar o veículo para uma
Chamar socorro
revisão geral. Contratação de
Manutenção Atraso mecânico e
seguro com socorro mecânico,
do veículo na viagem providenciar o conserto
especialmente para o percurso
do veículo
São Paulo – Recife
Figura 15: Risco, Impacto e Medidas.
Fonte: Autoria própria. Acionar o plano de
Problemas Todos os integrantes devem saúde. Verificar
Atraso
de saúde possuir planos de saúde com unidades de
na viagem
nos viajantes cobertura nacional atendimento mais
próximas
Eventuais
Atraso Verificar se há caminhos Notificar possíveis
congestionamentos
na viagem alternativos no percurso atrasos
que atrasem a viagem
Problemas Notificar possíveis
Atraso
meteorológicos, Verificar previsões meteorológicas atrasos. Tentar abrigo
na viagem
como temporais em local seguro
 Observação: o evento deflagrador pode ou não constar no quadro de análise. Se for

evidente, como um pneu furado ou como outros exemplos, não há necessidade.
Outro exemplo:
 Risco: uma determinada máquina de uma linha de produção de três máquinas parar
de funcionar.
 Impacto: pode comprometer 33,33% de toda a produção da empresa, prejudicando
um terço da entrega de vendas.
 Evento deflagrador: a máquina efetivamente parar.
 Ações preventivas: plano de manutenção que preveja revisões periódicas nas máquinas.
 Ações corretivas: providenciar o rápido conserto da máquina ou a sua substituição,

conforme o caso. Contatar clientes eventualmente prejudicados.
MEDIDAS MEDIDAS
RISCO IMPACTO
PREVENTIVAS CORRETIVAS
Providenciar o
Pode
Uma rápido conserto
comprometer
determinada Plano de da máquina ou
33,33% de toda
máquina de manutenção a sua
a produção da
Figura 15-A: Risco, Impacto e Medidas 2. uma linha de que preveja substituição,
Fonte: Autoria própria. empresa,
produção de revisões conforme o
prejudicando
três máquinas periódicas nas caso. Contatar
um terço da
parar de máquinas. clientes
entrega de
funcionar. eventualmente
vendas.
prejudicados.
 Observe que quanto mais elaborado um plano de análises para enfrentamento de riscos,
mais bem preparada está a organização para lidar com tais eventualidades.
 Um outro ponto que não pode ser desprezado e que faz parte da análise de risco é que
determinada ocorrência pode, à luz da incerteza, caminhar de forma diferente do que foi
planejado. A preocupação evidente é quando as coisas caminham de maneira a
comprometer o objetivo traçado ou alcançá-lo de forma menos eficaz ou eficiente. No
entanto, as coisas podem acontecer de forma a superar positivamente os objetivos
pretendidos. Neste caso houve um desvio positivo.
A figura 16 expressa exatamente isso:

OBJETIVO
Incerteza Incerteza
Efeito – Efeito +
Figura 16: O que é risco?
Fonte: Adaptado de: Rosa e Toledo (2015). RISCO
Maximizar
Anular ou diminuir
 Observe-se que o objetivo pretendido é representado pela seta reta. Há uma área
em vermelho à esquerda e outra área em azul, à direita. O espaço à esquerda sinaliza
os desvios que comprometem o objetivo que pode ocorrer no caminho e para os quais
se justificam plenamente todas as análises de risco. E o espaço à direita sinaliza,
da mesma forma, possíveis desvios dos objetivos finais, só que no sentido
de superar aquilo que se espera.
 Exemplo: uma fábrica de calçados espera vender, ao final do ano, dez mil pares de calçados.
Se vendesse apenas sete mil, estaria no espaço à esquerda. Se vendesse quinze mil pares,
estaria à direita.
 Observe-se, ainda, que nesse caso específico, o desvio positivo poderia merecer estudos
de enfrentamento também, pois o aumento de 50% a mais de vendas do que o previsto
poderia gerar uma série de despesas agregadas para as quais a organização poderia
não estar preparada.
De qualquer forma, é importante ressaltar que o resultado positivo sempre concorrerá para a
realização da organização. Como lembram Rosa e Toledo (2015):
 Ressalta-se que a probabilidade relacionada aos efeitos positivo e negativo não são
necessariamente iguais. Pelo contrário, idealmente, o propósito da gestão de riscos é
identificar, compreender e tratar o risco de forma a aumentar a probabilidade de atingir-se
o efeito positivo em detrimento do efeito negativo.
 A compreensão de toda a sistemática, desde o vocabulário

adequado até os processos que constituem a gestão de riscos,
são objetos de normativas específicas, como a ISO-31000,
que será abordada mais adiante.
Elementos complementares da análise de risco
O gestor pode complementar informações para subsidiar a análise de riscos. Além da

descrição do risco, impacto, evento deflagrador e medidas corretivas e preventivas,
podem ser agregados os seguintes dados:
 Orientação: o que fazer diante da identificação do possível risco.
 Ação: descrever a ação ou ações específicas em cada caso, sejam preventivas ou corretivas.
 Responsável: quem efetivamente executará cada ação preventiva ou corretiva.
 Prazo: estabelecimento de prazo para cada ação a ser executada.
Para ilustrar o acréscimo dos elementos citados, segue exemplo oriundo de pesquisa realizada
numa empresa de autopeças, que pode ser observado na figura a seguir:
Preventiva Corretiva
Grau Orientação
Atividade Risco Probabilidade
impacto intervenção
Ação Responsável Prazo Ação Responsável Prazo
Processos Atuar no controle Segregar

Estudos iniciais Muito
fora do Baixa Mitigar do processo Operador Imediato as peças e Operador Imediato
do processo alto
padrão Cpk através do CEP inspecionar
Estudos Segregar
Treinar operadores,
de análise Resultado Muito Depto. De acordo peças
Remota Mitigar calibrar instrumentos Operador Imediato
dos sistemas da análise não... alto qualidade com planejamento do lote
de medição
de medição analisado
Figura 17: Análise de riscos.

Fonte: Adaptado de: Silva et al (2010).
 Observa-se no exemplo acima que apesar das probabilidades serem consideradas baixa
e remota, o grau de impacto, caso ocorra, seria muito alto. A orientação de mitigar (tornar
mais brando ou suave o risco) seria através das ações preventivas especificadas. Caso
o risco se concretize, seguem as ações corretivas. Há também prazos e responsáveis
para as ações de prevenção e correção.
 Observação: a figura mostra apenas um exemplo de análise e o seu formato é exatamente

o que foi extraído na fonte referenciada.
Outro ponto importante tem a ver com os princípios da gestão de riscos. Por exemplo,
a Controladoria Geral da União (CGU) estabelece como princípios os seguintes pontos:
 Proteção do ambiente interno como forma de garantir a atividade desenvolvida pela

organização em ambiente corporativo saudável;
 A atividade de gerir riscos é própria de todas as áreas da organização.

Interatividade
Quando uma ocorrência representa a materialização da possibilidade de um risco previsto

na análise de riscos da organização, é classificada como:
a) Risco.
b) Impacto.
c) Medida preventiva.
d) Medida corretiva.
e) Evento deflagrador.
Resposta
Quando uma ocorrência representa a materialização da possibilidade de um risco previsto

na análise de riscos da organização, é classificada como:
a) Risco.
b) Impacto.
c) Medida preventiva.
d) Medida corretiva.
e) Evento deflagrador.
 A gestão de riscos auxilia a tomada de decisões por parte da área estratégica

da organização;
 A incerteza é abordada sem rodeios, de forma objetiva;
 Tudo deve ser sistematizado de forma estruturada;
 As informações são fidedignas;

 A análise considera aspectos próprios da cultura e dos recursos humanos envolvidos;
 A administração de riscos é absolutamente transparente;
 É dinâmica e é capaz de mudanças, se necessário;

 É um instrumento de apoio da melhoria contínua de toda a organização;
 Está integrada às inovações.
 Cada organização pode adaptar estes e outros princípios, mas o importante é fazer com que
a gestão de riscos seja um instrumento organizacional que apoie e auxilie o desenvolvimento
da organização, bem como uma ferramenta eficiente e eficaz no gerenciamento de possíveis
ocorrências de risco. O comitê de riscos pode, por exemplo, fazer reuniões periódicas com
os vários setores da organização para atualizar os estudos na área.
Princípios da Gestão de Riscos da CGU

Agregar valor e proteger o ambiente interno da CGU
Ser parte integrante dos processos organizacionais
Subsidiar a tomada de decisões
Abordar explicitamente a incerteza
Ser sistemática, estruturada e oportuna
Quadro 5: Gestão de Riscos CGU. Ser baseada nas melhores informações disponíveis
Fonte: Adaptado de: CGU (2018, f.9).
Considerar fatores humanos e culturais
Ser transparente e inclusiva
Ser dinâmica, interativa e capaz de reagir a mudanças
Apoiar a melhoria contínua da CGU
Estar integrada às oportunidades e à inovação
Fontes para Estudos da Gestão de Riscos
Há uma série de fontes importantes para o estudo e o aperfeiçoamento da área de gestão de

riscos. Uma delas é a publicação de um comitê americano, conhecida por COSO ERM:
 Commitee of Sponsoring Organizations (COSO) é o Comitê
das Organizações Patrocinadora da Comissão Nacional sobre
Fraudes em Relatórios Financeiros. Criada em 1985, é uma
entidade do setor privado – ou seja, iniciativa independente –,
sem fins lucrativos, voltada para o aperfeiçoamento da
qualidade de relatórios financeiros, principalmente para
estudar as causas da ocorrência de fraudes em relatórios
financeiros. Cabe ressaltar que a origem do modelo COSO
está relacionada a um grande número de escândalos
financeiros na década de 1970 nos Estados Unidos, que
colocaram em dúvida a confiabilidade dos relatórios
corporativos (ENAP, 2018, p.6).
 O trabalho do Commitee of Sponsoring Organizations (COSO), Enterprise Risk Management

Framework (ERM), traduzido por Gerenciamento de Riscos Corporativos – Estrutura
Integrada, fornece parâmetros para uma gestão de riscos para qualquer organização.
A Pricewaterhouse Coopers traduziu o trabalho do COSO e, a seguir, apresentamos alguns
dados do que está consignados naquele manual.
O COSO-ERM aborda objetivos vinculados aos níveis:

 Estratégicos: definições de acordo com a missão da organização;
 Operacionais: eficiência e eficácia nas operações;
 De comunicação: relatórios transparentes;
 Conformidade: respeito às leis e normas.
A figura a seguir mostra, na concepção do COSO, a inter-relação entre os
objetivos citados, os componentes do gerenciamento de riscos e os diversos
níveis da organização.
 A figura a seguir mostra, na concepção do COSO, a inter-relação entre os objetivos citados,
os componentes do gerenciamento de riscos e os diversos níveis da organização.
Unidade de Negócio
Ambiente Interno
Nível de Organização
Subsidiária
Fixação de Objetivos
Identificação de Eventos
Divisão
Figura 18: COSO-ERM.
Fonte: Adaptado de: PWC-COSO.
Avaliação de Riscos
Resposta a Risco
Atividades de Controle
Informações e Comunicações
Monitoramento
 Outra importante fonte de estudos é o que está estabelecido na norma ISO-31000. A

International Organization for Standardization (ISO) é uma organização que promove estudos
de padronização em vários segmentos. Desenvolve normas e testes e tem representantes
de vários países. Há exemplos de trabalhos reconhecidos internacionalmente, como a ISO-
9000, que trata da gestão da qualidade, e a ISO-14000, que trata da certificação ambiental.
Na área de riscos foi desenvolvida a ISO 31000:
 A ABNT NBR ISO 31000 foi elaborada pela Comissão de Estudo Especial de Gestão de
Riscos (CEE-63), sendo uma adoção idêntica, em conteúdo técnico, estrutura e redação
, à ISO 31000:2009, que foi elaborada pela ISO Technical Management Board Working
Group on Risk Management (ISO/TMB/WG), conforme ISO/IEC Guide 21-1:2005.
Quando implementada e mantida de acordo com essa Norma, a gestão dos riscos possibilita
à organização inúmeros benefícios, dos quais destacamos:
 aumentar a probabilidade de atingir os objetivos;
 encorajar uma gestão proativa;
 estar atento para a necessidade de identificar e tratar os riscos através de toda
a organização;
 melhorar a identificação de oportunidades e ameaças;
 atender às normas internacionais e requisitos legais e regulatórios pertinentes;
 melhorar o reporte das informações financeiras;

 melhorar a governança;
 melhorar a confiança das partes interessadas;
 estabelecer uma base confiável para a tomada de decisão e o planejamento;
 melhorar os controles;
 alocar e utilizar eficazmente os recursos para o tratamento de riscos;
 melhorar a eficácia e a eficiência operacional;

 melhorar o desempenho em saúde e segurança, bem como a proteção do meio ambiente;
 melhorar a prevenção de perdas e a gestão de incidentes;
 minimizar perdas;
 melhorar a aprendizagem organizacional; e
 aumentar a resiliência da organização (ENAP, 2018, p.6).
Estabelecimento
do contexto
Processo de avaliação de riscos
Identificação de riscos
Comunicação Monitoramento
e consulta Análise de riscos e análise crítica
Figura 19: Processo de gestão de riscos
segundo a ISO 31000.
Avaliação de riscos
Tratamento de riscos
 O Reino Unido, a partir de 2001, implantou um amplo programa de gerenciamento de riscos,

baseado em princípios amplamente utilizados internacionalmente. Tais princípios estão
relacionados numa obra publicada pelo Her Majesty’s Treasury ou HM Treasury,
departamento inglês responsável pela política econômica do país. A obra foi intitulada
The orange book: management of risk – principles and concepts.
Orange book:
 O documento The orange book: management of risk – principles and concepts (O livro
laranja: gerenciamento de riscos – princípios e conceitos) foi produzido e publicado pelo HM
Treasury do Governo Britânico, sendo amplamente utilizado como a principal referência do
Programa de Gerenciamento de Riscos do Governo do Reino Unido, iniciado em 2001.
O documento foi atualizado em 2004.
 Segundo o Projeto de Desenvolvimento do Guia de Orientação para o Gerenciamento de

Riscos desenvolvido pelo MP, Programa Gespública, o Orange book tem como vantagens,
além de ser compatível com padrões internacionais de gerenciamento de riscos, apresentar
uma introdução ao tema gerenciamento de riscos, tratando de forma abrangente e simples
um tema tão complexo.
 Ainda do ponto de vista do referido projeto, riscos devem ser gerenciados em três níveis:
estratégico, de programas e de projetos e atividades. A organização deve ser capaz de
gerenciar riscos nos três níveis. Vejamos alguns detalhes sobre cada um destes níveis:
Nível estratégico
 Neste nível, acontece o contrato político do governo com a sociedade e é estabelecida
a coerência do seu programa de governo. As decisões aqui tomadas envolvem a formulação
dos objetivos estratégicos e as prioridades para a alocação de recursos públicos
em alinhamento com as políticas públicas.
Nível programa
 Neste nível, encontram-se as decisões de implementação e gerenciamento de programas
temáticos previstos no nível estratégico, através dos quais são executadas as políticas
e as ações prioritárias de governo.
Nível projetos e atividades

 Neste nível, encontram-se os projetos que contribuirão para o atingimento dos objetivos
dos programas e as atividades relativas aos processos finalísticos. As lideranças em todos
os níveis da organização devem estar conscientes, capacitadas e motivadas com relação
à relevância do gerenciamento de riscos nos três níveis, que são interdependentes
ENAP (2018, p.10).
Objetivos da Gestão de Riscos da CGU

Aumentar a probabilidade de atingimento dos objetivos da CGU
Fomentar uma gestão proativa
Atentar para a necessidade de se identificar e tratar riscos em toda a CGU
Facilitar a identificação de oportunidades e ameaças
Prezar pelas conformidades legal e normativa dos processos organizacionais
Melhorar a prestação de contas à sociedade
Melhorar a governança
Quadro 6: Gestão de Riscos CGU. Estabelecer uma base confiável para a tomada de decisão e o planejamento
Fonte: Adaptado de: CGU (2018, f.9).
Melhorar o controle interno da gestão
Alocar e utilizar eficazmente os recursos para a mitigação de riscos
Melhorar a eficácia e a eficiência operacional
Melhorar a prevenção de perdas e a gestão de incidentes
Minimizar perdas
Melhorar a aprendizagem organizacional
Aumentar a capacidade da organização de se adaptar a mudanças
Interatividade
Entre os objetivos da gestão de riscos da CGU estão:
I. Melhorar a governança.
II. Minimizar perdas.
III. Melhorar o controle interno da gestão.
Estão corretas:
Resposta
Entre os objetivos da gestão de riscos da CGU estão:
I. Melhorar a governança.
II. Minimizar perdas.
III. Melhorar o controle interno da gestão.
Estão corretas:
Técnicas de análises de riscos
 As técnicas de análise de risco variam. Podem se basear em cálculos supercomplexos,

oriundos de organizações especializadas nas avaliações de nichos específicos ou na
observação atenta do operador responsável pela análise. De uma forma geral, as melhores
análises de risco estão baseadas no equacionamento de duas vertentes básicas:
a probabilidade do risco e o impacto.
Considerações básicas sobre as análises de riscos
 O primeiro ponto a ser definido é que a análise do risco deve e precisa ser absolutamente
individual para cada ocorrência possível. Fazer uma única análise de risco para ocorrências
semelhantes não é uma boa prática. Por exemplo, uma empresa possui cinco linhas de
produção. Ainda que sejam parecidas, as análises de risco devem contemplar cada uma,
com suas especificidades. Para cada linha, alguns dados que podem auxiliar numa análise
pertinente dos possíveis riscos:
a) Qual produto é fabricado em cada uma das linhas?

b) Qual a velocidade de produção em cada uma delas?
c) Quantos funcionários trabalham em cada uma?
d) Quantos turnos de trabalho em cada uma das linhas?
e) Qual o histórico de interrupções e quais as razões?
 Tais questionamentos permitiriam saber, por exemplo, as linhas com maior incidência
de interrupção de trabalho e quais os motivos que levaram às interrupções. Por exemplo,
um problema de manutenção registrado numa única linha pode se repetir nas outras.
Um eventual acidente de trabalho com determinado funcionário pode ocorrer novamente
com outros trabalhadores.
 A individualização do contexto e da compreensão das atividades é fundamental.

Posteriormente, podem ser estabelecidas relações que podem evitar problemas
semelhantes já ocorridos.
 Outro fator determinante para a análise de riscos é verificar o impacto que determinado
evento poderia trazer para a organização. A respeito do impacto, o manual da Controladoria
Geral da União (CGU) estabelece:
“Considerando o resultado da etapa de Entendimento do Contexto, o fluxo do processo

organizacional, e a partir da experiência da equipe técnica designada, deve-se construir uma
lista abrangente de eventos que podem evitar, atrasar, prejudicar ou impedir o cumprimento
dos objetivos do processo organizacional ou das suas etapas críticas. Os riscos podem ser
identificados a partir de perguntas como:
 Quais eventos podem evitar o atingimento de um ou mais objetivos

do processo organizacional?
 Quais eventos podem atrasar o atingimento de um ou mais objetivos
 Quais eventos podem prejudicar o atingimento de um ou mais objetivos
 Quais eventos podem impedir o atingimento de um ou mais objetivos
do processo organizacional?”
(CGU, 2018, p.19).
 Observe-se que após a individualização de possibilidade de ocorrência de cada evento, o

estabelecimento do impacto permitirá orientar a organização para o enfrentamento possível
do risco estudado. E, neste contexto, os estudos devem estar relacionados aos objetivos da
organização: o impacto poderá evitar, atrasar, prejudicar ou impedir tais objetivos? Quanto
maior a relevância do impacto, mais os objetivos serão impactados. Até, numa proporção
extremada, impedir que a organização continue existindo.
 Por exemplo, uma empresa que tenha em seu estoque um milhão de litros de combustível
(tipo gasolina) estocados num único tanque que fica próximo às instalações produtivas
e administrativas.
 Risco 1: Pequeno vazamento de 10 litros de combustível. Se o vazamento for monitorado,

imediatamente é contido e o incidente não possui maior relevância, seja na continuidade
dos negócios da empresa, seja no aspecto do prejuízo financeiro.
 Risco 2: O tanque com 1 milhão de combustível explodir. Pode causar mortes e ferimentos
seríssimos. Pode destruir completamente a organização e o resultado pode ser a
descontinuidade dos negócios (extinção da empresa). Os prejuízos financeiros
serão de grande monta.
 Portanto, a identificação dos impactos é fundamental para uma correta análise dos riscos.
 Outro ponto relevante é analisar as possíveis causas das ocorrências citadas no exemplo.
Por que o tanque explodiria? Quais as motivações que poderiam levar a tal incidente?
Da mesma forma, por que haveria um vazamento pequeno no tanque?
 Tais questões propiciam um planejamento adequado e uma verificação das possíveis

causas geradoras de eventos críticos. Por exemplo, se há uma ligação elétrica muito
próxima do tanque citado, ela pode ser transferida para evitar um evento deflagrador
de uma explosão. A válvula de contenção do combustível deve ser periodicamente
verificada para evitar um vazamento.
 Além disso, devem-se analisar possíveis ações criminosas, como fraudes com o objetivo
de prejudicar a organização. Nesse caso, providências como o monitoramento constante
do espaço físico, seja através de câmaras de monitoramento, seja através de vigilantes,
permitem a manutenção de um ambiente de segurança adequado.
Explorando, ainda, a abordagem e controle dos evento identificados nos estudos iniciais,
a CGU observa que:
 Os eventos identificados inicialmente podem ser analisados e revisados, reorganizados,

reformulados e até eliminados nesta etapa e, para tanto, podem ser utilizadas
as seguintes questões:
 O evento é um risco que pode comprometer claramente um objetivo do processo?

 O evento é um risco ou uma falha no desenho do processo organizacional?
 À luz dos objetivos do processo organizacional, o evento identificado é um risco
ou uma causa para um risco?
 O evento é um risco ou uma fragilidade em um controle para tratar um risco do processo?
(CGU, 2018, p.19).
Exemplos práticos de análises de riscos
 A seguir serão apresentadas algumas análises de riscos baseadas em dois métodos: um

mais simples e objetivo, o método 1, baseado em Caruso e Steffen (2006, p.6), em que as
análises são processadas de uma forma mais rápida e atende bem aos objetivos da gestão
de riscos. E outro método pouco mais complexo, baseado nas análises recomendadas pela
Controladoria Geral da União – CGU, de acordo com as práticas do Tribunal de Contas
da União – TCU.
 No primeiro método, que batizamos de método 1, há definições de probabilidade

e consequência (impacto) divididas em quatro níveis. Para a probabilidade de risco há
os níveis extremamente improvável, improvável, possível e bem possível ou já ocorrida.
E para a consequência ou impacto há os níveis de insignificante, média e alta ameaça
ao negócio.
Análise:
R=PXC
MÉTODO 1
Sendo que: PROBABILIDADE (P) CONSEQUÊNCIA (C)
R = Grau de Risco
P = Probabilidade EXTREMAMENTE
C = Consequência 1 INSIGNIFICANTE 1
IMPROVÁVEL
1 < R < 4 = Risco Baixo
4 < R < 6 = Risco Médio
6 < R < 9 = Risco Alto
2 IMPROVÁVEL MÉDIA 2
R > 9 = Crítico
3 POSSÍVEL ALTA 3
BEM POSSÍVEL AMEAÇA
4 4
OU JÁ OCORRIDA AO NEGÓCIO
Tabela 20: Tabela de Probabilidades X Consequências
Fonte: Adaptado de: Caruso e Steffen (2006, p.6).
Observe, ainda, os fatores de análise:

Fator probabilidade
 Extremamente improvável: quando a probabilidade de ocorrência é ínfima, o gestor
estabelece esse critério quando realmente a ocorrência é extremamente rara.
 Improvável: tal critério é estabelecido quando a ocorrência é rara e improvável.
 Possível: quando há possibilidade da ocorrência se materializar.
 Bem possível ou já ocorrida: quando a ocorrência tem forte possibilidade de ocorrer
ou já ocorreu.
Fator consequência
 Insignificante: se o fato estudado efetivamente ocorrer, mas se tal fato não representar
qualquer impacto na segurança da organização.
 Média: tal critério é estabelecido quando a ocorrência possa trazer consequências médias
para a organização.
 Alta: quando há possibilidade de consequências graves.
 Ameaça ao negócio: quando a ocorrência tem o potencial de comprometer a existência
da organização.
 Portanto, o nível de risco é definido pela multiplicação das colunas Probabilidade (P)
e Consequência (C). Após a multiplicação, o nível pode ser classificado de Baixo
(se a multiplicação ficar ente 1 e menos que 4), Médio (igual ou maior que 4 e menor que 6),
Alto (igual ou maior que 6 e menor que 9) e crítico (maior que 9, sendo que o grau máximo
seria 16).
 Em relação ao Método 1, uma observação importante: é um método bastante simples

e, ao mesmo tempo, eficiente. Permite uma análise bastante rápida e pode ser usado
para complementar uma análise de maior relevância ou, até mesmo, ser o único método
em análise menos relevante. Observe os exemplos a seguir:
Exemplo 1: Análise de fato mais relevante.
 Hipótese: instalações que armazenem material inflamável. É uma situação de relevância,

pois se houver algum acidente pode gerar danos bastante significativos. O Método 1 deve
ser utilizado como complementar, sendo importante a utilização de outros métodos para que
a análise seja a mais ampla possível em função da relevância. De qualquer forma, neste
caso, uma possível análise está representada na figura a seguir:
MÉTODO 1: INSTALAÇÕES COM COMBUSTÍVEL
PROBABILIDADE (P) CONSEQUÊNCIA (C)
EXTREMAMENTE
1 INSIGNIFICANTE 1
Figura 21: Análise de fato de maior
IMPROVÁVEL
relevância – Método 1.
Fonte: Adaptado de: Caruso e Steffen
(2006, p.6). 2 IMPROVÁVEL MÉDIA 2
3 POSSÍVEL X X ALTA 3

4 4
 No caso específico, foi considerado que se o combustível pegasse fogo, por exemplo,
a consequência seria alta. E, conforme a análise realizada, as circunstâncias apresentadas
indicaram uma ocorrência possível. Neste caso, temos: R = 3 X 3 => R = 9. Ou seja, o risco
é igual a 9, que define um risco alto. Neste caso é importante se concentrar ao máximo
nas medidas preventivas, além da utilização de outros métodos, principalmente aqueles
vinculados à saúde e à segurança do trabalho.
Exemplo 2: Análise de fato menos relevante.
 Hipótese: possibilidade de um carro da empresa ter o pneu furado nas garagens internas.
O Método 1 pode ser utilizado como principal, haja vista que a ocorrência não trará
problemas de maior relevância. Evidentemente que tal método pode também ser utilizado
em outras situações. Contudo, para situações mais complexas pode ser utilizado
o método que apresentaremos a seguir.
Neste caso, uma possível

análise está representada MÉTODO 1: PNEU FURADO NAS GARAGENS DA
na figura a seguir: EMPRESA
PROBABILIDADE (P) CONSEQUÊNCIA (C)
EXTREMAMENTE
1 X INSIGNIFICANTE 1
Figura 22: Análise de fato de menor IMPROVÁVEL
relevância – Método 1.
Fonte: Adaptado de: Caruso e Steffen
(2006, p.6).
2 IMPROVÁVEL MÉDIA 2
3 POSSÍVEL ALTA 3

4 X 4
 No caso específico, a ocorrência de um pneu furado nas dependências da organização pode

ser considerada um evento de forte probabilidade ou, até mesmo, conforme o caso concreto,
de fato já ocorrido. Contudo, apesar do incômodo, um pneu furado não tem a relevância para
causar maiores riscos. Neste caso, temos: R= 4 X 1 => R = 4. Ou seja, o risco é igual a 4,
que define um risco médio. Neste caso, é importante verificar as possibilidades de
enfrentamento adequado do problema, como a reposição imediata do pneu furado,
a devida sinalização interna, entre outras providências. Observe que o risco somente
é médio em função da alta possibilidade de ocorrência.
 Há tabelas mais complexas que naturalmente podem ser aplicadas em organizações mais
complexas. A Controladoria Geral da União (CGU), baseada nas formulações do Tribunal
de Contas da União (TCU), recomenda um programa específico de gestão de riscos
que estabelece a seguinte Escala de Probabilidade:
Escala de Probabilidade
Descrição da probabilidade,
Probabilidade Peso
desconsiderando os controles
Improvável. Em situações excepcionais,
Muito Baixa o evento poderá até ocorrer, mas nada 1
nas circunstâncias indica essa possibilidade.
Rara. De forma inesperada ou casual,
Baixa o evento poderá ocorrer, pois as circunstâncias 2
pouco indicam essa possibilidade.
Quadro 7: Gestão de Riscos CGU.
Possível. De alguma forma, o evento poderá
Fonte: Adaptado de: CGU (2018, p.20).
Média ocorrer, pois as circunstâncias indicam 5
moderadamente essa possibilidade.
Provável. De forma até esperada, o evento
Alta poderá ocorrer, pois as circunstâncias indicam 8
fortemente essa possibilidade.
Praticamente certa. De forma inequívoca,
Muito Alta o evento ocorrerá, as circunstâncias indicam 10
claramente essa possibilidade.
Escala de Impacto
Descrição do impacto nos objetivos,
Impacto Peso
caso o evento ocorra
RI = NP x NI
Mínimo impacto nos objetivos
Em que: (estratégicos, operacionais,
Muito Baixo 1
RI = Nível do risco inerente de informação/comunicação/divulgação
NP = Nível de probabilidade do risco ou de conformidade)
NI = Nível de impacto do risco Baixo Pequeno impacto nos objetivos (idem) 2
Moderado impacto nos objetivos (idem),
Médio 5
Quadro 8: Escala de Impacto CGU. porém recuperável
Significativo impacto nos objetivos (idem),
Alto 8
de difícil reversão
Catastrófico impacto nos objetivos (idem),
Muito Alto 10
de forma irreversível
Classificação do Risco
Classificação Faixa
Risco Baixo – RB 0 – 9,99
Risco Médio – RM 10 – 39,99
Risco Alto – RA 40 – 79,99
Risco Extremo – RE 80 – 100
Quadro 9: Classificação de Risco CGU.
Interatividade
As análises de risco estão baseadas no equacionamento de duas vertentes básicas:
a) A probabilidade do risco e o impacto.

b) O custo do material e o custo dos salários.
c) O custo das máquinas e o salário dos funcionários.
d) O custo da reputação e o custo dos equipamentos.
e) A probabilidade do risco e o salário dos funcionários.
Resposta
As análises de risco estão baseadas no equacionamento de duas vertentes básicas:
a) A probabilidade do risco e o impacto.

b) O custo do material e o custo dos salários.
c) O custo das máquinas e o salário dos funcionários.
d) O custo da reputação e o custo dos equipamentos.
e) A probabilidade do risco e o salário dos funcionários.
Referências
 CARUSO, C. A. A.; STEFFEN, F. D. Segurança em informática e de informações.

3. ed. São Paulo: Senac, 2006.
 MAXIMIANO, A. C. A. Fundamentos de administração: manual compacto para as disciplinas
TGA e introdução à administração. 2. ed. São Paulo: Atlas, 2009.
ATÉ A PRÓXIMA!

Slides de Aula - Unidade III

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Slides de Aula - Unidade III

Enviado por

Direitos autorais:

Formatos disponíveis

UNIDADE III

Prof. Dr. Herbert Espuny

Apenas para exemplificar, observe a seguinte análise:

 Objetivo: viajar da cidade de São Paulo até a cidade de Recife.

 Questões logísticas relevantes: locais de abastecimento do veículo. Locais para

 Riscos inerentes à viagem: furar pneus. Problemas mecânicos no veículo. Eventuais

Planejamento da viagem: o aspecto inicial do planejamento da viagem tem a ver com

Na hipótese de sair de São Paulo em determinado horário, qual a autonomia do veículo?

a) Dia 1: Saída de SP às 6h00

 Observe-se que faz parte do planejamento verificar no percurso os seguintes pontos

 No ponto d, os viajantes já teriam andado 360 quilômetros (6 horas dirigindo a 60 k/h).

Considerando a definição de riscos ligada às incertezas e aos riscos já levantados,

b) Riscos relacionados à manutenção do veículo. Mitigação dos riscos: mandar o veículo

d) Eventuais congestionamentos que atrasem a viagem. Mitigação dos riscos: esses

 Após os levantamentos desenvolvidos, passa-se à formalização da análise, com os

 Os administradores das organizações de todas as áreas devem introduzir, no planejamento

Considere as seguintes afirmações:

I. Providências que visem minimizar as consequências causadas.

Em relação às medidas corretivas, estão corretas:

Considere as seguintes afirmações:

I. Providências que visem minimizar as consequências causadas.

Em relação às medidas corretivas, estão corretas:

 Considerando as análises RISCO IMPACTO

 Observação: o evento deflagrador pode ou não constar no quadro de análise. Se for

 Ações corretivas: providenciar o rápido conserto da máquina ou a sua substituição,

A figura 16 expressa exatamente isso:

 A compreensão de toda a sistemática, desde o vocabulário

O gestor pode complementar informações para subsidiar a análise de riscos. Além da

 Orientação: o que fazer diante da identificação do possível risco.

 Responsável: quem efetivamente executará cada ação preventiva ou corretiva.

 Prazo: estabelecimento de prazo para cada ação a ser executada.

Processos Atuar no controle Segregar

Figura 17: Análise de riscos.

 Observação: a figura mostra apenas um exemplo de análise e o seu formato é exatamente

 Proteção do ambiente interno como forma de garantir a atividade desenvolvida pela

 A atividade de gerir riscos é própria de todas as áreas da organização.

Quando uma ocorrência representa a materialização da possibilidade de um risco previsto

Quando uma ocorrência representa a materialização da possibilidade de um risco previsto

 A gestão de riscos auxilia a tomada de decisões por parte da área estratégica

 A incerteza é abordada sem rodeios, de forma objetiva;

 Tudo deve ser sistematizado de forma estruturada;

 As informações são fidedignas;

 A análise considera aspectos próprios da cultura e dos recursos humanos envolvidos;

 A administração de riscos é absolutamente transparente;

 É dinâmica e é capaz de mudanças, se necessário;

 É um instrumento de apoio da melhoria contínua de toda a organização;

 Está integrada às inovações.

Princípios da Gestão de Riscos da CGU

Fontes para Estudos da Gestão de Riscos

Há uma série de fontes importantes para o estudo e o aperfeiçoamento da área de gestão de

 O trabalho do Commitee of Sponsoring Organizations (COSO), Enterprise Risk Management

O COSO-ERM aborda objetivos vinculados aos níveis:

 Outra importante fonte de estudos é o que está estabelecido na norma ISO-31000. A

Na área de riscos foi desenvolvida a ISO 31000:

 melhorar o reporte das informações financeiras;

 melhorar a eficácia e a eficiência operacional;

 O Reino Unido, a partir de 2001, implantou um amplo programa de gerenciamento de riscos,

 Segundo o Projeto de Desenvolvimento do Guia de Orientação para o Gerenciamento de

Nível projetos e atividades

Objetivos da Gestão de Riscos da CGU

Entre os objetivos da gestão de riscos da CGU estão:

Entre os objetivos da gestão de riscos da CGU estão: