Gerenciamento de Riscos

E-BOOK
GERENCIAMENTO
DE RISCOS
Definição de Gerenciamento de Riscos
APRESENTAÇÃO
O gerenciamento de riscos, por sua importância estratégica, vem se tornando cada vez mais
importante no dia a dia das empresas. Ele é parte fundamental do planejamento estratégico e
exige processos contínuos e estruturados, desenhados de acordo com a realidade de cada
organização. Um gerenciamento eficaz de riscos é dado pela qualidade da estrutura de sua
governança, que inclui estratégia, cultura, processos e tecnologia utilizados pelas organizações.
Nesta Unidade de Aprendizagem, você vai conhecer os conceitos básicos associados ao risco,
além da história e da definição do gerenciamento de riscos.
Bons estudos.
Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:
• Definir conceitos básicos de riscos.

• Identificar a história do gerenciamento de riscos.
• Compreender a definição de gerenciamento de riscos.
DESAFIO
O gerenciamento de riscos trata, basicamente, de como as organizações enfrentam as incertezas

que podem afetar negativamente os seus projetos e planos. Na definição de Verzuh (2000, p.
109), “o gerenciamento dos riscos é um meio pelo qual a incerteza é sistematicamente
gerenciada para aumentar a probabilidade de cumprir projetos”.
Você trabalha como responsável no departamento de projetos de uma organização. O trabalho,

naturalmente, exige que você e sua equipe compreendam a linguagem própria da área,
principalmente o significado das expressões mais relevantes ao contexto da gestão de riscos.
Porém, você pecebeu que alguns integrantes da equipe, por serem novatos no time, estão com
dificuldades para compreender e fazer uso dos termos na elaboração de relatórios, por exemplo.
Para ajudar, você resolve fazer uma dinâmica como treinamento de reforço. Com o time reunido
ao redor de uma mesa, você começa distribuindo alguns cartões contendo algumas das
expressões mais importantes:
- Risco inerente
- Probabilidade
- Critério de risco
- Risco residual
- Apetite ao risco
- Impacto
- Tolerância ao risco
Logo após, você apresenta outros cartões, agora contendo os significados das expressões, porém
de forma aleatória:
- Risco restante após uma resposta a riscos ser aplicada.

- Nível de variação aceitável quanto à realização dos objetivos.
- Possibilidade de ocorrência de um evento.
- Ausência de qualquer ação que a direção possa realizar para alterar a probabilidade de
ocorrência ou de impacto.
- O resultado da ocorrência do evento.
- Valores de referência em que o impacto e a probabilidade do risco são avaliados.
- A dimensão e o tipo de risco que uma organização está disposta a aceitar para consecução dos
seus objetivos.
Feito isso, você pediu para os participantes exercitarem seus conhecimentos, juntando
expressões e conceitos, associando-os corretamente.
Ao final, para concluir a atividade e garantir que todos tenham compreendido corretamente,
você deve apresentar as expressões e seus significados adequadamente conectados:
INFOGRÁFICO
O gerenciamento de riscos é uma forma organizada de identificar e medir os riscos e de

desenvolver, selecionar e gerenciar as opções para seu controle.
Conheça, no Infográfico a seguir, as seis etapas a serem desenvolvidas no gerenciamento de

riscos, de acordo com a abordagem PMBOK.
CONTEÚDO DO LIVRO
A definição mais simples de "risco" é aquela que diz que este é uma chance de perda, quando se
tem a probabilidade de alguma ação não ter sucesso em função de um acontecimento qualquer,
em que a vontade dos envolvidos não interfere na sua ocorrência. Os riscos envolvem incertezas
e perdas, podem ou não ocorrer, e trazem consequências muitas vezes indesejadas. Gerenciar
riscos dentro de uma organização é parte fundamental do planejamento estratégico e exige
processos contínuos e estruturados, desenhados de acordo com a realidade de cada organização.
Acompanhe um trecho da obra Gerenciamento de riscos. Leia o capítulo Definição de

gerenciamento de riscos, base teórica para esta Unidade de Aprendizagem, no qual você vai
conhecer os conceitos básicos de riscos e a história e a definição do gerenciamento de riscos.
Boa leitura.
GERENCIAMENTO DE RISCO
Simone Fraporti
U N I D A D E 1
Definição de gerenciamento
de riscos
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:
Identificar riscos.
Reconhecer historicamente o gerenciamento de riscos.
Definir gerenciamento de riscos.
Introdução
O gerenciamento de riscos tem se tornado cada vez mais importante
no dia a dia das empresas, não somente em decorrência do medo dos
fracassos corporativos que aconteceram e que poderiam ter sido evita-
dos, mas também pela importância estratégica que este gerenciamento
representa.
Gerenciar riscos dentro de uma organização é parte fundamental
do planejamento estratégico, e exige processos contínuos e estrutura-
dos, desenhados de acordo com a realidade de cada organização. Um
gerenciamento eficaz de riscos é dado pela qualidade da estrutura de
sua governança, que inclui estratégia, cultura, processos e tecnologia
utilizados pelas organizações.
Neste capítulo, você irá estudar os conceitos básicos de riscos, a his-
tória e a definição do gerenciamento de riscos.
Conceitos básicos de riscos

Risco é a possibilidade de ocorrência de um evento que venha a ter impacto
no cumprimento dos objetivos. Pode ser uma oportunidade ou uma ameaça
12 Definição de gerenciamento de riscos
aos objetivos da organização, sendo que um afeta negativamente e o outro,

positivamente os objetivos do projeto (MONTEIRO, 2017).
A probabilidade de ocorrência e de impacto que o risco exerce sobre os
objetivos organizacionais é o que o define, portanto quanto maior for a pro-
babilidade e o impacto, maior será o nível deste risco para a organização.
Enquanto a probabilidade está associada às chances de o evento acontecer,
o impacto está associado ao efeito que o evento ocorrido exerce sobre os
objetivos, ou seja, a materialização do risco.
NÍVEL DO RISCO = PROBABILIDADE VS. IMPACTO
Atualmente, as organizações estão expostas a uma grande quantidade e

variedade de riscos e, segundo Monteiro (2017), não existem recursos (tempo,
dinheiro, pessoas) para lidar com todos os riscos. Nesse sentido, é aconselhável
que as organizações concentrem seus recursos para lidar com os riscos que
mais podem impactar os objetivos da organização. Trabalhar com essa visão
faz parte da estratégia de sobrevivência de uma organização.
Os riscos são os mais variados, possuem as naturezas mais diversas possí-
veis e estão diretamente ligados ao alcance dos objetivos. Estes riscos podem
ser de natureza:
econômica;
ambiental;
social;
operacional;
legal/regulamentar;
imagem/reputação;
financeiro/orçamentário.
Você deve saber que outros termos também são utilizados e são importantes
para o gerenciamento dos riscos da organização. Os termos a seguir elencados
foram utilizados na elaboração da Resolução nº 249/2014 do Tribunal Regional
Eleitoral do Rio Grande do Sul (TRE/RS).
Evento: ocorrência ou mudança em um conjunto específico de circuns-

tâncias capaz de causar impacto.
Risco: possibilidade de algo acontecer e afetar os objetivos, sendo
medido em termos de impactos e probabilidades.
Definição de gerenciamento de riscos 13
Critério de risco: são os valores de referência em que o impacto e a

probabilidade do risco são avaliados.
Nível de risco: intensidade do risco combinando com impacto e pro-
babilidade do evento.
Risco inerente: é o risco natural; ausência de qualquer ação que a
direção possa realizar para alterar a probabilidade de ocorrência ou
de impacto.
Risco residual: risco restante após uma resposta aos riscos ser aplicada.
Apetite ao risco: é a dimensão e o tipo de risco que uma organização
está disposta a aceitar para consecução dos seus objetivos.
Tolerância ao risco: é o nível de variação aceitável quanto à realização
dos objetivos.
Probabilidade: possibilidade de ocorrência do evento.
Impacto: resultado da ocorrência do evento.
História do gerenciamento de riscos

O gerenciamento de riscos, segundo o Instituto Brasileiro de Governança
Corporativa (IBGC) (2017) não é uma prática nova, fazendo parte da rotina
de qualquer empresário desde tempos muito remotos. Porém, o tema só co-
meçou a ganhar relevância no final do século XX, em virtude da globalização
e do aumento da complexidade das companhias, instituições financeiras
e organizações do terceiro setor. As práticas de gerenciamento de riscos,
inicialmente, eram direcionadas à área de seguros, mas aos poucos foram se
desenvolvendo como uma metodologia estruturada para as áreas de finanças,
auditoria, estratégia e tecnologia da informação.
A indústria financeira teve incentivo para implementar o gerenciamento
de riscos na década de 1980, devido à preocupação com a exposição dos
bancos a operações não registradas em balanço, combinadas com problemas
de empréstimos para os países categorizados como do terceiro mundo na
época (INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA,
2017).
Os primeiros resultados desse processo vieram em 1988, com o primeiro
Acordo da Basileia (Basileia I), que tinha como foco a alocação de capital para
fazer frente aos riscos de crédito e depois com suas emendas subsequentes
a partir de 1996.
A partir de 1993, foram criadas regras para o risco de mercado, em resposta
aos grandes desastres financeiros do início dos anos 1990, quando ocorreram
casos de espionagem corporativa, negociações fraudulentas em bolsas de

valores para aumentar lucros e subir ações, bônus milionários, falsificação
de contas para disfarçar prejuízos, entre outros (casos conhecidos como os da
Procter & Gamble, Orange County, Barings, etc.). Então, introduziu-se um
conceito para medir a perda potencial máxima do valor de uma carteira de
investimentos, com determinado nível de confiança em um dado intervalo
de tempo e em condições normais de funcionamento do mercado, o Value-
-at-Risk (VaR).
Value at Risk (VaR) é um método que avalia o risco em operações financeiras,

resumindo, em um número, o risco de um produto financeiro ou o risco de uma
carteira de investimentos de um montante financeiro. Esse número representa a
pior perda esperada em um dado horizonte de tempo e é associado a um intervalo
de confiança.
Entretanto, o processo de identificação e tratamento de riscos não finan-

ceiros é bem mais complexo, enquanto os riscos financeiros são quantificáveis
por meio de ferramentas como o VaR, a mensuração de outros riscos, como o
operacional, o ambiental ou o de reputação, são bem mais subjetivos. Dessa
forma, é necessário combinar uma série de técnicas quantitativas e qualitativas
para a mensuração dos riscos não financeiros, e é aí que a atenção se volta à
importância dos controles internos.
Nas companhias não financeiras, empresas que trabalham na produção de
bens e serviços não financeiros (excluem-se aqui bancos e outras instituições
financeiras), as diretrizes mais utilizadas a respeito de gestão de riscos têm
origem nas recomendações do Committe of Sponsoring Organizations of the
Treadway Commission (COSO), com indicações de metodologia integrada
para ajudar as organizações a analisar e a melhorar seus sistemas de controles
internos e seus processos de gestão de risco empresarial, do inglês Enterprise
Risk Management (ERM). Essa e outras metodologias têm sido amplamente
difundidas e incorporadas às políticas, regras e regulamentos por várias
empresas, visando melhor controlar suas atividades, de forma a atingir os
objetivos estabelecidos.
Para conhecer mais sobre o modelo COSO, acesse o

link ou código a seguir:
https://goo.gl/KjQL58
Seguindo essa linha, o Financial Accounting Standards Board (FASB),

organização norte-americana criada para padronizar normas na contabilidade
financeira de empresas cotadas em bolsa e não governamentais, entre outras
iniciativas, encorajou a divulgação de demonstrações financeiras mais com-
pletas, demonstrando o que tem sido feito para suavizar e gerenciar os riscos a
partir do modelo de governança instaurado. Além do relatório COSO de 1992,
importantes guias relativas aos controles internos e ao gerenciamento de riscos
foram publicadas, entre elas o Relatório Cadbury, em 1992, e o Turnbull em 1999.
Para conhecer mais sobre os modelos Cadbury e Turnbull, acesse os seguintes links:
https://goo.gl/YG82HN
https://goo.gl/f6QhPL
Em 2001, o colapso da empresa Enron revela um esquema gigantesco

de manipulação de balanços, ocultação de dívidas, lucros artificialmente
inflados e falhas de auditorias. Esse fato influenciou a aprovação, em 2002,
da chamada Lei Sarbanes-Oxley (SOX), que enfatizou o papel fundamental
dos controles internos e transformou em exigência legal, nos Estados Unidos,
que as empresas participantes do mercado acionário possuam estruturas e
mecanismos de governança adequados, com vistas a mitigar riscos, evitar a
ocorrência de fraudes e proteger os investidores (BRASIL, 2017).
Em 2004, o COSO publicou o ERM – integrated framework COSO-ERM

ou COSO II, modelo de referência que estendeu o COSO I, tendo como foco
a gestão de riscos corporativos. No mesmo ano é firmado o Acordo de Basi-
leia II, aplicável a instituições bancárias em nível mundial, tendo como grande
diferencial a inclusão de requisitos específicos relacionados à gestão de riscos
operacionais. Ainda em 2004, foi lançada a versão atualizada e expandida
da norma de gestão de risco AS/NZS nº 4360 (norma regional australiana e
neozelandesa, geralmente adotada como referência nas implementações de
processos de gerenciamento de riscos).
Em resposta à crise do mercado financeiro de 2007 e 2008, na mesma linha
da SOX, foi aprovada nos Estados Unidos a Lei Dodd-Frank, que aumentou
a regulamentação e definiu restrições relevantes sobre a atividade financeira
no país.
Em 2009, foi publicada a Norma Técnica ISO 31.000 Risk management
– Principles and guidelines, que provê princípios e boas práticas para um
processo de gestão de riscos corporativos, aplicável a organizações de qualquer
setor, atividade e tamanho. O modelo preconizado na ISO 31.000 aprimorou
os conceitos, as diretrizes e as práticas recomendadas em normas técnicas de
aplicação local que a precederam, como a AS/NZS nº 4360.
Em 2010, surge no Reino Unido o UK Bribery Act, com a intenção de ofe-
recer reforço a legislação internacional antissuborno. Bastante semelhante a lei
anticorrupção americana Foreign Corrupt Practices Act (FCPA), estabelecida
em 1977, o Bribery Act é um estatuto jurídico que definiu delitos criminais
relativos à prática de suborno em transações comerciais, bem como nos casos
de participação de funcionários públicos oficiais.
Em 2014, entrou em vigor no Brasil a Lei Anticorrupção (Lei nº 12.846/2013)
e, posteriormente a essa publicação, uma série de decretos e portarias vieram
contribuir para a regulamentação anticorrupção no Brasil. Essa lei busca
responsabilizar empresas, seus controladores, controladas, consorciadas ou co-
ligadas por práticas lesivas à administração pública, e as companhias passaram
a responder nas esferas administrativa e civil por atos de corrupção e fraude
em licitações e contratos com o poder público (INSTITUTO BRASILEIRO
DE GOVERNANÇA CORPORATIVA, 2017).
A regulamentação da Lei nº 12.846 (BRASIL, 2013), dada por meio do
Decreto Federal nº 8.420/2015, estabeleceu os critérios para cálculo de multas,
os parâmetros para a avaliação de programas de conformidade (compliance), as
regras para celebração dos acordos de leniência e disposições sobre o cadastro
nacional de empresas punidas. Estabeleceu, ainda, os mecanismos e procedi-
mentos de integridade, auditoria, aplicação de códigos de ética ou conduta e
incentivos de denúncia de irregularidades que devem ser adotados pela empresa

e monitorados pelo Ministério da Transparência, Fiscalização e Controle, antiga
Controladoria Geral da União (CGU). O programa de integridade deve ser
estruturado, aplicado e atualizado de acordo com as características de riscos
atuais das atividades de cada pessoa jurídica, que, por sua vez, é responsável
pelo constante aprimoramento e adaptação do programa.
Muito já foi feito, mas a busca por padrões de gerenciamento de riscos
corporativos ainda continua bastante ativa no Brasil e no mundo, e mode-
los alinhados às boas práticas vêm sendo desenvolvidos (alguns ainda em
resposta às crises) com o objetivo de incorporar novos conceitos de avalia-
ção de riscos e de controles, além de atender às exigências do mercado e
de órgãos reguladores (INSTITUTO BRASILEIRO DE GOVERNANÇA
CORPORATIVA, 2017).
Definição do gerenciamento de riscos

O gerenciamento de riscos pode ser definido como o processo de identificar,
avaliar, administrar e controlar possíveis eventos ou situações, para fornecer
razoável certeza quanto ao alcance dos objetivos da organização.
Para Monteiro (2017), a necessidade de se reduzir incertezas, a adoção
de práticas de gestão de qualidade, a busca da melhoria contínua, as crises
de governança, a visão estratégica e, principalmente, a sobrevivência das
organizações é que motivam a adoção de um processo de gerenciamento
de riscos.
Pode-se dizer que o gerenciamento de riscos anda junto ao planejamento
estratégico das organizações, e sua função é identificar e responder aos eventos
que possam afetar os objetivos e deve ser um processo contínuo e bem estru-
turado. Por meio desses processos, as oportunidades de ganhos são mapeadas
e se reduzem a probabilidade e o impacto de perdas.
O gerenciamento de riscos trata, basicamente, de como as organizações
trabalham no enfrentamento das incertezas que podem afetar negativamente
seus projetos ou planos de empreendimentos a serem realizados. Na definição
de Verzuh (2000, p. 109), “o gerenciamento dos riscos é um meio pelo qual
a incerteza é sistematicamente gerenciada para aumentar a probabilidade de
cumprir projetos”.
Se não houvesse probabilidades de algo dar errado, não haveria a necessi-
dade de um projeto ser gerenciado, portanto, como os riscos são inerentes a
qualquer atividade, pode-se dizer que todas as técnicas de gestão são técnicas
de prevenção de riscos (VERZUH, 2000). Kerzner (2006, p. 238), por sua vez,
diz que “[...] o gerenciamento de riscos é uma forma organizada de identificar
e medir os riscos e de desenvolver, selecionar e gerenciar as opções para seu
controle”.
A importância do gerenciamento de riscos é considerada por Verzuh (2000)
o principal trabalho da gestão de projetos, como os riscos de atrasos, de estouro
de orçamento, de qualidade insuficiente, entre tantos outros riscos que podem
afetar os objetivos traçados.
Segundo Vargas (2007) o Project Management Body of Knowledge (PM-
BOK) reconhece seis etapas a serem desenvolvidas no gerenciamento de riscos,
conforme você verá a seguir.
1. Planejamento do gerenciamento de riscos: como abordar, planejar e

executar as atividades de gerenciamento de riscos.
2. Identificação de riscos: quais, onde, quando, por que e como os eventos
podem impedir, atrapalhar, atrasar ou melhorar o alcance dos objetivos.
3. Análise qualitativa e quantitativa de riscos: identificar e avaliar os
controles existentes, determinar consequências, a probabilidade e o
nível de risco.
4. Planejamento de respostas aos riscos: desenvolver estratégias e planos
de ação específicos e econômicos, visando aumentar oportunidades e
reduzir as ameaças aos objetivos.
5. Monitoramento de respostas aos riscos: acompanhamento dos riscos
identificados, monitoramento dos residuais, identificação de novos,
execução de planos de respostas e avaliação de sua eficácia.
6. Comunicação implícita: comunicar e consultar as partes em cada etapa
do processo de gerenciamento de riscos e em relação ao processo como
um todo.
Para se planejar um bom gerenciamento de riscos em cada uma dessas

etapas, deve-se identificar e avaliar estes, reconhecendo as entradas, as técnicas
e as ferramentas que se tem e, por final, as saídas.
Nas entradas deve se avaliar dois itens em especial:
o registro de todos os riscos identificados, juntamente as suas causas-

-raiz, lista de respostas, os proprietários dos riscos, a classificação
relativa, as listas de prioridades, lista de riscos que necessitam de res-
postas em curto prazo, tendências nas análises qualitativas e lista de
observações para riscos de baixa prioridade;
o plano de gerenciamento de riscos propriamente dito, que contempla

os papéis e as responsabilidades, as definições de análise de riscos,
os intervalos de tempo para revisões e os limites para riscos baixos,
moderados e altos.
Nas técnicas e ferramentas para planejar respostas aos riscos, o PMBOK

cita as principais abordagens (VARGAS, 2007).
Estratégias para riscos negativos ou ameaças:

■■ eliminar a causa do problema;
■■ mitigar ou reduzir a probabilidade ou o impacto desta ameaça;
■■ transferir, desviar ou alocar a responsabilidade;
■■ aceitar, não fazer nada.
Estratégias para riscos positivos ou oportunidades:
■■ explorar, adicionar trabalho ou mudar projeto para assegurar a
oportunidade;
■■ melhorar, aumentar a probabilidade ou o impacto desta oportunidade;
■■ compartilhar, criar parcerias para concretizar a oportunidade;
■■ aceitar, não fazer nada;
Nas saídas temos (VARGAS, 2007):
Atualizações no plano de gerenciamento do projeto: podem haver mu-

danças no plano de gerenciamento do projeto, pois pacotes de trabalho
e recursos podem ser removidos, adicionados ou alocados a outros
projetos.
Atualizações nos documentos do projeto: documentos que envolvam
riscos identificados podem sofrer alterações nessa fase do projeto.
Atualizações nos registros dos riscos: podem ser adicionados o plane-
jamento das respostas aos riscos e, nesta fase, incluem-se:
■■ Riscos residuais: são aqueles que permanecem após o planejamento
das respostas aos riscos, devem possuir planos de contingência e
planos alternativos, além de serem registrados e revisados ao longo
do projeto.
■■ Planos de contingência: descrevem as ações que deverão ser tomadas
se ocorrer uma oportunidade ou ameaça.
■■ Responsáveis pelas respostas aos riscos: quando o risco ocorrer, o
responsável do risco deverá implementar o plano de ação planejado
e aprovado.
■■ Riscos secundários: a resposta a um risco pode gerar outros riscos,

que devem ser registrados e monitorados.
■■ Gatilhos de riscos: são os eventos que disparam a resposta de
contingência.
■■ Contratos: antes de finalizar e assinar um contrato, deve ser feita
uma análise de riscos e incluir nos termos do contrato as condições
necessárias para aumentar as oportunidades e eliminar ou mitigar
os riscos.
■■ Planos alternativos: são ações específicas a serem executadas se o
plano de contingência não for eficaz.
■■ Reservas (para contingência): reservas de cronograma e de custos
para qualquer alteração no projeto.
É oportuno considerar ainda que os riscos se relacionam entre si, por mais
que dois riscos possam parecer independentes, a probabilidade da ocorrência
de um pode mudar caso o outro se materialize; a resposta a um risco pode
alterar as consequências ou a probabilidade de materialização de outro; ou,
a resposta a um risco pode limitar a capacidade do projeto responder a outro
(WEEKS, c2010).
Sendo assim, o gerenciamento de riscos visa, basicamente, aumentar a
probabilidade e o impacto de eventos positivos (oportunidades) e diminuir a
probabilidade e o impacto de eventos negativos (ameaças), tratando de todos
os aspectos relevantes em relação aos riscos que podem vir a acontecer em
um projeto.
1. O gerenciamento de riscos pode ser a) Evento e probabilidade.

definido como sendo o processo de b) Nível de risco e impacto.
__________, ________, administrar c) Nível de risco e probabilidade.
e __________ possíveis eventos ou d) Probabilidade e impacto.
situações, para fornecer razoável e) Evento e impacto.
certeza quanto ao alcance dos 4. É uma forma organizada de identificar
__________ da organização. e medir os riscos, de desenvolver,
Qual das alternativas abaixo selecionar e gerenciar as opções para
completa corretamente a frase? seu controle. Esta é a definição de:
a) identificar, monitorar, a) identificação de riscos.
controlar, objetivos. b) medição de riscos.
b) identificar, controlar, c) desenvolvimento de opções
avaliar, eventos. de controle de riscos.
c) identificar, avaliar, d) seleção de opções de
controlar, objetivos. controle de riscos.
d) verificar, identificar, e) gerenciamento de riscos.
controlar, riscos. 5. No planejamento de respostas aos
e) avaliar, identificar, riscos, são planejadas diferentes
verificar, objetivos. estratégias, algumas voltadas para
2. É o risco natural, aquele para o qual os riscos negativos (ameaças)
não há ação que a direção possa e outras aos riscos positivos
realizar para alterar a probabilidade (oportunidades). Fazem parte das
de sua ocorrência ou impacto. A que estratégias para riscos negativos:
termo do gerenciamento de riscos a) Eliminar, mitigar,
esta definição se refere? transferir e aceitar.
a) Nível de risco. b) Mitigar, transferir,
b) Risco Inerente. compartilhar e aceitar.
c) Critério de Risco. c) Eliminar, transferir,
d) Risco Residual. melhorar e aceitar.
e) Tolerância ao risco. d) Aceitar, transferir,
3. A definição de risco é formada eliminar e explorar.
por dois fatores essenciais. e) Explorar, mitigar, transferir
Quais seriam eles? e compartilhar.
BRASIL. Lei nº 12.846, de 1º de agosto de 2013. Brasília, DF, 2013. Disponível em: <http://
www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12846.htm>. Acesso em: 17
jan. 2018.
BRASIL. Tribunal de Contas da União. Gestão de riscos: breve histórico da gestão
de riscos. Brasília, DF: TCU, 2017. Disponível em: <http://portal.tcu.gov.br/gestao-e-
-governanca/gestao-de-riscos/o-que-e-gestao-de-riscos/breve-historico-da-gestao-
-de-riscos.htm>. Acesso em: 16 jan. 2018.
CURY, A. O código da inteligência: a formação de mentes brilhantes e a busca pela
excelência emocional e profissional. Rio de Janeiro: Ediouro, 2008.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Gerenciamento de riscos
corporativos: evolução em governança e estratégia. São Paulo: IBGC, 2017. (Série
Cadernos de Governança Corporativa, 19).
KERZNER, H. Gestão de projetos: as melhores práticas. 2. ed. Porto Alegre: Bookman,
2006.
MONTEIRO, M. S. A importância da gestão de riscos. Belém: CONACI, 2017.
RIO GRANDE DO SUL. Tribunal Regional Eleitoral. Resolução TRE-RS 249/2014. Porto Ale-
gre: TRERS, 2014. Disponível em: <http://www.tre-rs.jus.br/index.php?nodo=15858>.
Acesso em: 09 jan. 2017.
VARGAS, R. Manual prático do plano de projeto: aprenda a construir um plano de projeto
passo a passo através de exemplos. 3. ed. Rio de Janeiro: Brasport, 2007.
VERZUH, E. MBA compacto: gestão de projetos. Rio de Janeiro: Elsevier, 2000.
WEEKS, B. Determinação de risco em ambientes altamente interativos: como evitar o fator
Titanic no seu projeto. Newtown Square: PMI, c2010. Disponível em: <https://brasil.
pmi.org/brazil/KnowledgeCenter/Articles/~/media/ADDB399E80F0485E9F2645CB-
0C41AE8F.ashx>. Acesso em: 07 jan. 2017.
Leituras recomendadas
ROSAMILHA, N. J. Métodos de gerenciamento de riscos em projetos de marketing
estratégico. In: SIMPÓSIO INTERNACIONAL DE GESTÃO DE PROJETOS, INOVAÇÃO E
SUSTENTAILIDADE, 4., 2015, São Paulo. Anais... São Paulo: SINGEP, 2015.
SANTOS, P. S. M. Gestão de riscos empresariais: um guia prático e estratégico para
gerenciar os riscos de sua empresa. Osasco: Novo Século, 2002.
DICA DO PROFESSOR
O gerenciamento de riscos não é uma prática nova, pois o risco faz parte da rotina de qualquer
organização desde os tempos remotos. Porém, o tema começou a ganhar relevância no final do
século XX, em virtude da globalização e do aumento da complexidade de companhias,
instituições financeiras e organizações do terceiro setor.
No vídeo a seguir, você vai conhecer um pouco da história do gerenciamento de riscos. Assista.
Conteúdo interativo disponível na plataforma de ensino!
EXERCÍCIOS
1) "O gerenciamento de riscos pode ser definido como sendo o processo de __________,
________, administrar e __________ possíveis eventos ou situações, para fornecer
razoável certeza quanto ao alcance dos objetivos da organização."
Qual das alternativas abaixo completa corretamente a frase?
A) Identificar, monitorar, controlar.
B) Identificar, avaliar, verificar.
C) Identificar, avaliar, controlar.
D) Verificar, identificar, controlar.
E) Avaliar, identificar, monitorar.
2) "É o risco natural, aquele para o qual não há ação que a direção possa realizar para
alterar a probabilidade de sua ocorrência ou impacto."
A que expressão do gerenciamento de riscos essa definição se refere?
A) Nível de risco.
B) Risco inerente.
C) Critério de risco.
D) Risco residual.
E) Tolerância ao risco.
3) A definição de risco é formada por dois fatores essenciais. Quais seriam eles?
A) Evento e probabilidade.
B) Nível de risco e impacto.
C) Nível de risco e probabilidade.
D) Probabilidade e impacto.
E) Evento e impacto.
4) "É uma forma organizada de identificar e medir os riscos e de desenvolver,

selecionar e gerenciar as opções para seu controle."
Essa é a definição de:
A) identificação de riscos.
B) medição de riscos.
C) desenvolvimento de opções de controle de riscos.
D) seleção de opções de controle de riscos.
E) gerenciamento de riscos.
5) No planejamento de respostas aos riscos, são planejadas diferentes estratégias,

algumas voltadas para os riscos negativos (ameaças) e outras aos riscos positivos
(oportunidades). Fazem parte das estratégias para riscos negativos:
A) eliminar, mitigar, transferir e aceitar.
B) mitigar, transferir, compartilhar e aceitar.
C) eliminar, transferir, melhorar e aceitar.
D) aceitar, transferir, eliminar e explorar.
E) explorar, mitigar, transferir e compartilhar.
NA PRÁTICA
A análise de risco ajuda na tomada de decisão dentro de projetos. No caso da incorporação de

novas funcionalidades a projetos já orçados, o gerenciamento de riscos ajuda a descobrir se os
benefícios compensam potenciais atrasos ou aumento de custos. A história seguir ilustra essa
situação.
SAIBA MAIS
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do
professor:
Assista ao vídeo a seguir para saber sobre a origem da palavra risco.
Assista ao vídeo a seguir para saber mais sobre conceitos como fatores de risco, ameaças e
oportunidades e apetite ao risco.
Leia a matéria a seguir e verifique alguns conceitos básicos da gestão de riscos.
Leia a seguir e veja a função e como surgiu a gestão de riscos.

Objetivos estratégicos das organizações
APRESENTAÇÃO
Diante da rapidez com que o mercado está evoluindo, é extremamente necessário que as
organizações vislumbrem o seu lugar no futuro, e definam objetivos e estratégias que lhes
garantam chegar lá. As organizações precisam conhecer o ambiente onde estão inseridas para ter
respostas rápidas diante das alterações de mercado e possuir competências essenciais para
conseguir se manter à frente de seus rivais, identificando as necessidades, ameaças e
oportunidades.
Para que tudo isso seja possível, é necessário haver planejamento, e é o chamado planejamento
estratégico – processo contínuo que contempla uma visão do futuro – que ajuda profissionais e
empresas a organizarem ideias e redirecionarem suas atividades facilitando a tomada de decisão,
tendo em vista que as empresas estão sempre buscando formas de minimizar os riscos
envolvidos em suas operações, com a intenção de viabilizar e proteger resultados. Todos esses
fatores integram o contexto do gerenciamento de riscos, muito importante para as organizações
de forma geral, especialmente em projetos considerados estratégicos.
Neste Unidade de Aprendizagem, você vai estudar sobre a estratégia organizacional, sobre o
planejamento estratégico e seu desdobramento no nível tático, operacional e estratégico e,
também, sobre a aplicação do gerenciamento de riscos em projetos estratégicos.
Bons estudos.
• Definir estratégia organizacional.

• Conceituar o planejamento estratégico nos níveis tático, operacional e estratégico.
• Aplicar o gerenciamento de riscos em projetos estratégicos.
DESAFIO
O planejamento atua nos diferentes níveis da organização, no estratégico (empresa como um

todo), tático (departamentos) e operacional (atividades diárias de cada pessoa), onde se deve
garantir que sejam estipulados objetivos, metas e indicadores de longo, médio e curto prazos,
interligados entre si.
Essa atuação é extremamente importante, pois irá oportunizar ações mais efetivas, trazendo
condições de identificar quais os projetos são mais relevantes e conectados aos objetivos da
empresa.
Acompanhe o caso da seguinte empresa, que não realiza o planejamento de forma plena.
Miguel é empresário no ramo da construção civil. Sua empresa, uma construtora de pequeno
porte, vem se mantendo nesse mercado a mais de 20 anos. Vejamos alguns detalhes sobre como
as coisas acontecem na empresa de Miguel:
INFOGRÁFICO
Diante das transformações que acontecem no ramo empresarial, é muito importante que as
organizações tenham objetivos claros e estratégias elaboradas para que consigam alcançar sua
posição esperada no futuro.
Empresas que praticam gestão estratégica conseguem evitar muitos problemas e ter maiores
chances de sucesso. Para tanto, o conhecimento sobre o funcionamento dos níveis
organizacionais e suas diferenças é muito importante para ser aplicado.
Confira no Infográfico os três níveis organizacionais de uma empresa, e como ocorre o

desdobramento do planejamento estratégico em cada uma delas.
CONTEÚDO DO LIVRO
Ao longo do tempo, as organizações empresariais vêm se deparando com desafios cada vez
maiores, como o aumento da concorrência, inovação constante e mercados segmentados, além
da exigência do consumidor, que cresce conforme os produtos e serviços se tornam mais
acessíveis. Tudo isso faz com que o mercado se transforme constantemente, demandando dos
empresários e suas equipes a tomada de decisões cada vez mais difíceis e complexas, que muitas
vezes trazem riscos às organizações.
Conhecer o ambiente onde está inserida, ser competitiva e inovadora são alguns dos desafios
enfrentados pelas organizações, que precisam definir e praticar estratégias que permitam a
condução adequada de seus projetos (principalmente os mais relevantes), com vistas ao
atingimento de seus objetivos. E, para tanto, planejamento estratégico e gerenciamento de riscos
são questões fundamentais.
Neste capítulo, Objetivos estratégicos das organizações, do livro Gerenciamento de riscos,

você irá aprofundar seus conhecimentos sobre estratégia organizacional, planejamento
estratégico nos diferentes níveis organizacionais e gerenciamento de riscos em projetos
estratégicos.
Boa leitura.
GERENCIAMENTO
DE RISCOS
Simone Fraporti
Revisão técnica:
Gisele Lozada
Graduada em Administração de Empresas
Especialista em Controladoria e Finanças
F838g Fraporti, Simone.

Gerenciamento de riscos / Simone Fraporti, Jeanine
Barreto ; [revisão técnica: Gisele Lozada]. – Porto Alegre :
SAGAH, 2018.
166 p. ; 22,5 cm
ISBN 978-85-9502-334-5
1. Administração. 2. Gestão de riscos. I. Barreto, Jeanine.

II. Título.
CDU 658.88
Catalogação na publicação: Karin Lorien Menoncin – CRB 10/2147

Objetivos estratégicos
das organizações
Definir estratégia organizacional.

Conceituar o planejamento estratégico nos níveis tático, operacional
e estratégico.
Aplicar o gerenciamento de riscos em projetos estratégicos.
Introdução
Diante da rapidez com que o mercado está evoluindo, é extremamente
necessário que as organizações vislumbrem o seu lugar no mercado e
definam os objetivos e as estratégias para que obtenham sucesso.
Nesse sentido, as organizações precisam conhecer o ambiente no qual
estão inseridas para ter respostas rápidas diante das alterações de mer-
cado, e possuir competências essenciais para conseguir se manter à frente
de seus rivais, identificando necessidades, ameaças e oportunidades.
Neste capítulo, você irá estudar sobre a estratégia organizacional,
sobre o planejamento estratégico e seu desdobramento nos níveis tático,
operacional e estratégico, e também sobre a aplicação do gerenciamento
de riscos em projetos estratégicos.
Estratégia organizacional
Estratégia é derivada da palavra grega strategia, que na sua origem estava
estritamente relacionada com a arte de fazer guerra, mas, com o passar do
tempo, passou a ser mais abrangente, abordando além das áreas militares, as
áreas econômica, psicológica e política.
24 Objetivos estratégicos das organizações
Estratégia significa plano, método, manobras ou estratagemas usados para alcançar

um objetivo ou resultado específico.
É por meio de uma estratégia organizacional bem fundamentada e es-

tudada que se alcança os objetivos e metas estipulados. Ter uma estratégia
organizacional significa estabelecer objetivos, metas e destinar recursos
(humanos, financeiros, tecnológicos, etc.) para a realização dos fins esta-
belecidos, com o intuito de concretizar a missão da organização e gerar os
lucros esperados.
No ponto de vista de Las Casas (2001, p. 14) “[...] a estratégia é um meio
para atingir os fins e os objetivos da organização. No mundo dos negócios, os
meios correspondem a uma integração de atividades que envolvem o somatório
dos objetivos departamentalizados.”
Chiavenato (2010) define estratégia como a mobilização para definir linhas
de ação para a aplicação de todos os recursos da organização, a fim de atingir
os objetivos e metas em longo prazo.
A estratégia é um meio para atingir os fins e os objetivos da organização.
As estratégias organizacionais estão diretamente relacionadas aos objetivos

e às metas organizacionais. Seu objetivo básico é mostrar os melhores cami-
nhos e técnicas a serem seguidos para o posicionamento mais adequado da
organização no mercado e o atingimento dos objetivos e metas estabelecidos.
Elas devem abranger todos os setores da organização, buscando sempre a
melhor interação entre as áreas.
As estratégias organizacionais podem influenciar no sucesso ou no fra-
casso de uma organização. Conhecer o mercado e estabelecer estratégias
adequadas aos objetivos pode proporcionar à organização ótimos resultados,
uma vez que assim é possível conhecer o máximo possível sobre o mercado e
Objetivos estratégicos das organizações 25
reduzir as incertezas, bem como estar preparado para responder rapidamente

às mudanças que o mercado exigir.
Quando uma organização define sua estratégia organizacional, ela está
destinando a sua atividade comercial um valor único que, independentemente
da concorrência, fará o empreendimento se destacar no mercado pela forma
com que aloca recursos e designa responsabilidades para a criação de sua
vantagem competitiva.
As organizações costumam se distinguir umas das outras por meio de
suas estratégias – um exemplo disso é a estratégia de marketing, relacionada
à área que tem como responsabilidade principal melhorar o posicionamento
da organização no mercado no qual está atuando. Uma boa estratégia de
marketing, com metas bem definidas e elaboradas, pode criar oportunidades
interessantes, promover o crescimento e a rentabilidade da organização e
conferir vantagens frente aos seus concorrentes.
A estratégia organizacional refere-se ao conjunto de decisões, relacio-
nadas às metas e aos objetivos em longo prazo e seu impacto sobre o futuro
da organização. À medida que implementa sua estratégia, a organização
precisa rastrear os resultados e monitorar as mudanças que estão ocorrendo,
tanto no seu ambiente interno como no seu ambiente externo, respondendo
adequadamente a elas.
Planejamento estratégico – desdobramento nos

níveis tático, operacional e estratégico
De acordo com Chiavenato (2010), o planejamento é uma função adminis-
trativa que se distribui entre todos os níveis hierárquicos, nos períodos de
curto, médio e longo prazo, que podem envolver a organização inteira, um
departamento ou ainda uma tarefa. Considerando os níveis hierárquicos,
são definidos três tipos de planejamento, o planejamento estratégico, o
planejamento tático e o planejamento operacional. Oliveira (2007) define
estes três tipos de planejamento:
Planejamento estratégico: neste plano são definidas as estratégias

com foco em longo prazo, geralmente feito para um período de 5 a 10
anos. É o planejamento que proporciona sustentação mercadológica
para se estabelecer a melhor direção a ser seguida pela organização; é
de responsabilidade dos níveis mais altos e diz respeito tanto à formu-
lação de objetivos como à seleção dos cursos de ação a serem seguidos

para sua consecução, considerando as condições externas e internas à
organização e sua evolução esperada.
Planejamento tático: as estratégias aqui estão focadas em médio prazo,
abrange geralmente um período de 3 anos. Tem por objetivo otimizar
determinada área de resultado e não a organização como um todo. É
desenvolvido pelos níveis organizacionais intermediários, tendo como
principal finalidade a utilização eficiente dos recursos disponíveis
para consecução de objetivos previamente fixados no planejamento
estratégico.
Planejamento operacional: são planos bem mais focados em curto
prazo, geralmente elaborados para períodos de 3 a 6 meses, correspon-
dendo a planos bem mais detalhados que as etapas anteriores, trazendo
definições de métodos, processos e sistemas a serem utilizados para que
a organização possa alcançar os objetivos globais. Pode ser considerado
como a formalização, principalmente por meio de documentos escritos,
das metodologias de desenvolvimento e implantação estabelecida. É
elaborado pelos níveis organizacionais inferiores, com foco básico nas
atividades rotineiras da organização.
Os três tipos de planejamento devem ser trabalhados continuamente e

em conjunto. Uma vez estabelecidos, trabalham em busca da direção da
adequação das exigências do mercado, visando criar vantagem competitiva
por meio do aproveitamento das oportunidades e minimização dos riscos.
Na Figura 1, você pode observar uma ilustração do conceito dos três níveis
de planejamento.
Figura 1. Planejamentos estratégico, tático e operacional.

Fonte: Bezerra (2014).
Planejamento estratégico
O planejamento estratégico demonstra a visão futura da organização, é aquele
plano que define as estratégias da organização em longo prazo. Faz parte
desse planejamento a definição de visão, missão e valores da organização.
Também colabora com a concepção dos objetivos e metas e da análise dos
fatores internos e externos da companhia.
O planejamento estratégico é o mais amplo dos três tipos de planejamento,
pois abrange toda a organização. É um processo gerencial que possibilita
estabelecer o rumo a ser seguido pela organização, com vistas a obter um
nível de otimização na relação da organização com o seu ambiente.
Este processo deve ser permanente e contínuo, pois é por meio dele que
a organização se mobiliza para atingir o sucesso e construir seu futuro,
antecipando-se e prevendo eventuais acontecimentos do mercado, sempre
considerando seu ambiente atual e futuro (SAMPAIO, 2004). O planejamento
estratégico visa à racionalidade das tomadas de decisão e à alocação dos
recursos organizacionais da forma mais eficiente possível, e as decisões desse
nível são tomadas pela alta direção da organização.
Segundo Oliveira (2007), o planejamento estratégico é uma das formas

mais eficientes de se ter gestão do próprio negócio, pois, por meio dele, as
organizações podem delinear um futuro esperado e traçar maneiras para
alcançá-lo. Há, também, a possibilidade de mudar os planos, caso seja ne-
cessário, a fim de suprir as necessidades do consumidor, do colaborador e
do mercado.
O planejamento estratégico, de acordo com Chiavenato (2010), é um pro-
cesso organizacional compreensivo de adaptação por aprovação, tomada de
decisão e avaliação. Responde questões básicas, como por que a organização
existe, o que ela faz e como faz, tendo como resultado desse trabalho um plano
que guiará a organização por um prazo de 3 a 5 anos.
Ainda, segundo o autor (CHIAVENATO, 2010), o planejamento estratégico
apresenta cinco características fundamentais:
1. adaptação da organização a um ambiente em constante mudança;

2. orientação para o futuro, pois sua visão é de longo prazo;
3. envolvimento da organização como um todo;
4. processo de construção de consenso;
5. forma de aprendizagem organizacional.
Na visão de Oliveira (2007), o planejamento estratégico só é eficiente se

não for utópico, e os objetivos traçados forem alcançáveis, não esquecendo
que é um processo dinâmico, que deve ser necessariamente flexível para
conseguir incorporar as mudanças imprevistas do ambiente.
As organizações, de uma forma geral, estabelecem suas ações e decisões
estratégicas, ainda que de maneira informal. Entretanto, quando esse pro-
cesso é bem estruturado e com metodologias bem definidas, os resultados
são bem mais compensadores. O processo de formulação e implementação
de estratégias organizacionais representa um dos aspectos mais importantes
que os administradores têm de enfrentar, pois se espera que o processo seja
desenvolvido da melhor maneira possível, resultando na criação de vantagem
competitiva e na otimização dos resultados da organização.
Algumas vezes, contudo, a implementação do planejamento estratégico
gera mudanças na cultura organizacional, entre elas mudar conceitos, técni-
cas, controle e avaliação de planejamento. Conhecer a própria organização,
identificando suas potencialidades e limitações, é condição essencial para
elaborar um bom planejamento estratégico.
Planejamento tático
O planejamento tático é a elaboração do ato, segundo Chiavenato (2010),
é aquele que faz a intermediação entre o nível estratégico e o operacional.
Geralmente, o planejamento tático é projetado em médio prazo, e abrange
cada unidade da organização, ele traduz e interpreta as decisões do planeja-
mento estratégico e os transforma em planos concretos dentro das unidades
da organização.
Cada unidade, em específico, procura atingir seus próprios objetivos, que
variam desde otimizar determinada área de resultado até utilizar de modo
eficiente os recursos disponíveis. Também integra a estrutura da organiza-
ção para fazer frente aos desafios estratégicos, desdobrando os objetivos da
organização em objetivos departamentais.
No geral, os integrantes desse nível devem se apropriar da estratégia
para desdobrá-la em ações concretas nas suas áreas e processos ou sub-
processos de atuação. É o nível da gerência média ou intermediária. Você
pode considerar que o plano tático tem por finalidade especificar de que
modo o seu setor, processo ou projeto ajudará a alcançar os objetivos gerais
da organização.
Por outro lado, o planejamento tático é o conjunto de tomada deliberada
e sistemática de decisões sobre empreendimentos mais limitados, de prazos
médios, níveis de hierarquia mais baixos e menor amplitude na organização. É
voltado para um futuro próximo, de forma complementar ao plano estratégico.
É racional em suas decisões e está relacionado à mudança e inovação.
Basicamente, o plano tático atua como uma técnica de coordenação de
atividades, que pode ser contínua, cíclica ou iterativa.
Planejamento operacional
O planejamento operacional, na definição de Chiavenato (2010), é a ação
na prática, é a formalização dos objetivos e dos procedimentos, ou seja, a
implementação das ações previamente desenvolvidas e estabelecidas pelos
níveis de gerência – nível tático.
Sua principal finalidade é desdobrar os planos táticos de cada departamento
em planos operacionais para cada tarefa. É de conhecimento mútuo que o
planejamento operacional possui um curto alcance (o menor dos três níveis
de planejamento), estando diretamente ligado à área técnica de execução de
um determinado plano de ação.
O planejamento operacional ajuda a colocar em prática os planos táticos

de cada setor da organização, criando condições para a realização mais ade-
quada dos trabalhos diários que são executados dentro da organização. Uma
de suas principais características é a formalização, principalmente por meio
das metodologias estabelecidas e formalmente designadas em documentos
corporativos.
É importante lembrar que, para o planejamento operacional ser bem-
-sucedido, ele deve conter:
todos recursos necessários para sua implantação;

os procedimentos básicos a serem adotados;
os resultados que são esperados;
os prazos para o cumprimento das tarefas;
os responsáveis pela sua execução.
O nível operacional é o nível em que estão todos os colaboradores que não

participam dos processos de tomada de decisão nos níveis estratégicos ou
táticos. As metas, os indicadores de desempenho organizacional e as recom-
pensas elaboradas no nível tático são aplicadas na prática no nível operacional
(OLIVEIRA, 2007).
Gerenciamento de riscos em projetos

estratégicos
Quando a organização está com suas estratégias estruturadas e a aplicação
dos seus recursos (humanos, financeiros, tecnológicos, materiais) definida e
alinhada, é o momento de definir seus projetos estratégicos – aqueles mais
importantes, capazes de causar maior impacto no resultado ou no alcance
dos objetivos da organização. Os projetos estratégicos são planejados para
adicionar novas competências que foram identificadas como essenciais para
atender integralmente os objetivos da organização.
No momento em que a organização define os projetos estratégicos que
serão explorados, inicia o processo de gerenciamento de riscos, por meio do
qual serão consolidadas as principais informações do projeto, que servirão
de base para o seu acompanhamento e monitoramento.
Afinal, o sucesso de uma organização está cada vez mais dependente de
um gerenciamento de riscos eficaz, pois se na atual conjuntura de mercado
a organização não gerenciar seus riscos, existem grandes chances de ir ao

fracasso. O gerenciamento de riscos identifica a probabilidade e o impacto
que os riscos causam ao projeto, possibilitando que ações sejam tomadas para
garantir o sucesso do projeto.
Sempre haverá algum tipo de risco em projetos, um evento indesejável ou
não programado que está associado ao trabalho que será desenvolvido, e a
organização deve estar preparada para lidar com a probabilidade de o evento
ocorrer e os impactos deste evento.
O dirigente máximo da organização é o principal responsável pelo esta-
belecimento da estratégia da organização e por estruturar o gerenciamento
de riscos. São os executivos da organização que devem avaliar os riscos no
âmbito da organização como um todo e desenvolver uma visão de riscos de
forma consolidada. Os gerentes, por sua vez, são os responsáveis pela ava-
liação dos riscos no âmbito dos processos e das atividades de suas unidades.
Cada um dos riscos mapeados deve estar associado a um agente responsável
(MONTEIRO, 2017).
Segundo o PMBOK (VARGAS, 2007), o gerenciamento de riscos do
projeto inclui os processos de identificação, análise, monitoramento, controle
e planejamento. Os objetivos do gerenciamento de riscos em um projeto são
aumentar a probabilidade e o impacto dos eventos positivos e reduzir a pro-
babilidade e o impacto dos eventos negativos do projeto.
O PMBOK lista alguns fatores que, segundo Rosamilha (2015), são críticos
para o sucesso da gestão de riscos em projetos.
Reconhecer o valor do gerenciamento de riscos: maximiza o retorno

do investimento para a organização e potencializa os benefícios aos
interessados no projeto.
Responsabilidade pelos riscos: deve haver comprometimento e res-
ponsabilidade, a gestão dos riscos é de responsabilidade de todos.
Comunicação: todos os interessados no projeto devem ser proativos e
ter participação efetiva nas tomadas de decisões.
Comprometimento organizacional: os riscos devem estar alinhados
com os objetivos e valores da organização.
Esforço do risco dimensionado no projeto: as atividades de riscos
do projeto devem ser condizentes com o valor do projeto e seu nível
de importância.
Integração com gestão de projetos: gestão de riscos não existe sozinha,
ela deve estar alinhada fortemente com o planejamento.
Para um melhor gerenciamento do processo de análise de risco as seguintes

atividades são recomendadas:
planejamento do gerenciamento de riscos;

identificação de riscos;
análise qualitativa de riscos;
análise quantitativa de riscos;
planejamento de respostas a riscos;
monitoramento e controle de riscos.
O planejamento do gerenciamento de riscos tem a função de definir como

abordar e executar as atividades de gerenciamento de riscos em um determi-
nado projeto. Um planejamento cuidadoso e explícito aumenta a possibilidade
de sucesso dos projetos, pois define a metodologia a ser usada, as funções/
responsabilidades, o orçamento, as categorias de risco, a definição da escala
de probabilidade e impacto dos riscos, a matriz de probabilidade e impacto,
os formatos de relatórios, etc.
Como principal funcionalidade do planejamento podemos considerar a
sua capacidade de garantir que todas as possíveis falhas sejam previstas e
documentadas, para que seus impactos no projeto sejam estudados, o que
permite a identificação dos riscos.
Na visão de Santos (2002), antes de iniciar a execução de um projeto é
necessário planejar, identificar e qualificar os riscos, ou seja, primeiro se faz
o planejamento do gerenciamento de riscos, depois se identificam todos os
riscos do projeto e, a partir daí se faz a análise qualitativa e quantitativa dos
riscos, como você pode ver a seguir.
Análise qualitativa: é a priorização dos riscos, dar atenção aos que

tem grande probabilidade de ocorrer ou que podem causar grandes
impactos ao projeto.
Análise quantitativa: demonstra o impacto de tempo e dinheiro que
os riscos causam ao projeto, fornecendo números, dias, horas e valores
que a empresa terá caso ocorram os riscos.
O planejamento de respostas aos riscos, conforme orientações contidas no

guia PMBOK (VARGAS, 2007), é o processo de encontrar as formas possíveis
de reduzir ou eliminar a ameaça e aumentar as oportunidades. Deve ser feito
para cada risco que for identificado e classificado nos processos anteriores.
É necessário que o plano de respostas ao risco tenha um responsável definido

e uma data limite para apresentar a solução.
A etapa seguinte, monitoramento e controle dos riscos, visa implementar
o plano de respostas aos riscos, e tem como objetivo melhorar a eficiência da
abordagem dos riscos no decorrer de todo o ciclo de vida do projeto, procurando
otimizar continuamente todas as suas fases.
Passadas as fases de planejar, identificar e qualificar os riscos é que se inicia
a execução do projeto. O sucesso do projeto virá por meio do gerenciamento
constante, tanto do projeto como dos riscos envolvidos, feito durante toda a
vida do projeto.
1. A _____________ organizacional no longo prazo e são de

refere-se ao conjunto de responsabilidade dos níveis
__________, relacionadas a mais baixos da organização.
metas e objetivos de longo d) Suas estratégias são focadas
prazo e seu ___________ no longo prazo e são de
sobre o futuro da organização. responsabilidade dos níveis
Qual alternativa completa mais altos da organização.
corretamente a frase? e) Suas estratégias são
a) cultura, decisões, impacto. focadas no médio prazo e
b) estratégia, decisões, impacto. são de responsabilidade
c) estratégia, análises, dos níveis intermediários
planejamento. da organização.
d) cultura, decisões, impacto. 3. Segundo o PMI, alguns fatores são
e) estratégia, decisões, críticos para o sucesso da gestão
planejamento. de riscos em projetos. Um deles é
2. No que se refere ao planejamento Comprometimento Organizacional.
estratégico, marque a alternativa Qual opção a seguir traz a definição
correta. correta de comprometimento
a) Suas estratégias são focadas organizacional?
no curto prazo e são de a) Maximiza o retorno do
responsabilidade dos níveis investimento para a organização
mais altos da organização. e potencializa os benefícios
b) Suas estratégias são focadas aos interessados no projeto.
médio prazo e são de b) Deve haver comprometimento
responsabilidade dos níveis e responsabilidade, a
mais baixos da organização. gestão dos riscos é de
c) Suas estratégias são focadas responsabilidade de todos.
c) Todos os interessados no e) Demonstrar a visão futura da

projeto devem ser proativos organização, é aquele plano
e ter participação efetiva que define as estratégias de
nas tomadas de decisões. longo prazo da organização.
d) Os riscos devem estar 5. Considerando os níveis hierárquicos,
alinhados com os objetivos são definidos três tipos de
e valores da organização. planejamento: o planejamento
e) As atividades de riscos do estratégico, o planejamento tático
projeto devem ser condizentes e o planejamento operacional.
com o valor do projeto e Entre as opções a seguir, selecione
seu nível de importância. a que está correta.
4. Qual alternativa representa uma a) No nível operacional, o
característica do gerenciamento planejamento é estratégico
de riscos? e considera o ambiente
a) Mostrar os melhores caminhos interno e externo na
e técnicas a serem seguidos definição dos objetivos.
para o melhor posicionamento b) No nível estratégico, o
da organização no mercado planejamento envolve a
e atingimento dos objetivos determinação de objetivos
e metas estabelecidos. departamentais e define
b) Identificar a probabilidade as atividades rotineiras
e o impacto que os riscos da organização.
causam ao projeto. c) No nível intermediário, o
c) Tem por finalidade especificar de planejamento é tático e trata
que modo o seu setor, processo da alocação dos recursos.
ou projeto ajudará a alcançar os d) No nível operacional, o
objetivos gerais da organização. planejamento desdobra
d) Sua principal finalidade é os planos estratégicos
desdobrar os planos táticos em operacionais.
de cada departamento e) No nível intermediário, é
em planos operacionais definida a melhor direção a ser
para cada tarefa. seguida pela organização.
BEZERRA, F. Planejamento estratégico, tático e operacional. [S.l.]: Portal Administração,

2014. Disponível em: <http://www.portal-administracao.com/2014/07/planejamento-
-estrategico-tatico-operacional.html>. Acesso em: 17 jan. 2018.
CHIAVENATO, I. Administração nos novos tempos. 2. ed. Rio de Janeiro: Campus, 2010.
LAS CASAS, A. L. Plano de marketing para micro e pequena empresa. 2. ed. São Paulo:
Atlas, 2001.
MONTEIRO, M. S. A importância da gestão de riscos. Belém: CONACI, 2017.
OLIVEIRA, D. P. R. Planejamento estratégico: conceitos, metodologia e práticas. 24. ed.
São Paulo: Atlas, 2007.
ROSAMILHA, N. J. Métodos de gerenciamento de riscos em projetos de marketing
estratégico. In: SIMPÓSIO INTERNACIONAL DE GESTÃO DE PROJETOS, INOVAÇÃO E
SUSTENTAILIDADE, 4., 2015, São Paulo. Anais... São Paulo: SINGEP, 2015.
SAMPAIO, C. H. Planejamento estratégico. 4. ed. Porto Alegre: SEBRAE/RS, 2004.
SANTOS, P. S. M. Gestão de riscos empresariais: um guia prático e estratégico para
gerenciar os riscos de sua empresa. Osasco: Novo Século, 2002.
VARGAS, R. Manual prático do plano de projeto: aprenda a construir um plano de projeto
passo a passo através de exemplos. 3. ed. Rio de Janeiro: Brasport, 2007.
Encerra aqui o trecho do livro disponibilizado para
esta Unidade de Aprendizagem. Na Biblioteca Virtual
da Instituição, você encontra a obra na íntegra.
Conteúdo:
DICA DO PROFESSOR
Veja Nesta Dica do Professor o que são objetivos estratégicos e de que maneira podem
impactar na organização.
EXERCÍCIOS
1) A _____________ organizacional refere-se ao conjunto de ___________ relacionadas

às metas e objetivos de longo prazo e seu ___________ sobre o futuro da organização.
Qual das alternativas abaixo completa corretamente a frase?
A) cultura, decisões, impacto
B) estratégia, decisões, impacto
C) estratégia, análises, planejamento
D) cultura, decisões, impacto
E) estratégia, decisões, planejamento
2) No que se refere ao planejamento estratégico, é correto afirmar:
A) Suas estratégias são focadas no curto prazo e são de responsabilidade dos níveis mais altos
da organização.
B) Suas estratégias são focadas no médio prazo e são de responsabilidade dos níveis mais
baixos da organização.
C) Suas estratégias são focadas no longo prazo e são de responsabilidade dos níveis mais
baixos da organização.
D) Suas estratégias são focadas no longo prazo e são de responsabilidade dos níveis mais altos
da organização.
E) Suas estratégias são focadas no médio prazo e são de responsabilidade dos níveis
intermediários da organização.
3) Segundo o PMI, alguns fatores são críticos para o sucesso da gestão de riscos em
projetos. Um deles é comprometimento organizacional. Qual das opções abaixo traz a
definição correta de comprometimento organizacional?
A) Maximiza o retorno do investimento para a organização e potencializa os benefícios aos

interessados no projeto.
B) Deve haver comprometimento e responsabilidade. A gestão dos riscos é de

responsabilidade de todos.
C) Todos os interessados no projeto devem ser proativos e ter participação efetiva nas
tomadas de decisões.
D) Os riscos devem estar alinhados com os objetivos e os valores da organização.
E) As atividades de riscos do projeto devem ser condizentes com o valor do projeto e seu
nível de importância.
4) Qual das opções abaixo representa uma característica do gerenciamento de riscos?
A) Mostrar os melhores caminhos e técnicas a serem seguidos para o melhor posicionamento

da organização no mercado e atingimento dos objetivos e metas estabelecidos.
B) Identificar a probabilidade e o impacto que os riscos causam ao projeto.
C) Tem por finalidade especificar de que modo o seu setor, processo ou projeto ajudará a
alcançar os objetivos gerais da organização.
D) Sua principal finalidade é desdobrar os planos táticos de cada departamento em planos

operacionais para cada tarefa.
E) Demonstrar a visão futura da organização é aquele plano que define as estratégias de longo
prazo da organização.
5) Considerando os níveis hierárquicos, são definidos três tipos de planejamento:

estratégico, tático e operacional. Entre as opções abaixo, selecione a que está correta:
A) No nível operacional, o planejamento é estratégico e considera os ambientes interno e

externo na definição dos objetivos.
B) No nível estratégico, o planejamento envolve a determinação de objetivos departamentais

e define as atividades rotineiras da organização.
C) No nível intermediário, o planejamento é tático e trata da alocação dos recursos.
D) No nível operacional, o planejamento desdobra os planos estratégicos em operacionais.
E) No nível intermediário, é definida a melhor direção a ser seguida pela organização.
NA PRÁTICA
As estratégias organizacionais têm como objetivo básico mostrar os melhores caminhos e

técnicas a serem seguidos, resultando em um melhor posicionamento da organização no
mercado e atingimento dos objetivos e metas estabelecidos.
Acompanhe a situação de Rafael, que assumiu o gerenciamento da fábrica de louças, fundada

por seu pai, e que alguns meses após a sucessão, percebeu alguns problemas:
- A empresa não tinha um foco definido, realizava operações muito variadas, incluindo desde a
fabricação de louças até a sua personalização, aceitando pedidos de qualquer tipo de peça, em
qualquer quantidade e para qualquer prazo.
- Os setores estavam desconectados, cada área realizava suas atividades de maneira isolada, sem
saber dos impactos e das necessidades das demais áreas. Tudo acontecia com uma considerável
dose de improviso, pois a empresa tomava decisões apenas no curto prazo, e somente reagia
à demanda que recebia (não prospectava negócios), levando a uma oscilação muito grande na
produção, que ficava sobrecarregada em alguns momentos, e ociosa em outros.
Frente a esse cenário, Rafael estava chegando a algumas preocupantes conclusões: sua empresa
estava sem um rumo definido (a pergunta "onde queremos chegar" parecia não ter resposta) e o
desempenho do negócio estava muito distante das expectativas de Rafael (mas isso baseado
apenas na questão do lucro, pois sobre os demais fatores, como produtividade e satisfação de
clientes, não havia informações disponíveis para avaliação).
Desejando mudar essa situação, Rafael decidiu "colocar a casa em ordem", partindo pela
construção do planejamento estratégico da empresa, para que fossem definidos objetivos,
indicadores e metas que guiassem o negócio e as pessoas que dele faziam parte, colaborando
para a definição de ações desde o curto até o longo prazo.
Rafael, então, formou uma equipe com integrantes de diversos setores e cargos, e juntos eles
trataram do planejamento e de seu desmembramento nos três níveis organizacionais: estratégico,
tático e operacional.
SAIBA MAIS
professor:
Planejamento Estratégico, Tático e Operacional – O Guia completo para sua empresa
garantir os melhores resultados!
O presente artigo esclarece de forma didática e simples os seguintes temas: planejamento

estratégico, planejamento tático, planejamento operacional, “The Numbers Game” –
Transformando o Planejamento Estratégico e Tático e Operacional em números.
Gerenciamento de riscos no processo de gestão estratégica de uma cooperativa médica
O artigo tem como objetivo analisar o gerenciamento dos riscos como parte do processo de
gestão estratégica de uma cooperativa médica, de modo a apresentar melhorias no atual modelo
à luz das melhores práticas em gestão de projetos.
Gestão de Riscos em Projetos
Explicação de forma bastante didática, comparando o escopo de um projeto a uma viagem de

automóvel, onde cada risco existe uma ação de mitigação.
Níveis de planejamento
Explanação dos três níveis de planejamento - estratégico, tático e operacional.
Projetos estratégicos: tire aqui todas as suas dúvidas
O artigo abrange os tipos de projetos estratégicos quanto à classificação de acordo com a

natureza da intervenção a que eles se propõem e outras informações.

Os riscos e oportunidades (Matriz de
Risco – MR e Matriz de Oportunidades –
MO)
APRESENTAÇÃO
O gerenciamento de riscos é o processo que envolve a identificação, a avaliação e a gestão de

potenciais situações ou eventos que podem alavancar ou atrapalhar o alcance dos objetivos de
uma organização.
Nesta Unidade de Aprendizagem, você vai estudar a contextualização do cenário de riscos e

oportunidades, a análise de risco através da Matriz de Risco, e a análise de oportunidades
através da Matriz de Oportunidade.
Bons estudos.
• Identificar a contextualização do cenário de riscos e oportunidades.

• Reconhecer a análise de risco através da Matriz de Risco (MR).
• Descrever a análise de oportunidades através da Matriz de Oportunidades (MO).
DESAFIO
A análise de oportunidades e ameaças de uma organização pode ser feita através da utilização de
várias técnicas ou ferramentas, entretanto, entre as mais conhecidas está a Matriz SWOT ou
FOFA, que reúne as forças, fraquezas, oportunidades e ameaças em um esquema gráfico único.
Sua tarefa é elaborar a Matriz SWOT dessa organização, a fim de auxiliar a administração da
empresa no seu gerenciamento de riscos.
INFOGRÁFICO
Um risco é um evento ou uma situação que pode se concretizar, ou não e, caso aconteça, pode
provocar efeitos positivos ou negativos em um projeto, área, processo ou organização. Quando
um risco traz impactos negativos, ele é chamado de ameaça; quando traz efeitos positivos, é
chamado de oportunidade.
Veja, no Infográfico a seguir, a contextualização do cenário de riscos e oportunidades.

CONTEÚDO DO LIVRO
A gestão de riscos é utilizada nas organizações como uma ferramenta de integração, onde cada
área trabalha para identificar, priorizar e tratar os fatores de risco que podem se concretizar
como ameaças ou oportunidades.
O propósito do gerenciamento de riscos é estabelecer uma gestão coordenada, partindo de uma

visão departamental ou setorial, a fim de atingir uma visão holística da organização, contando
com o envolvimento e a experiência de todos os interessados nos objetivos da empresa.
No capítulo Os riscos e oportunidades: Matriz de Risco (MR) e Matriz de Oportunidades (MO),

da obra Gerenciamento de riscos, você entenderá a a contextualização do cenário de riscos e
oportunidades, a análise de riscos através da Matriz de Risco e a análise de oportunidades
através da Matriz de Oportunidade.
GERENCIAMENTO
DE RISCOS
Jeanine Barreto
Os riscos e oportunidades
(matriz de risco – MR e matriz
de oportunidades – MO)
Identificar a contextualização do cenário de riscos e oportunidades.

Reconhecer a análise de risco por meio da matriz de risco (MR).
Descrever a análise de oportunidades por meio da matriz de opor-
tunidades (MO).
Introdução
O gerenciamento de riscos é o processo que envolve a identificação,
a avaliação e a gestão de potenciais situações ou eventos que podem
alavancar ou atrapalhar o atingimento dos objetivos de uma organização.
Neste capítulo, você irá estudar a contextualização do cenário de riscos
e oportunidades, a análise de risco por meio da matriz de risco (MR) e a
análise de oportunidades pela matriz de oportunidade (MO).
Contextualização do cenário de riscos e

oportunidades
Um risco é um evento ou uma situação incerta que, caso ocorra, pode provocar
um impacto positivo ou negativo em algum projeto, área ou processo de uma
organização. Os riscos podem ser consequência de várias causas e trazer
vários tipos de impactos. As condições que favorecem o acontecimento dos
riscos podem incluir aspectos do ambiente organizacional, que vão desde os
38 Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO)
empregados até as práticas adotadas pela empresa e a sua dependência de agen-

tes externos ao contexto (INSTITUTO BRASILEIRO DE GOVERNANÇA
CORPORATIVA, 2007).
O gerenciamento de riscos em uma organização envolve o processo de
planejamento, organização, direção e controle de todos os recursos, sejam
humanos ou materiais, com o propósito de tornar mínimos, eliminar, ou ainda
aproveitar os riscos e as incertezas que cercam o ambiente organizacional.
É importante lembrar que incerteza é algo que gera dúvidas e que não se pode afirmar
que vai realmente acontecer ou existir. Nesse sentido, um risco deve ser sempre
encarado como algo cuja existência ou acontecimento são imprecisos, pois não se
pode afirmar com clareza se irão se concretizar.
Os eventos possíveis de acontecer no contexto organizacional são sempre in-

certos, e podem trazer impactos negativo, positivo ou os dois simultaneamente.
Aqueles eventos que acarretam um impacto negativo representam as ame-
aças, algo que pode diminuir ou eliminar um valor já agregado ou, ainda,
acabar com a possibilidade de agregar valor a alguma coisa.
Quando os eventos podem acarretar um impacto positivo, eles representam
as oportunidades, ou seja, algo que pode influenciar de forma favorável no
atingimento de algum objetivo, preservar valor agregado ou, ainda, agregar
valor a algo.
No gerenciamento de riscos, o trabalho é voltado para aumentar a probabi-
lidade de os impactos positivos se efetivarem e para diminuir a probabilidade
de os impactos negativos acontecerem. Nesse sentido, o gerenciamento de
riscos organizacionais traz a possibilidade de a gestão tratar as incertezas
de forma eficiente e eficaz, na tentativa de diminuir ou eliminar as ameaças
e aumentar as chances de uma oportunidade acontecer. O gerenciamento de
riscos, para ser considerado efetivo, deve atender aos seguintes princípios
básicos (BRASIL, 2013):
ter a capacidade de proteger a organização;

conseguir agregar valor para a organização;
fazer parte de todos os processos organizacionais;
Os riscos e oportunidades (matriz de risco – MR e matriz de oportunidades – MO) 39
ser considerado no momento da tomada de decisão;

abordar de forma explícita as incertezas e as suas possibilidades;
ser organizado, estruturado e sistemático;
ser baseado em todas as informações disponíveis da equipe;
estar alinhado ao contexto interno, ao ambiente externo da organização
e ao perfil de risco organizacional;
considerar todos os fatores humanos e culturais envolvidos nos processos;
acontecer de forma transparente e incluindo todos os envolvidos;
ser dinâmico, interativo e capaz de reagir e se adaptar a quaisquer
mudanças que possam acontecer;
permitir que os processos organizacionais possam melhorar de forma
contínua.
O gerenciamento de riscos é uma atividade que pretende fazer a gestão

das ameaças e das oportunidades que possam afetar, de alguma forma, a
agregação ou a preservação de valor em algum aspecto organizacional. Ele é
um processo administrativo que acontece de forma contínua, sendo conduzido
pela gestão da organização, mas contando com a efetiva participação de todos
os empregados.
Durante o gerenciamento de riscos, são identificadas todas as possibilidades
de eventos, que possam afetar a organização de alguma forma, e idealizadas
estratégias que deverão ser utilizadas caso esses eventos se concretizem.
Gerenciar os riscos de uma organização é uma atividade que possui alguns
objetivos, além de tentar diminuir a chance de ameaças e aumentar a chance
de as oportunidades acontecerem (INSTITUTO BRASILEIRO DE GOVER-
NANÇA CORPORATIVA, 2007):
Alinhar a tendência que a organização tem aos riscos com as estratégias

que foram estabelecidas.
Fortalecer as decisões que são tomadas como meio de resposta a cada
um dos riscos.
Reduzir os imprevistos e as perdas da organização, como custos e
prejuízos.
Identificar e gerenciar riscos que possam afetar diversas áreas da or-
ganização ao mesmo tempo, pois quando o gerenciamento de riscos é
feito de forma efetiva, é possível que as respostas obtidas por meio da
aplicação das estratégias atuem de forma a diminuir impactos negativos
que possam estar relacionados entre si, mesmo ocorrendo em áreas
diferentes da empresa.
Aproveitar as oportunidades fazendo sua correta identificação e agindo

de forma antecipada para possibilitar que elas aconteçam de fato.
Identificar corretamente os riscos e as oportunidades a fim de otimizar
a utilização de capital na tomada de decisão.
Quando os riscos tiverem a oportunidade de ser constatados e analisados

pela equipe de gestão de riscos, e forem traçadas as estratégias que servirão
de respostas a eles caso se concretizem, você poderá dizer que os riscos foram
identificados. Assim, esses riscos podem ser gerenciados de forma proativa e
preventiva. Por outro lado, caso os riscos não tiverem sido constatados, nem
analisados pela equipe responsável pela gestão de riscos, eles serão conside-
rados como não identificados.
É importante ressaltar que, à medida em que os fatores de risco de uma or-
ganização são identificados, a oportunidade de distinguir quais podem se tornar
oportunidades vão aparecendo, por meio da transformação de um evento que
poderia ser ruim, em algo que traga um impacto positivo para a empresa. Nesse
sentido, quando um fator de risco passa despercebido, perde-se a chance de evitar
ameaças e de aproveitar oportunidades e, também, de tomar decisões acerca do
fator de risco, como optar por tentar evitar o risco e seu impacto negativo, ou
correr o risco, a fim de tentar aproveitar o impacto positivo de uma oportunidade.
Tanto para os riscos identificados como para os riscos não identificados,
é necessário fazer reservas de capital, pessoal e material, para que possam
ser utilizados caso os riscos se efetivem. Para os riscos identificados, esse
dimensionamento poderá ser elaborado de uma forma mais parecida com a
realidade, ao passo que os riscos não identificados, normalmente, só podem
ser gerenciados no momento em que acontecem, sem permitir antecipação
na tomada de decisão. Se os riscos não puderem ser conhecidos pela organi-
zação, ficará evidente que o gerenciamento de riscos não está acontecendo,
pois identificar os riscos é uma das partes fundamentais da gestão de riscos.
As organizações e as pessoas que fazem parte dela adotam diferentes
posturas em relação aos riscos, e isso pode influenciar no modo como eles
vão responder às estratégias adotadas. Por isso, é importante que os riscos
sejam comunicados a todos, e que a abordagem esperada seja divulgada de
forma ampla, aberta e transparente. O gerenciamento de riscos vai garantir o
estabelecimento de uma postura única da empresa para o seu enfrentamento,
evitando, assim, a adoção de condutas diferenciadas individualmente, que
pode trazer problemas, como o desalinhamento das ações e atuações em
benefício próprio, expondo a empresa a ameaças que possam representar
oportunidades pessoais.
Para ter sucesso e atingir seus objetivos, a organização deve se manter

comprometida com o gerenciamento de riscos de forma contínua, proativa,
sistemática e consistente. É preciso ser inteligente na escolha das pessoas que
farão parte da equipe de gestão de riscos, pois elas serão responsáveis pela
identificação ativa e por efetivar as estratégias definidas para cada ameaça e
cada oportunidade que se concretizar.
Os riscos podem acontecer a qualquer momento, inclusive quando um novo
projeto ou processo se inicia. Avançar nas atividades sem se concentrar no
gerenciamento desses riscos pode causar problemas graves, que não aconte-
ceriam se fossem adotadas medidas proativas.
As respostas aos riscos vão ser a consequência direta do entendimento
da organização sobre o que é correr riscos, o que é evitar ameaças, e o que
é aproveitar as oportunidades. Esse entendimento vai resultar na definição
da estratégia da empresa para responder aos riscos, o que é feito por meio de
algumas ferramentas, como a MR e a MO.
O PMBOK (PROJECT MANAGEMENT INSTITUTE, 2014) cita as se-
guintes estratégias para responder aos riscos:
Riscos negativos ou ameaças:

■■ eliminar a causa do problema;
■■ mitigar ou reduzir a probabilidade ou o impacto da ameaça;
■■ transferir, desviar ou alocar a responsabilidade sobre o risco para
um terceiro;
■■ aceitar, ou seja, não fazer nada.
Riscos positivos ou oportunidades:
■■ explorar: adicionar trabalho ou mudar os planos para assegurar a
oportunidade;
■■ melhorar: aumentar a probabilidade ou o impacto dessa oportunidade;
■■ compartilhar: criar parcerias para concretizar a oportunidade;
■■ aceitar: não fazer nada.
Análise de risco por meio da matriz de risco (MR)

Uma das primeiras etapas de um gerenciamento de risco organizacional,
desempenhada pela equipe de gestão de riscos, é a identificação de todos os
fatores de risco. Depois dessa etapa, deve acontecer o reconhecimento e a
avaliação dos fatores de riscos positivos e negativos, que compõem uma das
etapas essenciais do gerenciamento de risco de uma organização.
O PMBOK (PROJECT MANAGEMENT INSTITUTE, 2014) reconhece seis etapas a serem

desenvolvidas no gerenciamento de riscos.
1. Planejamento do gerenciamento de riscos: envolve como abordar, planejar e
executar as atividades de gerenciamento de riscos.
2. Identificação de riscos: consiste em elencar quais, onde, quando, por que e como
os eventos podem impedir, atrapalhar, atrasar ou melhorar o alcance dos objetivos.
3. Análise qualitativa e quantitativa de riscos: consiste em identificar e avaliar os
controles existentes, determinar suas consequências ou impactos, a probabilidade
e o nível de risco.
4. Planejamento de respostas aos riscos: consiste em desenvolver estratégias e
planos de ação específicos e econômicos, visando aumentar oportunidades e
reduzir as ameaças aos objetivos.
5. Monitoramento de respostas aos riscos: envolve o acompanhamento dos riscos
identificados, monitoramento dos residuais, identificação de novos, execução de
planos de respostas e avaliação de sua eficácia.
6. Comunicação implícita: consiste em comunicar e consultar as partes em cada
etapa do processo de gerenciamento de riscos e em relação ao processo como
um todo.
Essas atividades de avaliação ficam facilitadas se forem feitas com ajuda

de matrizes, como a MR e a MO, que auxiliam na qualificação dos riscos,
incluindo uma análise qualitativa e quantitativa posterior, para o planejamento
das respostas que serão dadas a eles. Essa classificação pode ser desenvolvida
de várias formas, mas uma das mais conhecidas é a MR, ou e matriz de
probabilidade impacto (ENDEAVOR BRASIL, 2017).
A qualificação dos riscos inclui a análise qualitativa e quantitativa dos riscos.

Análise qualitativa: é a priorização dos riscos, significa dar atenção aos riscos que
têm grande probabilidade de ocorrer ou que podem causar grandes impactos.
Uma das melhores ferramentas para fazer a análise qualitativa é a MR.
Análise quantitativa: demonstra o impacto de tempo e dinheiro que os riscos
podem causar, fornecendo informações como números, dias, horas e valores
que a empresa teria caso os riscos se concretizassem. Para a análise quantitativa,
recomenda-se a utilização da MO.
A MR é uma ferramenta importante devido ao seu potencial para a comu-

nicação visual e pela simplicidade na elaboração e manutenção. Visualmente,
ela dispõe das cores vermelha, amarela e verde, conhecidas mundialmente
por se tratarem de algo ruim, médio ou bom, respectivamente. De uma forma
geral, a matriz de risco é elaborada como um gráfico, contendo um eixo com
escalas de probabilidade de ocorrência para o risco e outro eixo contendo
escalas de impacto corporativo para um determinado fator de risco. Observe
um modelo na Figura 1.
Figura 1. Exemplo de MR com a probabilidade no eixo X e o impacto no eixo Y.

Fonte: Bertolucci (2016).
Depois que a estrutura da matriz tiver sido elaborada e ela estiver desenhada,
chega o momento em que cada um dos fatores de risco identificado pela equipe
de gestão de riscos deve ser analisado, sob os aspectos de probabilidade de
ocorrência e de tamanho do impacto organizacional que pode ser gerado. Cada
um dos fatores de risco é, então, posicionado na matriz, depois que a equipe
chegar a uma conclusão sobre ele (ENDEAVOR BRASIL, 2017).
Normalmente, os fatores de riscos são priorizados de acordo com a sua

possibilidade em potencial de afetar a organização de alguma forma, seja
nos seus objetivos, seus processos, suas finanças, ou em qualquer outro fator.
Não existe um padrão formal para a alocação das escalas entre os eixos
X e Y. Além disso, é a própria organização que deve definir o que é uma
importância alta, moderada ou baixa para os seus fatores de risco. Da mesma
forma, como não existe um padrão para a disposição da probabilidade e do
impacto nos eixos X e Y, não existe um padrão para a quantidade de níveis
ou percentuais que a avaliação qualitativa deva apresentar.
O eixo da probabilidade, por exemplo, pode ser visto na literatura comu-
mente dividido de três a nove níveis, mas é fundamental considerar que é mais
fácil associar o aspecto da probabilidade de um risco se concretizar a formas
empíricas, de modo que se aproxime da realidade.
Tanto a escala da probabilidade como a do impacto, devem ser adaptadas
conforme as necessidades, as características e as particularidades de cada
organização. Mesmo não havendo um padrão, a Norma AS/NZS nº 4.360
(LEITE, 2012) sugere que o eixo da probabilidade de um risco se concretizar
seja dividido em cinco níveis:
A = quase certo que se concretize, é um risco quase que inevitável.
B = é provável que se concretize.
C = é possível que se concretize, é um risco que se concretizará de forma
ocasional.
D = é improvável que se concretize.
E = raramente irá se concretizar, é um risco quase que improvável.
A Norma AS/NZS nº 4.360, de 2004 (LEITE, 2012), foi a primeira norma do mundo a tratar
sobre sistemas de gestão de riscos empresariais. Ela traz a proposta de um processo
estruturado que possa ser utilizado no gerenciamento de todo e qualquer tipo de risco,
como aqueles relacionados a segurança, meio ambiente, finanças, políticas públicas
e qualidade da entrega de produtos e serviços.
Com relação ao eixo do impacto, a correta análise e a avaliação dos fatores

de risco devem considerar as consequências financeiras que a concretização
do risco pode trazer, bem como as consequências estratégicas e operacionais.
Nesse sentido, são analisados aspectos como a possibilidade de ocorrerem,

entre outros, como:
perda de capital para os acionistas;

diminuição do lucro;
perda de clientes;
perda de espaço no mercado;
piora na imagem perante aos clientes e à sociedade;
problemas com a qualidade dos resultados;
atrasos de cronogramas e entregas.
A classificação dos fatores de risco auxilia na elaboração das respostas

a eles e na urgência que deve ser atribuída ao tratamento de cada um. Via
de regra, o tratamento dado em resposta à elaboração da MR é a seguinte
(PROJECT MANAGEMENT INSTITUTE, 2014):
os fatores de risco que ficarem dispostos na região vermelha deverão

ser tratados de forma prioritária;
os fatores de risco da área amarela deverão ser tratados imediatamente
após os da área vermelha e, se possível, de forma simultânea;
os fatores de risco da área verde oferecem maior tempo para que a
equipe de gestão de riscos possa agir, pois não apresentam urgência.
Análise de oportunidades por meio da matriz de

oportunidades (MO)
Em um contexto corporativo, geralmente as oportunidades não aparecem so-
zinhas. Elas integram um contexto incerto, juntamente com as ameaças, ou
seja, para que uma organização consiga tirar proveito de uma oportunidade,
obrigatoriamente ela também deverá identificar e saber lidar com as suas ameaças.
A análise das oportunidades e das ameaças de uma organização pode ser
feita com a utilização de diversos tipos de ferramentas da administração,
mas uma das mais conhecidas e importantes, sem dúvida, é a matriz SWOT.
A expressão SWOT é a união das iniciais das palavras em inglês strengths,
weaknesses opportunities e threats, traduzidas respectivamente como forças,
fraquezas, oportunidades e ameaças. Por causa disso, no Brasil essa matriz
também é conhecida como matriz FOFA (ENDEAVOR BRASIL, 2015).
Observe o esquema para matriz SWOT ou FOFA apresentado na Figura 2.
Figura 2. Esquema da matriz SWOT/FOFA.

Fonte: Casarotto (2016).
As forças e as fraquezas são consideradas fatores internos na matriz, e as

oportunidades e as ameaças são consideradas fatores externos. A matriz SWOT
é utilizada para identificar os pontos fortes e fracos de uma organização e,
posteriormente, elencar as oportunidades relacionadas aos pontos fortes e as
ameaças relacionadas aos pontos fracos.
Ela consiste em uma avaliação detalhada da situação da organização, o que
auxilia a gestão organizacional a tomar decisões e, frequentemente, possibilita
identificar o grau com que as forças apresentadas pela organização poderão
compensar as ameaças e como as oportunidades poderão superar as fraquezas
organizacionais (PROJECT MANAGEMENT INSTITUTE, 2014).
A elaboração de uma matriz SWOT inicia pela definição dos pontos fracos
(fraquezas) e fortes (forças) do ambiente interno da organização, ou seja, aquilo
que pode ser controlado, melhorado ou modificado pela própria empresa e
que não depende de fatores externos. As fraquezas e as forças representam
fatores que são chave para a obtenção do sucesso, ou seja, tudo aquilo que
traz um desempenho satisfatório para a empresa.
As fraquezas envolvem tudo aquilo que poderia melhorar a organização
se não existisse, como funcionários mal capacitados, falta de qualidade em
produtos e serviços, clientes que não retornam para novo negócio, etc. Já
as forças consistem naquilo que a organização tem de melhor, como bons
recursos financeiros disponíveis, funcionários capacitados, métodos efetivos
para atrair clientes, entre outros.
Finalizada a análise do contexto organizacional interno, deve-se analisar o
ambiente externo à organização, ou seja, aquilo que não pode ser controlado e
nem modificado pela empresa, pois depende exclusivamente de fatores exter-
nos. Apesar de a organização não possuir controle em relação às oportunidades
e ameaças, é por meio da análise SWOT que a organização poderá identificar
a relevância de cada um deles, de que forma vão impactar no negócio e quais
serão as maneiras de tratar esses impactos.
As oportunidades, nesse caso, vão envolver todos os aspectos que podem
agregar receita e valor para a organização e que, normalmente, resultam das
forças que a empresa apresenta, como capacidade de investir em novidades
do mercado, possibilidade de expandir um produto e surgimento de novos
clientes. As ameaças, por sua vez, representam todos os aspectos que
podem trazer algum tipo de prejuízo para a organização, tanto financeiro
como de imagem, geralmente decorrentes das fraquezas apresentadas pela
empresa, como novas empresas concorrentes para o mesmo mercado ou
produto, queda na clientela, e concorrentes investindo pesado em inovação
e tecnologia.
A matriz SWOT geralmente é preenchida por uma equipe, que deve, na
medida do possível, ser formada por pessoas de diferentes áreas e níveis
hierárquicos da organização, pois é essa visão diferenciada que vai permitir
uma visão holística e integrada dos riscos.
Confira na Figura 3 um exemplo de matriz SWOT preenchida, com relação à grande

rede de fast-food McDonald’s.
Figura 3. Matriz SWOT McDonald’s.

Fonte: Pacheco (c2018).
A matriz SWOT é largamente utilizada no planejamento estratégico das

organizações, pois possibilita um diagnóstico completo sobre o negócio e
o ambiente em que ele está inserido. Seu propósito é analisar e estabelecer
uma relação entre os pontos fortes e fracos da empresa, com o seu ambiente
externo.
Essa análise vai permitir situar a organização perante os seus concorrentes e
os seus clientes por meio da transparência, da comunicação e do conhecimento,
por todos, daquilo que a organização apresenta como pontos de melhoria, que
demandam atenção e deverão ser trabalhados, como pontos a serem mantidos
porque estão se apresentando de forma satisfatória.
O gerenciamento de riscos tende a se tornar mais efetivo à medida que a
organização tem a capacidade de conhecer suas forças e fraquezas. É de posse
desse conhecimento que se torna possível tirar vantagem das oportunidades
(aproveitamento dos riscos positivos) e lidar com as ameaças (eliminação

ou redução dos riscos negativos), diminuindo seu impacto ou até mesmo o
transformando em oportunidades.
BERTOLUCCI, R. Matriz de risco: uma ferramenta para avaliação de riscos. Curitiba:

Auditoria Operacional, 2016. Disponível em: <https://auditoriaoperacional.com.br/
matriz-de-risco-uma-ferramenta-para-avaliacao-de-riscos/>. Acesso em: 09 jan. 2018.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Gestão
Pública. Departamento de Inovação e Melhoria da Gestão. Gerência do Programa
GesPública. Projeto de desenvolvimento do guia de orientação para o gerenciamento
de riscos. Brasília, DF, 2013.
CASAROTTO, C. Análise SWOT ou Matriz F.O.F.A.: entenda o conceito e como colocá-lo
em prática. Belo Horizonte: Marketing de Conteúdo, 2016. Disponível em: <https://
marketingdeconteudo.com/como-fazer-uma-analise-swot/>. Acesso em: 09 jan. 2018.
ENDEAVOR BRASIL. Matriz de gestão de risco: analise os pontos críticos do seu produto
ou serviço. São Paulo, 2017. Disponível em: <https://endeavor.org.br/matriz-de-gestao-
-de-risco-inovar-nao-precisa-ser-sinonimo-de-correr-risco/>. Acesso em: 09 jan. 2018.
ENDEAVOR BRASIL. Matriz SWOT: entenda como usar e as vantagens para sua empresa.
São Paulo, 2015. Disponível em: <https://endeavor.org.br/entenda-matriz-swot/?gcl
id=Cj0KCQiA7dHSBRDEARIsAJhAHwj_eQng1Eq6RwYl0t875qOcOLt0C9fVAgjxB0fe-
-gjKQRKwlyUgK5MaAnp_EALw_wcB>. Acesso em: 09 jan. 2018.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Guia de orientação para
gerenciamento de riscos corporativos. São Paulo: IBGC, 2007.
LEITE, T. A. S. Gestão de riscos: diretrizes para implementação da AS/NZS 4360:2004.
[S.l.]: Biblioteca de Segurança, 2012.
PACHECO, O. Análise e matriz SWOT: confira o que é e como montar! Florianópolis:
ESAG, c2018. Disponível em: <http://esagjr.com.br/analise-swot/>. Acesso em:
09 jan. 2018.
PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de
projetos: guia Pmbok. 5. ed. São Paulo: Saraiva, 2014.
DICA DO PROFESSOR
Normalmente, as oportunidades não aparecem de forma isolada no contexto corporativo, elas

integram um cenário de incerteza, juntamente com as ameaças, ou seja, para que uma
organização seja capaz de aproveitar suas oportunidades, necessariamente, ela terá que lidar
com suas ameaças também.
A análise de oportunidades e ameaças de uma organização pode ser feita através da utilização de
várias técnicas ou ferramentas, entretanto, entre as mais conhecidas, está a Matriz SWOT ou
FOFA, que reúne as forças, fraquezas, oportunidades e ameaças em um esquema gráfico único.
Veja nesta Dica do Professor a análise de oportunidades através da Matriz de Oportunidades

(MO).
EXERCÍCIOS
1) É correto afirmar que um risco:
A) É incerto, mas, quando se concretiza, sempre causa impacto negativo.
B) É certo que se concretizará e trará algum impacto positivo para a empresa.
C) É incerto e pode provocar impactos positivos ou negativos.
D) É certo que se concretizará e trará prejuízos para a empresa.
E) É incerto, mas, quando acontece, sempre traz algo positivo para a empresa.
2) Assinale a alternativa que mostra a diferença entre riscos identificados e não

identificados:
A) Risco identificado é aquele que já foi tratado. Risco não identificado é aquele que ainda
não foi tratado.
B) Risco identificado é aquele que foi constatado, analisado, permitindo que seja tratado
posteriormente, caso se concretize. Risco não identificado é aquele que não foi constatado
nem analisado e será tratado somente no momento em que se concretizar.
C) Risco identificado é aquele para o qual não é possível traçar estratégia caso se concretize.
Risco não identificado é aquele que ainda não aconteceu, mas já possui estratégias
traçadas.
D) Risco identificado é aquele que já possui estratégias para tratamento. Risco não
identificado é aquele impossível de acontecer, pois não existe.
E) Risco identificado é aquele considerado uma ameaça, que traz sempre impacto negativo
para a empresa. Risco não identificado é aquele que é sempre uma oportunidade e, por
isso, não precisa de estratégia antecipada.
3) Assinale a alternativa que melhor explica o motivo pelo qual a matriz de risco é uma
ferramenta muito utilizada no gerenciamento de riscos.
A) Porque é uma lista que contém o nome dos riscos e a área a qual estes estão ligados.
B) Porque é uma planilha que contém o nome de cada fator de risco e quem conseguiu
identificá-lo.
C) Porque é um gráfico de pizza, onde cada fatia é uma área da organização que pode ser
atingida por alguma ameaça.
D) Porque é um quadro explicativo que contém dicas de como aproveitar as oportunidades.

E) Porque é fácil compreendê-la visualmente, pois utiliza padrão verde, amarelo e vermelho,
e também porque é de fácil construção e manutenção.
4) Assinale a alternativa que contém um resumo da atividade de elaboração da matriz

de risco:
A) Desenhar a estruturada da matriz com os níveis de cada eixo, analisar cada risco quanto à
probabilidade e ao impacto e posicioná-lo na matriz.
B) Desenhar a estruturada da matriz com os níveis de cada eixo e posicionar todos os riscos
no nível mais alto de probabilidade e impacto, pois é melhor tratar todos eles como sendo
importantes desde o início.
C) Desenhar a estruturada da matriz com os níveis de cada eixo, colocando todas as

oportunidades no lado verde e as ameaças no lado vermelho.
D) Desenhar a estruturada da matriz com os níveis de cada eixo, colocando todos os riscos na
porção amarela, pois nenhum aconteceu ainda e é preciso atenção.
E) Desenhar a estruturada da matriz com os níveis de cada eixo e posicionar todos os riscos
no nível mais baixo de probabilidade e impacto, pois nenhum risco aconteceu ainda, então,
pode-se guardar o esforço para o momento da efetivação do risco.
5) Assinale a alternativa correta com relação às oportunidades, ameaças, forças e

fraquezas em uma Matriz SWOT.
A) Forças e oportunidades se relacionam e são externas à organização, quanto as fraquezas e

ameaças são internas e se relacionam.
B) Ameaças e fraquezas se relacionam e são externas à organização, quanto forças e

oportunidades são internas e se relacionam.
C) As forças e fraquezas são internas da organização, enquanto as oportunidades e ameaças
são externas. As oportunidades sestão vinculadas às forças e as ameaças às fraquezas.
D) Esses quatro elementos são internos da organização e se relacionam entre si.
E) Esses quatro elementos são externos à organização e não se relacionam entre si e dizem
respeito à área de negócio da organização.
NA PRÁTICA
Edimir é dono de um restaurante que não vem funcionando de forma adequada. Ele vem
perdendo clientes para a concorrência e as reclamações daqueles que ficam são de todos os
tipos. Por isso, ele chamou uma consultoria, a fim de pedir auxílio e tentar resolver a situação.
A consultoria logo identificou que Edimir não tem a prática de gerenciar os riscos no seu
restaurante, processo que pode ser adotado em qualquer organização e que visa fazer com que a
empresa conheça seus riscos, na tentativa de diminuir ou até eliminar aqueles que possam trazer
alguma espécie de prejuízo, e também aproveitar aqueles que possam agregar algum valor ao
negócio.
Em vista disso, Edimir, os funcionários do restaurante e os representantes da consultoria

sentaram-se juntos para uma reunião, a fim de elaborar uma Matriz de Risco e, assim,
finalmente conhecer o cenário no qual o estabelecimento está inserido.
Atualmente, Edimir e seus funcionários trocam ideias frequentemente sobre os riscos aos quais
estão expostos, e isso está fazendo com que o restaurante consiga trazer de volta os clientes que
havia perdido, além de conquistar novos clientes e fidelizar funcionários que haviam decidido
não trabalhar mais no estabelecimento devido às incertezas que rodeavam o ambiente.
SAIBA MAIS
professor:
Este vídeo aborda sobre a Matriz de Risco.
Neste vídeo, você entenderá para o que serve e como a Matriz SWOT pode auxiliar na
escolha dos caminhos aos quais seguir.
Esta matéria aborda a importância da gestão de risco nas organizações.

Controles Internos como parte integrante
da gestão estratégica e do Gerenciamento
de Riscos
APRESENTAÇÃO
Os controles internos constituem uma importante ferramenta de gestão, que estabelece normas e
procedimentos necessários para o bom funcionamento da organização, e tem por finalidade
possibilitar a organização, melhorar a sua produtividade, evitar fraudes e padronizar os
processos. Toda organização que apresente um controle interno eficaz apresenta maiores
condições de ter sucesso em sua gestão.
Embora a existência de controles internos não seja capaz de eliminar totalmente os riscos,
trabalha no sentido de buscar formas de minimizá-los e de evitá-los. Para isso, o gerenciamento
de riscos corporativos deve abranger o controle interno, e estabelecer normas e procedimentos
para fornecer à organização maior eficiência e eficácia nos processos de forma geral, permitindo
a boa governança. Afinal, a gestão de uma empresa não é uma tarefa fácil e é nesse sentido que
a adoção de boas práticas de governança otimiza a gestão e agrega valor à organização.
Neste Unidade de Aprendizagem, você vai estudar os controles internos, sua definição e
objetivos, seus aspectos fundamentais e estrutura básica para a formatação de controles internos
eficientes e ainda o papel dos controles internos para a gestão estratégica e o gerenciamento de
riscos.
Bons estudos.
• Definir controles internos.

• Identificar os aspectos fundamentais e estrutura básica para a formatação de controles
internos eficientes.
• Reconhecer o papel dos controles internos para a gestão estratégica e o gerenciamento de
riscos.
DESAFIO
Os controles internos têm a finalidade de auxiliar a gestão da empresa na melhoria dos

processos internos e operacionais focando nos objetivos a serem atingidos e na melhoria dos
resultados, e para que esse processo seja bem-sucedido é necessário que os princípios referentes
ao controle interno sejam seguidos constantemente e continuamente pelos gestores.
Com base nos conceitos do controle interno e dos princípios fundamentais que os regem, analise
a situação a seguir:
Uma construtora contratou uma consultora para realizar uma avaliação no controle interno do
seu departamento financeiro, onde apresenta quatro situações com a descrição de suas atividades
decorrentes no setor.
SITUAÇÃO DESCRIÇÃO
Os pagamentos só são realizados após duas alçadas de autorizações: a

primeira, do gerente de obras (que atesta que o material ou serviço foi
A
recebido na obra) e a segunda, do gerente do financeiro (autorizando o
pagamento em função do valor).
Dois colaboradores do departamento realizam pagamentos através da conta da

B
empresa na Internet, compartilhando uma mesma senha.
Essas pessoas, que realizam os pagamentos, também são responsáveis pela

conciliação bancária (que consiste em verificar se as entradas e saídas da
C
conta estão corretas com relação aos registros de contas pagas e recebidas no
sistema da empresa).
Os computadores da empresa, que acessam a conta bancária, possuem

D
antivírus apropriado.
Você, como consultora, deverá identificar qual o princípio básico do controle interno se refere
às atividades descritas e dizer se elas estão adequadas com o conceito do princípio escolhido.
INFOGRÁFICO
Veja neste Infográfico quais são os princípios fundamentais e básicos do controle interno,
auxiliando, assim, na sua compreensão.
CONTEÚDO DO LIVRO
Você sabe o que significa o controle interno nas organizações? É uma ferramenta que assegura a
proteção do patrimônio da empresa e também a eficiência das operações, assegurando a precisão
e autenticidade dos dados e informações. O controle interno ajuda as empresas a entenderem os
riscos a que estão expostas e a estabelecer mecanismos que permitam combater as ameaças ao
seu planejamento estratégico, sendo assim, tanto a gestão de riscos quanto o controle interno
estão implícitos nas boas práticas da governança corporativa.
Neste capítulo, Controles internos como parte integrante da gestão estratégica e de gerencimento
de riscos, do livro Gerenciamento de risco, você vai aprofundar os conhecimentos sobre os
aspectos fundamentais e a estrutura básica para a formatação dos controles internos eficientes,
como, também, o papel dos controles internos para a gestão estratégica e o gerenciamento de
riscos.
Boa leitura.
GERENCIAMENTO
DE RISCOS
Simone Fraporti
Controles internos como
parte integrante da
gestão estratégica e do
gerenciamento de riscos
Definir controles internos.

Identificar os aspectos fundamentais e a estrutura básica para a for-
matação de controles internos eficientes.
Reconhecer o papel dos controles internos para a gestão estratégica
e o gerenciamento de riscos.
Introdução
Os controles internos constituem uma importante ferramenta de gestão,
pois estabelecem normas e procedimentos necessários para o bom
funcionamento da organização, além de possibilitar à organização a
melhora da sua produtividade, evitar fraudes e padronizar os processos.
Toda organização que apresente um controle interno eficaz, apresenta
maiores condições de ter sucesso em sua gestão.
Embora os controles internos não sejam capazes de elminar total-
mente os riscos, seu foco é buscar formas de minimizá-los e de evitá-
-los. Para isso, o gerenciamento de riscos corporativos deve abranger o
controle interno e estabelecer normas e procedimentos para fornecer
à organização maior eficiência e eficácia nos processos de forma geral,
permitindo a boa governança.
Neste capítulo, você irá estudar os controles internos, sua definição
e objetivos, seus aspectos fundamentais e estrutura básica para a
formatação de controles internos eficiente e, ainda, o papel dos controles
internos para a gestão estratégica e o gerenciamento de riscos.
54 Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos
Controles internos
Definição
Controle interno representa para uma organização o conjunto de procedi-
mentos e métodos que produzem dados confiáveis para ajudar a gestão. Esses
procedimentos padronizam as rotinas e norteiam como as tarefas devem ser
desempenhadas, a fim de obter eficiência e eficácia nas atividades. (RESKE
FILHO; JACQUES; MARIAN, 2005).
Para a área pública, o Tribunal de Contas da União (BRASIL, 2009) define
“[...] controle interno como um processo composto pelas regras de estrutura

e pelo conjunto de políticas e procedimentos adotados para a vigilância,
fiscalização e verificação, que permite prever, observar, dirigir ou governar
os eventos que possam impactar na consecução de seus objetivos. É um pro-
cesso organizacional de responsabilidade da própria gestão, adotado com o
intuito de assegurar uma razoável margem de garantia de que os objetivos da
organização sejam atingidos”.
Apesar de os controles internos, em algumas organizações, terem surgido

para evitar fraudes, a importância deles não está somente ligada ao seu caráter
preventivo, mas também na efetividade de suporte à gestão de negócios, em
suas mais variadas instâncias (planejamento estratégico, execução e controle
de processos e tomada de decisões críticas).
A definição de controle interno, segundo a Financial Accounting Stan-
dards Board (FASB) (apud CREPALDI, 2002), diz que é conjunto de políticas
e procedimentos que garantem razoável certeza sobre a confiabilidade da
elaboração e apresentação das demonstrações financeiras e seus processos
correlatos, garantem que foram preparadas de acordo com os princípios de
contabilidade geralmente aceitos e que incluem políticas e procedimentos
de manutenção dos registros contábeis, aprovações em níveis adequados e
preservação de ativos.
Franco e Marra (2001) definem o controle interno como todos os esforços da
organização que permitem prever, observar ou administrar os acontecimentos
que se verificam internamente e que produzem reflexos em seu patrimônio.
Podem ser divididos em contábeis e administrativos, em que os controles con-
tábeis cuidam dos métodos, procedimentos e registros referentes à preservação
do patrimônio e à legitimidade dos registros contábeis; e, os administrativos
tratam da eficiência da política de negócios e dos registros financeiros.
Controles internos como parte integrante da gestão estratégica e do gerenciamento de riscos 55
Controle interno compreende o conjunto ordenado de métodos e procedi-

mentos adotados pela entidade na realização das suas operações internas e
para proteger seu patrimônio, que segundo Attie (2010) verifica a exatidão e o
grau de confiança dos seus dados contábeis, que devem assegurar a execução
e o registro de forma correta, eficiente e ordenada.
De acordo com Cavalheiro (2003, p. 41): “[...] controle interno é o conjunto de
recursos, métodos e processos adotados pela própria gerência do setor público,
com a finalidade de comprovar fatos, impedir erros, fraudes e a ineficiência”.
Os controles internos são importantes em todo tipo de organização, inde-
pendentemente do seu grau de complexidade. Contudo, à medida que as orga-
nizações aumentam em tamanho, fica mais clara a necessidade da existência
de um controle interno eficiente e, uma vez adotada uma política de controles
internos, torna-se necessário que toda a organização trabalhe em sintonia.
Para Oliveira, Perez Júnior e Silva (2004, p. 83) “[...] um sistema contábil
que não esteja apoiado em um controle interno eficiente é até certo ponto
inútil, uma vez que não é possível confiar nas informações contidas em seus
relatórios”.
Controle é também o conjunto de normas, processos e sistemas adotados
para auxiliar no processo de tomada de decisão, minimizar os riscos e assegurar
o atingimento dos objetivos traçados pela organização. Toda organização
que apresente um controle interno eficaz, apresenta maiores condições de ter
sucesso em sua gestão, pois sempre que algum tipo de controle é exercido,
existe uma fiscalização implícita sobre o trabalho praticado. Essa fiscalização
visa garantir que as funções estejam sendo cumpridas da melhor forma, com
exatidão e fidedignidade nas informações, promovendo, assim, a eficiência
operacional e protegendo o patrimônio da empresa. Embora algumas empresas
se utilizem de controles internos para prevenir fraudes, esses controles ajudam
a organização a promover a excelência em suas atividades internas.
De forma geral, os controles internos fornecem maior transparência nas
atividades da empresa, além de serem um meio de aperfeiçoar o processo de
gestão, conscientizando os colaboradores sobre a importância do respeito e
cumprimento das políticas traçadas pela organização.
Apesar de diferentes formas de conceituar, percebe-se que, de modo geral,
todos eles convergem para alguns elementos preponderantes, que são:
confiabilidade de informação;
obediência às leis e regulamentos aplicáveis;
eficácia e eficiência de operação.
O trabalho de implantação do sistema de controles internos é de respon-

sabilidade da administração da organização, porém devem ser seguidos
por todos os colaboradores, de qualquer nível hierárquico, inclusive pela
administração.
Objetivos
O objetivo principal do controle interno é garantir segurança para a organização
(no sentido de que todas as atividades serão realizadas de acordo com normas
e procedimentos estabelecidos e que todo trabalho será realizado de forma
que os objetivos propostos sejam alcançados com êxito).
Na visão de Crepaldi (2002), são objetivos do controle:
verificar e assegurar os cumprimentos, as políticas e normas da compa-

nhia, incluindo o código de éticas nas relações comerciais e profissionais;
obter informações adequadas, confiáveis, de qualidade e em tempo
hábil, que sejam realmente úteis para as tomadas de decisões;
prevenir erros e fraudes, mas, caso ocorram, possibilitar a descoberta
o mais rápido possível, determinar sua extensão e atribuir as corretas
responsabilidades;
registrar adequadamente as diversas operações, de modo a assegurar
a eficiente utilização dos recursos da empresa;
assegurar o processamento correto das transações da empresa.
De acordo com Attie (2010) os objetivos do controle interno são:
A salvaguarda dos interesses da organização – proteção do patrimônio

para que evite quaisquer perdas e risco devido a erros ou irregularidades.
A precisão e confiabilidade dos informes e relatórios contábeis finan-
ceiros e operacionais – ter as informações que auxiliam a gestão dos
negócios e o entendimento uniforme da informação.
O estímulo à eficiência operacional – a administração determina os
meios necessários para conduzir as tarefas, garantindo entendimento,
aplicação e uniformidade.
A aderência às políticas existentes – garantia que os anseios da admi-
nistração sejam cumpridos por todos os colaboradores.
A adequada gestão organizacional depende diretamente de um sistema

de controle interno eficaz, que ajude a garantir o alcance dos objetivos e do
retorno financeiro definidos, que as informações gerenciais estejam de acordo

com as normas, políticas e procedimentos internos, diminuindo assim o risco
de perdas e danos à imagem corporativa. Portanto, um sistema de controle
funcional e eficaz é essencial para a gestão da organização, e é a base para a
realização de tarefas seguras e confiáveis.
Nesse contexto, podemos afirmar que a eficácia na execução dos controles
internos está diretamente relacionada aos riscos que as organizações estão
expostas.
Aspectos fundamentais e estrutura básica para

a formatação de controles internos eficientes
Implementar o controle interno em uma organização significa adotar medidas
que auxiliem a gestão na melhoria dos processos internos e operacionais,
focando nos objetivos a serem atingidos, na redução de custos e na melhoria
nos resultados. Gil, Arima e Nakamura (2013) destacam que organiza-
ções que adotam essa prática possuem informações valiosas para apoiar o
trabalho da gestão. Assim, destacam-se como aspectos fundamentais do
controle interno:
proteger os ativos da empresa (dinheiro, bens, estoque, etc.);

produzir dados contábeis confiáveis;
estabelecer protocolos e procedimentos que colaboradores devem seguir;
manter informações financeiras organizadas;
reduzir erros;
evitar fraude e roubo;
separar funções.
Os controles internos produzem e usam informações que permitem manter

uma organização orientada para seus objetivos. A seguir você verá quais são
os princípios para que isso seja estabelecido.
Estabelecimento de responsabilidades: um responsável por cada tarefa
facilita o gerenciamento, a execução das atividades e a responsabilidade sobre
o resultado.
Procedimentos documentados: todas as atividades devem ser documen-
tadas para facilitar a verificação dos procedimentos e evitar fraudes.
Autorização de transação: pagamentos só podem ser realizados após a
autorização de um responsável.
Segregação de funções: ideal que uma mesma pessoa não seja responsável

por muitas tarefas.
Rodízio de funcionários: deve-se evitar que um funcionário exerça uma
determinada função por muito tempo.
Supervisão das operações: essa prática dá uma certa garantia de que as
atividades estejam sendo executadas de acordo com objetivos da organização
e diminui a probabilidade de furtos e/ou desfalques.
Controles físicos: câmeras de vídeos, cofres, alarmes, ponto eletrônico,
senhas em computadores, programas antivírus, entre outros.
Análises regulares independentes: tudo que ocorre dentro da empresa
deve ser verificado periodicamente e quaisquer problemas observados devem
ser relatados à direção, podendo ser tanto por meio de auditoria interna como
externa.
O objetivo do controle interno é pautado na proteção do patrimônio
da organização e na eficiência operacional. Para que isso ocorra de forma
satisfatória e organizada, é necessário seguir algumas etapas na implantação
do sistema de controle interno, adequando a sua estrutura às necessidades
da empresa.
Em 1992, o Committee of Sponsoring Organizations of the Treadway Com-
mission (COSO) desenvolveu um modelo para avaliação de controles internos,
que foi adotado como quadro geralmente aceito para o controle interno, sendo
amplamente reconhecido como o padrão com o qual as organizações medem
a eficácia de seus sistemas de controle interno.
De acordo com o COSO I, é necessário que a empresa estabeleça uma
estrutura básica de controles internos, formada por etapas que devem ser
seguidas para impedir ou identificar erros e também apresentar relatórios que
agreguem valor. Nesse sentido, o modelo de controle interno apresentado pelo
COSO I é constituído por cinco componentes (COMMITTEE OF SPONSO-
RING ORGANIZATIONS OF THE TREADWAY COMMISSION, 2013):
1. Ambiente de controle: abrange a estrutura de controle interno, com

conceitos como conduta, atitude, consciência, competência e estilo,
em outras palavras:
■■ integridade e valores éticos;
■■ compromisso com a competência;
■■ conselho de administração e comitê de auditoria;
■■ filosofia da administração e estilo de operação;
■■ estrutura organizacional;
■■ atribuição de autoridade e responsabilidade;
■■ políticas e procedimentos de recursos humanos.

2. Avaliação de riscos: identificação e análise dos riscos relevantes para
o cumprimento dos objetivos da empresa. Contribui também na deter-
minação de como os riscos devem ser monitorados e avaliados.
3. Atividades de controle: estabelecimento de políticas e procedimentos
que ajudam a assegurar que os objetivos operacionais sejam atingidos
e as estratégias para atenuar riscos sejam seguidas.
4. Informação e comunicação: estabelece qualidade de informação e
eficácia da comunicação, para que as atividades de controle interno
sejam realizadas da melhor maneira possível.
5. Monitoramento: o monitoramento eficaz ajuda a garantir que seu sistema
de controle interno continuará a proporcionar as proteções necessárias
para a empresa. Portanto, o monitoramento deve ser projetado para
identificar e corrigir falhas no controle interno, antes que elas resultem
em uma distorção significativa nas demonstrações financeiras.
A estrutura básica do controle interno deverá ser adaptada às necessidades

da organização e considerar o tipo de atividade, o tamanho, as características
e as necessidades próprias. Apesar dessa flexibilidade de adaptação, alguns
fatores precisam, necessariamente, ser considerados, de acordo com Gil,
Arima e Nakamura (2013) são eles:
necessidade de um organograma com subordinação funcional e segre-

gação de funções bem definido;
elaboração de um manual de procedimentos, contendo a descrição das
práticas necessárias e a definição de pessoas responsáveis;
possuir uma estrutura contábil adequada; e
execução de auditoria interna para verificar, avaliar e aperfeiçoar os
controles internos continuamente.
O controle interno deve ser sistemático e voltado para o gerenciamento de

risco, essa prática vai determinar que controles adequados sejam estabelecidos
em áreas com alto risco e, que as de baixo risco não tenham um controle
excessivo.
Para um controle interno adequado é necessário que ele seja bem estrutu-
rado, com profissionais aptos a planejar, implantar, executar, avaliar e melhorar
o processo, além de ser efetivo, reduzir o nível de erros e irregularidades
e permitir que metas e objetivos sejam cumpridos com eficiência, eficácia
e redução de custos.
O controle interno auxilia as organizações a compreenderem os riscos a

que estão expostas e estabelecerem controles que combatam as ameaças ao
seu planejamento estratégico. Sendo assim, tanto a gestão de riscos como o
controle interno estão implícitos nas boas práticas da governança corporativa.
Papel dos controles internos para a gestão

estratégica e o gerenciamento de riscos
Se o controle interno está diretamente ligado ao alcance dos objetivos e re-
sultados que a organização almeja, com maior eficiência e com a melhor
relação custo-benefício, sua utilização é uma ferramenta fundamental para a
organização, pois cria maneiras de se sobressair de forma positiva, exercendo,
dessa forma, a gestão estratégica na organização.
Costa (2003) define gestão estratégica como um processo que precisa ser
sistemático, planejado, executado e gerenciado pela alta administração da
organização, além de contar com o envolvimento e comprometimento de todos
os gerentes, responsáveis e colaboradores da organização. Sua finalidade é
assegurar o crescimento, a continuidade e a sobrevivência da organização, com
adequação contínua às necessidades, o que dá condições para a organização
enfrentar e se antecipar às mudanças observadas ou previsíveis no seu ambiente.
Para fazer a análise, o mapeamento e tomar decisões acerca da priorização
de riscos, é fundamental que a área de gestão de riscos tenha uma integração
forte com as áreas que detêm a responsabilidade pelos controles internos. O
monitoramento adequado dos processos dessas áreas vai garantir que possíveis
perdas sejam minimizadas, e que novos riscos sejam identificados de imediato.
A gestão estratégica precisa ter percepção do ambiente e estar atenta às
dificuldades e riscos que podem surgir a qualquer momento. Se a empresa
estiver preparada, com processos decisórios adequados, tendo como alicerce
uma boa estrutura de controles internos, garantirá uma vantagem importante
sobre aquelas que não contam com um processo organizado e eficaz. Com
isso, a prática de gerenciamento de riscos torna-se uma aliada frente aos
impactos dessas crescentes transformações, pois, quanto maiores forem as
mudanças, mais inovações surgirão e mais vulneráveis aos riscos inerentes
as suas atividades as empresas ficarão.
Gerenciar riscos corporativos, segundo o Instituto Brasileiro de Governança
Corporativa (IBGC), é parte integrante da governança e responsabilidade da
alta administração, e é considerada “[...] um instrumento de tomada de decisão
da alta administração que visa a melhorar o desempenho da organização pela
identificação de oportunidades de ganhos e de redução de probabilidade e/

ou impacto de perdas, indo além do cumprimento de demandas regulatórias”
(INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2007,
p. 12).
A gestão de uma organização é um processo complexo, que envolve, por
exemplo, a integração entre o gerenciamento de riscos e os controles internos
como partes integrantes de cada segmento da organização, incluindo todas
as rotinas e atividades da entidade, com a intenção de que os colaboradores
e a administração como um todo compreendam e respeitem às políticas esta-
belecidas, que os bens e direitos estejam protegidos e, por fim, que todas as
informações geradas sejam fidedignas. Tudo isso reforça que, cada vez mais,
a adoção de boas práticas de governança agrega valor, organiza e otimiza a
gestão da organização.
Governança corporativa, na definição do IBGC, é o sistema pelo qual as
empresas e demais organizações são dirigidas, monitoradas e incentivadas,
envolve a participação e o relacionamento entre sócios, conselho de adminis-
tração, diretoria, órgãos de fiscalização e controle e demais partes interessadas
(INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2007).
Os sócios, os membros do conselho, a fiscalização interna e o controle
devem participar do processo de criação de regras, para a gestão dos processos
administrativos, os interesses devem estar alinhados para não gerar conflitos
e todos entenderem claramente a hierarquia interna durante as tomadas de
decisões. Todos devem saber claramente o seu papel na empresa.
A governança corporativa tem a grande preocupação de evitar que ob-
jetivos individuais, sejam eles de pessoas ou áreas da organização, sejam
priorizados em detrimento dos objetivos organizacionais, como é o caso do
conflito de agência. De acordo com o IBGC (INSTITUTO BRASILEIRO DE
GOVERNANÇA CORPORATIVA, 2007), a governança corporativa se apoia
em quatro princípios básicos: transparência, equidade, prestação de contas e
responsabilidade. Observe o detalhamento de cada um dos princípios a seguir
e o esquema apresentado na Figura 1.
Transparência: todas as decisões tomadas devem ser claras para todos

os interessados, dentro e fora da organização.
Equidade: os sócios e partes interessadas devem receber tratamento
justo e igualitário dentro da empresa.
Prestação de contas: as organizações devem prestar contas de todas
as atividades realizadas para seus sócios e para as demais partes inte-
ressadas de forma clara, concisa e compreensível.
Responsabilidade corporativa: os agentes de governança devem ter

uma visão ampla da empresa para zelar pela viabilidade econômico-
-financeira e todas as variações possíveis nesse processo.
Figura 1. Princípios básicos da governança corporativa.

Fonte: Instituto Brasileiro de Governança Corporativa (2007).
O conflito de agência acontece quando funcionários de uma empresa tendem a

orientar as suas atividades para resultados financeiros em curto prazo, em detrimento
do valor da empresa em longo prazo. Pode acontecer, também, que acionistas de
uma empresa coloquem à frente da sua conduta o seu ganho imediato, em vez dos
ganhos em longo prazo para a instituição.
Em poucas palavras, o conflito de agência se dá sempre que alguém está em uma
situação na qual pode obter um benefício para si, que pode gerar um impacto negativo
para a empresa.
A conduta adotada pela governança corporativa reflete os benefícios inter-

nos e externos, pois a adoção de boas práticas contribui efetivamente para o
funcionamento adequado dos processos, maior eficiência e melhores resultados.

Organizações bem estruturadas e com alto valor de mercado utilizam-se das
práticas de governança para mostrar seus valores de forma clara.
Com o intuito principal de garantir transparência na gestão empresarial e re-
duzir riscos, evitando fraudes e estabelecendo mecanismos que identifiquem
os casos em que elas ocorrerem, a Lei Sarbanes-Oxley também reforça a
importância dos controles internos para as organizações (GRUPO PORTAL
DE AUDITORIA, 2017).
Entre os reflexos da Lei SOx, cabe destacar a regulação que ela promoveu
em relação às empresas de auditoria e aos serviços por elas prestado, estabele-
cendo o que elas podem ou não oferecer aos seus clientes, visando preservar a
imparcialidade e a autonomia que esse tipo de serviço deve apresentar (GRUPO
PORTAL DE AUDITORIA, 2017). Nesse contexto da auditoria, os controles
internos são uma matéria fundamental.
A Lei Sarbanes-Oxley foi elaborada pelos congressistas Paul Sarbanes e Michel

Oxley, e tem o intuito de aprimorar a governança corporativa e a prestação de contas (in-
formações sobre receitas, despesas, balanço patrimonial e total de ativos e passivos).
Em outras palavras, o objetivo da SOx é identificar, combater e prevenir fraudes que
impactam no desempenho financeiro das organizações, garantindo o compliance.
Saiba mais sobre a Lei no link (DELOITTE TOUCHE TOHMATSU, 2003):
https://goo.gl/YXp8bG
Entre as vantagens que são creditadas a Lei SOx, cabe ressaltar algumas:
1. Empresas responsáveis por suas ações: ao exigir práticas contábeis

claras e definir transações éticas, a SOx passou a obrigar as empresas a
seguirem certos procedimentos, a fim de fornecerem serviços transpa-
rentes. Antes da lei não havia a obrigatoriedade de as empresas serem
muito transparentes.
2. Executivos responsáveis por suas ações: com a SOx, os executivos
assumem total responsabilidade, antes da lei, os executivos, muitas
vezes, não eram responsabilizados pessoalmente ou criminalmente
por fraudes em informações financeiras.
3. Confiança restaurada: como qualquer potencial impacto negativo teve

que ser avaliado e publicado pelas empresas, os investidores passaram
a ter restaurada parte da confiança que haviam perdido. Acionistas e
público em geral também são assegurados da veracidade dos dados
financeiros, incluindo planilhas de balanço.
4. Melhoria nos controles internos: melhores controles internos levam
a informações mais precisas. Com informações precisas, um melhor
planejamento e investimento pode acontecer em curto e longo prazo.
5. Acionistas protegidos: acionistas passaram a ter informações precisas
sobre as finanças das empresas que pretendem investir, como ativos,
dívidas, perfil de risco e transações. Isso protege os interesses dos
potenciais investidores.
Por fim, pode-se perceber que, por meio de práticas bem estruturadas de
controle interno é possível averiguar os fluxos operacionais e ter mais segurança
nos processos como os administrativos e financeiros. A organização tem mais
confiabilidade nas atividades que estão sendo desenvolvidas e detecta possíveis
erros e fraudes, sendo capaz de evitá-los. Os controles internos devem passar
por todas as áreas da empresa e fazer parte de todos os processos, desde os
operacionais até os de gestão, sendo aplicados independentemente do porte
da organização e da complexidade de suas atividades, pois ela terá objetivos
a perseguir e os controles internos são uma importante ferramenta para que
sejam atingidos.
ATTIE, W. Auditoria: conceitos e aplicações. 5. ed. São Paulo: Atlas, 2010.

BRASIL. Tribunal de Contas da União. Critérios gerais de controle interno na administração
pública. Brasília, DF: TCU, 2009.
BRASIL. Tribunal de Contas da União. Referencial básico de governança: aplicável a
órgãos e entidades da administração pública: 2ª versão. Brasília, DF: TCU, 2014.
CAVALHEIRO, J. B. A organização do sistema de controle interno dos municípios. 2. ed.
Porto Alegre: CRC/RS, 2003.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION.
Bem-vindo ao COSO. [S.l.]: COSO, c1985-2018. Disponível em: <https://translate.google.
com.br/translate?hl=pt-BR&sl=en&u=https://www.coso.org/&prev=search>. Acesso
em: 12 jan. 2018.
Controle interno: estrutura integrada: sumário executivo. São Paulo: IIA Brasil, 2013.
COSTA, Eliezer Arantes da. Gestão Estratégica. São Paulo: Saraiva, 2003
CREPALDI, S. A. Auditoria contábil: teoria e prática. 2. ed. São Paulo: Atlas, 2002.
DELOITTE TOUCHE TOHMATSU. Lei Sarbanes-Oxley. São Paulo: IBGC, 2003. Disponível
em: <http://www.ibgc.org.br/biblioteca/download/DELOITTE_2003_LeiSarbanes...
fol.pdf>. Acesso em: 03 fev. 2018.
FRANCO, H.; MARRA, E. Auditoria contábil. 4. ed. São Paulo: Atlas, 2001.
GIL, A. L.; ARIMA, C. H.; NAKAMURA, W. T. Gestão: controle interno, risco e auditoria.
São Paulo: Saraiva, 2013.
GRUPO PORTAL DE AUDITORIA. Introdução à Lei Sarbanes Oxley (SOX). Curitiba, 2017.
Disponível em: <https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-
-sox/>. Acesso em: 01 fev. 2017.
OLIVEIRA, L. M.; PEREZ JÚNIOR, J. H.; SILVA, C. A. S. Controladoria estratégica. 2. ed. São
Paulo: Atlas, 2004.
RESKE FILHO, A.; JACQUES, E. A.; MARIAN, P. D. O controle interno como ferramenta
para o sucesso empresarial. Revista Eletrônica de Contabilidade, Santa Maria, v. 1, n. 3,
p. 107-118, 2005.
DICA DO PROFESSOR
Veja nesta Dica do Professor, a qual traz o conteúdo de forma mais dinâmica, a definição e o
papel dos controles internos para a gestão estratégica e o gerenciamento de riscos. Assim, como
a lei que pauta as normas e os padrões do controle interno, e a metodologia mais utilizada no
mundo de controle interno.
EXERCÍCIOS
1) Existe uma série de regras básicas que toda entidade deve observar visando
preservar seu patrimônio, que são chamadas de princípios do controle interno.
Quando se diz que “o responsável por cada tarefa facilita o gerenciamento, a
execução das atividades e a responsabilidade sobre o resultado”, estamos falando de
qual princípio?
A) Procedimentos documentados.
B) Estabelecimento de responsabilidades.
C) Autorização de transação.
D) Segregação de funções.
E) Rodízio de funcionários.
2) A governança corporativa, de acordo com o Instituto Brasileiro de Governança

Corporativa - IBGC, apoia-se em quatro princípios básicos: transparência, equidade,
prestação de contas e responsabilidade. Qual das opções abaixo define o princípio de
“prestação de contas”?
A) Todas as decisões tomadas devem ser claras para todos os interessados, dentro e fora da
organização.
B) Os sócios e as partes interessadas devem receber tratamento justo e igualitário dentro de

uma empresa.
C) As organizações devem prestar contas de todas as atividades realizadas para seus sócios e
para as demais partes interessadas de forma clara, concisa e compreensível.
D) Os agentes de governança devem ter uma visão ampla da empresa para zelar pela
viabilidade econômico-financeira e todas as variações possíveis nesse processo.
E) Todas as atividades devem ser documentadas para facilitar a verificação dos

procedimentos e evitar fraudes.
3) A gestão de ________________, segundo o IBGC, é parte integrante da governança e

responsabilidade da alta administração, e é “um instrumento de tomada de decisão
da alta administração que visa _______________________ o desempenho da
organização pela identificação de ______________ de ganhos e de redução de
probabilidade e/ou ______________ de perdas, indo além do cumprimento de
demandas regulatórias”.
A) riscos corporativos, melhorar, oportunidades, impacto
B) projetos, melhorar, oportunidades, impacto
C) riscos, piorar, oportunidades, impacto
D) projetos, piorar, oportunidades, impacto

E) riscos, melhorar, impacto, oportunidades
4) É o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e

incentivadas, envolve a participação e relacionamento entre sócios, conselho de
administração, diretoria, órgãos de fiscalização e controle e demais partes
interessadas. Qual opção abaixo corresponde corretamente a essa definição?
A) Responsabilidade corporativa.
B) Ambiente de controle.
C) Gestão de riscos corporativos.
D) Controle interno.
E) Governança corporativa.
5) De acordo com o COSO I, o controle interno é constituído por cinco componentes;

e um deles é o: “estabelecimento de políticas e procedimentos que ajudam a
assegurar que os objetivos operacionais sejam atingidos e as estratégias para atenuar
riscos sejam seguidas”. Qual das opções abaixo corresponde ao componente dessa
definição?
A) Ambiente de controle.
B) Avaliação de riscos.
C) Atividades de controle.
D) Informação e comunicação.
E) Monitoramento.
NA PRÁTICA
O controle interno deve ser sistemático e voltado para o gerenciamento de risco. Esta prática vai
compreender os riscos ao qual a empresa está exposta e, assim, estabelecer estratégias que
combatam as ameaças, diminuam os erros e irregularidades e, assim, permitir que as metas e os
objetivos sejam cumpridos com eficiência e eficácia.
A situação proposta a seguir demonstra a importância de se ter um controle interno eficiente na

empresa.
SAIBA MAIS
professor:
Controle Interno como Ferramenta de Gestão
O controle interno é de grande relevância tanto para empresas privadas quanto públicas,
representando uma importante ferramenta de gestão. O video menciona sobre o controle interno
na administração pública, cujas considerações são aplicáveis também ao contexto da
administração privada
A contribuição dos controles internos para a eficácia e eficiência da gestão operacional:

um estudo de caso
O artigo apresenta um estudo de caso sobre a eficácia do controle interno em uma empresa
pertencente ao ramo moveleiro da cidade de Pato Branco-Pr, proporcionando a visualização de
uma prática real.
Introdução à Lei Sarbanes Oxley (SOX)
Conheça um pouco sobre a Lei Sarbanes-Oxley ou como também conhecida SOX, que possui a
finalidade de: identificar, combater e prefinir fraudes e erros, assim você entenderá a
aplicabilidade, funcionalidade e as penalidades pelo seu descumprimento.

Estruturação dos riscos na organização,
processos e agentes envolvidos
APRESENTAÇÃO
O sucesso do gerenciamento de riscos irá depender da implementação de uma estrutura de riscos

eficaz na organização, com a utilização de uma abordagem que seja adequada e compatível com
a natureza de suas operações e complexidade de seus produtos.
Os projetos surgem nas organizações por demandas, exigências ou necessidades de melhorias.

Há expectativas por parte de pessoas, organizações e entidades, ou seja, as partes interessadas ou
stakeholders, que necessitam ser atendidas ou que serão afetadas por uma decisão, atividade ou
resultado de um projeto.
Nesta Unidade de Aprendizagem, você vai estudar a estruturação dos riscos, as atividades
relevantes do processo de estruturação dos riscos e os agentes envolvidos no processo de
gerenciamento dos riscos.
Bons estudos.
• Definir estruturação dos riscos.

• Identificar as atividades relevantes do processo de estruturação dos riscos.
• Relacionar agentes envolvidos no processo de gerenciamento dos riscos.
DESAFIO
A estruturação dos riscos é essencial, pois possui algumas atividades que, em virtude da
relevância, são comuns em todas as abordagens quando se trata de gerenciamento de riscos.
Uma empresa do ramo calçadista está pensando em lançar uma nova linha de calçados, com a
expectativa de que esses produtos possam trazer um maior retorno para a organização. Porém, a
empresa sabe que o lançamento de um novo produto é um projeto de grande relevância, que
requer um gerenciamento adequado, com muito cuidado e planejamento, em diversos aspectos,
o que inclui os riscos envolvidos, pois ;são algo natural a todo e qualquer projeto, podendo
impactar nos seus resultados.
Então, em meio às diversas demandas envolvidas no gerenciamento do projeto, a empresa

decide realizar um estudo para gerenciamento dos riscos envolvidos, e, para isso, contrata uma
consultoria especializada.
A empresa escolhida foi a sua, e você foi o consultor designado para assessorar a empresa no
projeto, orientando a equipe que foi formada para conduzir a gestão de riscos. Para iniciar seu
trabalho, você precisa apresentar a essa equipe os seguintes tópicos:
A. Apresentar quais são as três atividades mais essenciais ao processo de estruturação dos
riscos, explicando brevemente cada uma delas.
B. Oferecer orientações de como a equipe pode conduzir cada uma dessas etapas, apresentando
considerações e/ou indicando ferramentas que possam ser utilizadas.
INFOGRÁFICO
Veja no Infográfico todos os agentes envolvidos no gerenciamento de risco em um projeto.

CONTEÚDO DO LIVRO
Os riscos estão por toda parte e são inerentes a projetos e organizações de qualquer tipo. Além
disso, os riscos são algo em constante movimentação, fazendo com que seu gerenciamento seja
um processo contínuo, uma vez que, mesmo identificando os riscos no início de um projeto ou
negócio, novos riscos irão surgir ao longo do seu ciclo de vida, e, por isso, é necessário que a
empresa seja capaz de definir estratégias que lhe permitam lidar com os riscos de forma
adequada, reduzindo ameaças (riscos negativos) e potencializando oportunidades (riscos
positivos).
Para uma gestão de riscos eficaz, a empresa precisa estabelecer uma estrutura adequada, que
pode ser formada através das recomendações derivadas de diversas técnicas e abordagens, tais
como as oferecidas pelo COSO, pela ISO 31000 e pelo PMI que, por sua vez, utilizam
diferentes ferramentas, como suporte ao processo de estruturação dos riscos, tais como a Matriz
de Riscos e a Matriz SWOT, por exemplo. Neste capítulo, Estruturação dos riscos na
organização, processos e agentes envolvidos, do livro Gerenciamento de riscos, além dessas
recomendações para a estruturação dos riscos, você encontrará as atividades que são relevantes
ao processo de estruturação dos riscos, e, ainda, os agentes envolvidos nesse contexto.
Boa leitura.
GERENCIAMENTO
DE RISCOS
Simone Fraporti
Estruturação dos riscos na
organização, processos
e agentes envolvidos
Definir estruturação dos riscos.

Identificar as atividades relevantes do processo de estruturação dos
riscos.
Relacionar os agentes envolvidos no processo de gerenciamento
dos riscos.
Introdução
O sucesso do gerenciamento de riscos depende da implementação de
uma estrutura de riscos eficaz na organização, com a utilização de uma
abordagem que seja adequada e compatível com a natureza de suas
operações e complexidade de seus produtos. Os projetos surgem nas
organizações por demandas, exigências ou necessidades de melhorias.
Há expectativas, por parte de pessoas, organizações e entidades, ou
seja, as partes interessadas ou stakeholders, que necessitam ser aten-
didas ou que serão afetadas por uma decisão, atividade ou resultado
de um projeto.
Neste capítulo, você irá estudar a estruturação dos riscos, as atividades
relevantes do processo de estruturação dos riscos e os agentes envolvidos
no processo de gerenciamento dos riscos.
68 Estruturação dos riscos na organização, processos e agentes envolvidos
Estruturação dos riscos

O processo de gerenciar riscos em uma organização pode ser realizado por
uma variedade de técnicas e abordagens, dentre as principais destacam-se
as abordagens sugeridas pelo COSO (COMMITTEE OF SPONSORING
ORGANIZATIONS OF THE TREADWAY COMMISSION, 2007), pela
ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009)
e pelo PMI (PROJECT MANAGEMENT INSTITUTE, 2014), cada uma delas
enfatiza a importância do gerenciamento de riscos e recomenda que sejam
utilizados determinados componentes ou atividades.
O Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO, Committee

of Sponsoring Organizations of the Treadway Commission) é uma organização sem fins
lucrativos, constituída por conceituadas entidades profissionais da área contábil e de
auditoria norte-americanas, criada em 1985. Seu intuito é a melhoria contínua dos
relatórios financeiros, sempre pautados na ética, efetividade dos controles internos e
governança corporativa.
A Organização Internacional de Normalização ISO 31000 – norma brasileira publicada
em 2009, baseada na AS/ZNS, fornece princípios e diretrizes genéricas para auxiliar as
organizações na sua gestão de riscos.
O Project Management Institute (PMI), ou Instituto de Gerenciamento de Projetos, é
a maior associação sem fins lucrativos do mundo para profissionais de gerenciamento
de projetos.
Acesse a norma ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009)

no link a seguir:
https://goo.gl/e1yN7Y
Conheça também o PMI no site do Project Management Institute (c2018):
https://goo.gl/Ju6ZpG
Estruturação dos riscos na organização, processos e agentes envolvidos 69
A estrutura do processo de gerenciamento de riscos proposto pelo COSO

(COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREA-
DWAY COMMISSION, 2007) é constituído de oito componentes que se
inter-relacionam entre si, pelos quais a administração gerencia a organização.
Eles estão integrados com o processo de gestão e possuem os componentes
detalhados a seguir.
Ambiente de interno: é a cultura de controle interno da entidade, na qual
o controle é efetivo quando as pessoas conhecem as suas responsabilidades,
os limites de autoridade e consciência e possuem a competência e o compro-
metimento de fazerem o que é certo e de maneira correta.
Fixação de objetivos: a administração deve dispor de um processo im-
plementado que lhe permita fixar os objetivos de forma alinhada à missão da
empresa, consistente com a propensão ao risco previamente definida.
Identificação dos eventos: eventos internos e externos que afetam o
cumprimento dos objetivos devem ser identificados e separados entre riscos
e oportunidades.
Avaliação de risco: os riscos devem ser avaliados com base na proba-
bilidade e no impacto, e os resultados dessa avaliação devem orientar o seu
gerenciamento.
Respostas ao risco: a gerência deve estabelecer as regras de gerenciamento,
aceitando, reduzindo, partilhando ou evitando os riscos e desenvolvendo
ações para alinhar o seu gerenciamento de acordo com a propensão de risco
previamente explicitada.
Atividades de controle: são os procedimentos de controle interno desti-
nados à redução ou administração dos riscos. Podem ser de caráter preventivo
ou de detecção.
Informação e comunicação: comunicação é o fluxo de informações dentro
de uma entidade, e a informação é o conhecimento que move as organizações
e a sociedade.
Monitoramento: é a avaliação dos controles internos ao longo do tempo, se
efetivos ou não. Podem ser contínuos ou pontuais, envolvendo autoavaliações,
revisões e auditoria.
A NBR ISO 31000/2009 (ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS, 2009) fornece princípios e orientações gerais para o gerenciamento
de riscos. Como não é específica para nenhum ramo de atividade ou porte, pode
ser utilizada por qualquer tipo de organização e ser aplicada a qualquer tipo ou
natureza de risco. Não é uma norma que exige certificação, e foi estabelecida
com o objetivo de harmonizar os processos de gestão de riscos e auxiliar a
organização a integrar a gestão de riscos em seu sistema de gestão global. Para
tanto, a norma recomenda que as organizações adaptem os componentes de

estrutura a suas necessidades específicas, por meio das seguintes indicações
(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009):
Comunicação e consulta: informação às partes interessadas, internas e
externas, deve ocorrer durante todas as fases do processo de gestão de riscos
e desenvolve planos.
Estabelecimento do contexto: define objetivos, parâmetros internos e ex-
ternos e estabelece o escopo e os critérios de riscos para o restante do processo.
Avaliação de riscos: processo global de identificação, análise e avaliação
de riscos.
Tratamento de riscos: consiste na seleção de uma ou mais opções para
modificar os riscos e a implementação dessas opções.
Monitoramento e análise crítica: convém que sejam planejados como
parte do processo de gestão de riscos e envolvam a checagem ou vigilância
regulares.
Para o PMI, o gerenciamento de riscos é parte integrante do gerenciamento
de projetos. Segundo o Guia PMBOK® (PROJECT MANAGEMENT INS-
TITUTE, 2014), o gerenciamento dos riscos do projeto inclui os processos de
planejamento, identificação, análise, planejamento de respostas, monitoramento
e controle de riscos de um projeto. Seu objetivo é maximizar a exposição aos
eventos positivos e minimizar a exposição aos eventos negativos.
Planejar o gerenciamento de riscos: decidir como abordar, planejar e
executar as atividades de gerenciamento de riscos de um projeto.
Identificar os riscos: determinar os riscos que podem afetar o projeto e
documentar suas características.
Realizar análise (qualitativa e quantitativa) de riscos: priorizar os
riscos para análise ou ação adicional subsequente por meio de avaliação e
combinação da probabilidade de ocorrência e impacto e medir o efeito dos
riscos identificados nos objetivos gerais do projeto.
Planejar as respostas aos riscos: desenvolver opções e ações para aumentar
as oportunidades e reduzir as ameaças aos objetivos do projeto.
Controlar os riscos: acompanhar os riscos identificados, monitorar os
riscos residuais, identificar novos riscos, executar planos de respostas aos
riscos e avaliar a sua eficácia durante todo o ciclo de vida do projeto.
Diferenças a parte, você pode perceber que alguns desses componentes
são comuns a todas as abordagens e, analisando a descrição das atividades
executadas nessas diferentes etapas, é possível considerar que as atividades, de
uma forma geral, estão contempladas, algumas de forma implícita nas demais.
Planejar gerenciamento de riscos: esta etapa tem como objetivo definir

a estratégia a ser utilizada para o gerenciamento de riscos durante todo o
projeto, e está implícita nas etapas de estabelecimento do contexto na ISO
31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) e
na fixação de objetivos na abordagem do COSO (COMMITTEE OF SPON-
SORING ORGANIZATIONS OF THE TREADWAY COMMISSION, 2007).
Identificar riscos: o objetivo dessa atividade é o levantamento de todas
as possibilidades de riscos existentes. Todas as abordagens contemplam a
identificação de riscos.
Preparar análise qualitativa e análise quantitativa dos riscos: essa
etapa tem como objetivo a priorização dos riscos e sua análise numérica. As
atividades de análises qualitativa e quantitativa constam como atividades
distintas apenas no PMBOK (PROJECT MANAGEMENT INSTITUTE,
2014). Na abordagem do COSO (COMMITTEE OF SPONSORING ORGA-
NIZATIONS OF THE TREADWAY COMMISSION, 2007) consta de forma
geral (conjunta), em que são realizadas análises qualitativas, como definição
de probabilidade e impacto dos riscos, e análises quantitativas. Na NBR ISO
31.000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009)
essa análise é informada de uma forma geral, não apresentando opções ou
como realizar.
Planejar respostas aos riscos: tem como objetivo principal a realização do
plano de ação para os riscos identificados. Realizada em todas as abordagens.
Monitorar e controlar riscos: tem como objetivo principal avaliar a
efetividade dos planos de ação executados e avaliar os desvios ocorridos
em função do que foi planejado. Na abordagem COSO (COMMITTEE OF
SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION,
2007) está descrita como monitoramento, na ISO 31000 (ASSOCIAÇÃO
BRASILEIRA DE NORMAS TÉCNICAS, 2009) como monitoramento e
análise crítica e no PMBOK (PROJECT MANAGEMENT INSTITUTE,
2014) como controle de riscos.
Comunicar riscos: essa etapa tem como objetivo principal o estabeleci-
mento da comunicação entre os principais interessados no projeto (stakehol-
ders). Consta na abordagem COSO (COMMITTEE OF SPONSORING OR-
GANIZATIONS OF THE TREADWAY COMMISSION, 2007) e na ISO
31.000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009).
Entretanto, apesar de não constar como etapas das abordagens do PMBOK
(PROJECT MANAGEMENT INSTITUTE, 2014), pode estar implícita na
etapa de “Controlar riscos”.
Ambiente de controle: consta especificamente na abordagem do

COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE
TREADWAY COMMISSION, 2007) e é a cultura de controle interno da
entidade e envolve competência técnica e compromisso ético, em que a
postura da alta administração, pelo exemplo, é fator determinante para
criação desse valor.
Desse modo, em relação às abordagens de gerenciamento de riscos apresen-
tadas, você pode observar que elas são muito semelhantes no contexto geral,
algumas detalhando um pouco mais as suas descrições de algumas atividades,
e outras ficando subentendidas nas demais. Como resultado, a estruturação
dos riscos em qualquer que seja a abordagem escolhida, tende a observar e
cobrir os mesmos aspectos globais.
Cabe ressaltar que os profissionais envolvidos no gerenciamento de riscos
devem ser qualificados, e os sistemas computacionais e bancos de dados
utilizados precisam ser confiáveis. Além disso, o gerenciamento de riscos
precisa ser compreendido como uma filosofia, fazer parte da cultura e estar
integrado à gestão e à operação da organização como um todo. Portanto, é
possível o maior compromisso e responsabilidade dos gestores, resultando
em uma organização melhor gerenciada em todos os aspectos, inclusive
nos riscos.
Atividades relevantes do processo de estruturação de

riscos
Para a adequada estruturação dos riscos por parte da organização, é essencial
que a estrutura por ela definida para o gerenciamento de riscos seja adequada
e compatível com a natureza de suas operações e com a complexidade dos
seus produtos. O intuito disso é um gerenciamento mais efetivo dos vários
aspectos envolvidos (recursos, eventos, produtos e riscos), permitindo uma
visão mais clara dos objetivos e dos resultados do negócio e correspondendo a
benefícios decorrentes da identificação sistemática das possíveis deficiências
organizacionais.
Em um processo de gestão de riscos, podem existir várias atividades de
acordo com a abordagem a ser seguida, cada uma utilizando uma nomenclatura
própria para cada etapa. Porém, algumas atividades, em virtude da sua rele-
vância, são comuns a todas as abordagens que tratam sobre o gerenciamento
de riscos. Desse modo, podem ser consideradas como etapas ou atividades
básicas (essenciais) e, portanto, cabe promover o seu destaque. Assim, você
pode considerar as seguintes atividades relevantes do processo de estruturação

dos riscos:
Identificação: em que o ponto de partida é descobrir os riscos e defini-

-los com algum detalhamento e em um formato estruturado.
Avaliação: os riscos são avaliados quanto à probabilidade e ao impacto
de sua ocorrência.
Tratamento: uma abordagem para o tratamento de cada risco deve ser
definida, mas, em alguns casos, não se pode fazer nada. Isso requer
uma análise da aceitabilidade do risco, podendo requerer um plano de
ação para prevenir, reduzir ou transferir o risco.
Identificação dos riscos

Se os riscos são eventos que podem de alguma forma impactar os objetivos da
organização, e é fundamental para sua sobrevivência que os objetivos sejam
atingidos, então é extremamente necessário que se adotem medidas para se
lidar com riscos.
Porém, não se pode lidar com o que não é conhecido, ou seja, os riscos
devem ser identificados. Saber identificar e tratar os riscos é essencial
para o bom desempenho de uma organização, pois identificando e tratando
corretamente os riscos, ela aumenta as chances de sucesso de seus projetos,
melhora a gestão de departamentos e preserva sua imagem, entre tantos
outros benefícios.
Mas, afinal, como identificar riscos? A identificação de riscos, de acordo
com Wolmer (2013) requer a identificação de eventos indesejados, as suas
causas e consequências (consequências no sentido de impacto que o risco
poderá causar no objetivo).
Causa de risco é a condição que poderá dar origem a um evento, também
chamadas de fatores de risco. Sua origem pode ser tanto no ambiente interno
como no externo da organização, e a consequência do risco é o resultado de
um evento sobre os objetivos, ou seja, o impacto que um evento poderá causar
se o risco se materializar. Então, quando a fonte de risco encontra alguma
vulnerabilidade na organização, surge a causa do risco, observe o Quadro 1.
Quadro 1. Fontes de risco vs. vulnerabilidades.
Fonte de risco Vulnerabilidade
Número insuficiente
Sem capacitação adequada
Pessoas Perfil inadequado para o cargo
Desmotivadas
Ardilosas
Processos mal concebidos (fluxo, desenho)

Processos Sem manuais ou procedimentos formalizados
Ausência de segregação de funções
Sistemas obsoletos
Tecnologia Sem integração
da informação Sem manuais de operação
Sem backups
Falta de clareza quanto às funções e/ou às

responsabilidades
Estrutura
Deficiência nos fluxos de informação e comunicação
organizacional
Centralização de responsabilidades
Delegações exorbitantes
Localização inadequada
Infraestrutura física Instalações ou layout inadequados
Inexistência de controles de acessos
Técnica de produção ultrapassada

Produto obsoleto
Tecnologia Inexistência de investimento em pesquisa e
de produto desenvolvimento
Tecnologia sem proteção de patentes
Processo produtivo sem proteção contraespionagem
Fonte: Adaptado de Wolmer (2013).
Identificar os riscos é um processo contínuo, porque novos riscos podem

surgir ou se tornar conhecidos durante o ciclo de vida do projeto. A frequência
da iteração e os participantes de cada ciclo variam de acordo com a situação.
Processo de análise e avaliação dos riscos

Para se definir qual tratamento será dado a determinado risco, o primeiro
passo consiste em determinar o seu efeito potencial, ou seja, o grau de
exposição da organização àquele risco e a capacidade e o preparo para

administrá-lo.
Esse grau considera pelo menos três aspectos, a probabilidade de ocorrência,
a vulnerabilidade e o seu impacto, e os eventos podem ser independentes ou,
ainda, pode haver interdependência entre os riscos. Nesse caso, o grau de
exposição irá depender do impacto financeiro consolidado, da probabilidade,
da velocidade ou da vulnerabilidade conjunta de todos os eventos, devendo ser
medido quantitativamente e de acordo com a metodologia de cada empresa.
A maneira mais usual de se documentar o impacto, a probabilidade ou a
vulnerabilidade em relação aos riscos identificados é por meio do mapa ou
matriz de riscos (ver Figura 1). Em uma qualificação simplificada dos riscos,
podemos trabalhar com três níveis de probabilidade (baixa, média e alta) e
impacto (baixo, médio e alto), em que o cruzamento dessas duas dimensões
geram nove combinações. A partir dessas combinações é possível definir
prioridades e estabelecer o tratamento mais adequado a cada risco.
Conheça melhor a matriz de risco no artigo de Bertolucci (2016), disponível no link

a seguir
https://goo.gl/RA32Lu
Probabilidade
Matriz de
riscos Baixo Médio Alto
Baixo Muito baixo Baixo Médio

Impacto
Médio Baixo Médio Alto
Alto Médio Alto Muito alto
Figura 1. Matriz de riscos.

Fonte: Zyngier (2012).
Considerando o resultado apresentado na matriz de riscos, temos a demons-

tração de que nem todos os riscos precisam ou devam ser controlados, pois
quando a probabilidade de um risco e o impacto nos objetivos da organização
são baixos, a empresa pode decidir por aceitar o risco, em vez de investir
recursos em seu gerenciamento e controle.
Os riscos influenciam os objetivos, alguns mais outros menos, portanto,
é a partir da classificação do risco no mapa de riscos (tipo de risco negativo
ou positivo), que a organização define a estratégia que irá adotar (ZYNGIER,
2012).
Tratamento dos riscos

Para o tratamento de riscos que promovem impactos negativos nos objetivos
do projeto ou empresa, são sugeridas quatro ações por Zyngier (2012), que são:
Prevenir ou evitar: a prevenção de riscos envolve mudanças no plano
de gerenciamento do projeto, o esclarecimento dos requisitos, a obtenção de
informações, a melhoria da comunicação ou a aquisição de especialização
podem prevenir alguns riscos que surgem no início do projeto.
Transferir: a ação e transferir riscos exige a passagem do impacto negativo
de uma ameaça para terceiros, nesse caso, essa transferência de riscos não
elimina os riscos, ela simplesmente delega a uma outra parte a responsabili-
dade por seu gerenciamento. A transferência de riscos quase sempre envolve
o pagamento de um prêmio de risco à parte que assume o risco, por exemplo,
os seguros, garantias, etc.
Mitigar: mitigar um risco é a ação de reduzir a probabilidade e/ou
impacto de um evento de risco adverso, até um limite aceitável que a organi-
zação considere aceitável. A realização de ações para reduzir a probabilidade
e/ou o impacto de um risco que está ocorrendo no projeto é normalmente
mais eficaz do que a tentativa de reparar os danos após a ocorrência do
risco. A adoção de processos menos complexos, realizando mais testes, ou
a escolha de um fornecedor mais estável constituem exemplos de ações de
mitigação.
Aceitar ativamente: refere-se à decisão de não alterar o risco devido à
baixa probabilidade de acontecimentos ou impacto reduzido, porém o risco
deverá ser monitorado e uma atividade de contingência ser preparada.
Aceitar passivamente: quando a equipe resolve que a ocorrência do risco
trará insignificante impacto ao projeto, a ponto de sequer valer a pena monitorá-
-lo e, caso aconteça, alguma correção será então preparada.
Os riscos negativos geram prejuízos para a organização e são sempre

lembrados, ao passo que os riscos positivos têm características de gerar oportu-
nidades, possibilitando redução de custos ou aumento de lucros ao produto do
projeto. Os riscos são classificados pela matriz de riscos, já as oportunidades
são classificadas pela matriz de oportunidades.
Em um contexto corporativo, geralmente as oportunidades costumam
integram um cenário incerto, juntamente das ameaças, ou seja, para que
uma organização consiga tirar proveito de uma oportunidade, ela também
precisa identificar e saber lidar com as suas ameaças. Neste contexto, uma
ferramenta muito utilizada para o mapeamento de oportunidades é a matriz
SWOT ou FOFA.
A matriz SWOT se trata de uma ferramenta estrutural da administração
que possui como principal finalidade avaliar os ambientes internos e exter-
nos, formulando estratégias de negócios para a empresa, com a finalidade de
otimizar seu desempenho de mercado.
Leia mais sobre a matriz SWOT no artigo de Bastos

(2014), disponível no link a seguir:
https://goo.gl/d1gxqT
Diante da possibilidade de redução de custos ou aumento de lucros do

projeto ou da empresa, os riscos com impactos potencialmente positivos me-
recem especial atenção. Para tratamento dos riscos positivos, Zyngier (2012)
sugere as seguintes ações:
Explorar ou provocar: essa estratégia tenta eliminar a incerteza as-
sociada a um risco positivo específico, fazendo a oportunidade definiti-
vamente acontecer. Quando a organização deseja que a oportunidade seja
concretizada, a exploração inclui a designação de recursos mais capacitados
para o projeto, a fim de reduzir o tempo para término ou fornecer uma
qualidade maior.
Compartilhar: envolve a atribuição da propriedade a terceiros que possam

capturar melhor a oportunidade em benefício do projeto, como a formação de
parcerias, equipes, empresas de propósito específico com o objetivo expresso
de gerenciar oportunidades.
Melhorar ou alavancar: tem o objetivo de modificar o “tamanho” de
uma oportunidade por meio do aumento da probabilidade e/ou dos impactos
positivos e pela identificação dos principais acionadores desses riscos de
impacto positivo.
Enfim, é muito importante que os responsáveis pela gestão (de projetos, de
riscos e da organização como um todo) também vislumbrem os riscos, tanto
os negativos como os positivos, assim como as oportunidades criadas pelas
ameaças identificadas, pois podem trazer belos resultados para os projetos
da organização.
Agentes envolvidos no processo de

gerenciamento dos riscos
O PMI (PROJECT MANAGEMENT INSTITUTE, 2014) destaca que o ge-
renciamento de projeto é composto pelas seguintes áreas de conhecimento:
integração, escopo, tempo, custo, qualidade, recursos humanos, comunicação,
aquisição e riscos. Nesse sentido, sendo a área de gerenciamento de riscos parte
integrante do gerenciamento de projetos, muitas definições sobre gerenciamento
de projetos são aplicáveis ao gerenciamento de riscos. Também, a conotação
de “projeto” pode ser associada à “empresa” de forma geral.
O PMBOK diz que essa área inclui os processos necessários para identifi-
car as pessoas, os grupos ou as organizações que, de alguma forma, possam
afetar ou ser afetados pelo projeto, sendo necessário analisar as expectati-
vas das partes interessadas e seu impacto sobre o projeto para viabilizar o
desenvolvimento de estratégias de gerenciamento adequadas e engajar as
partes interessadas nas decisões e na execução do projeto PMI (PROJECT
MANAGEMENT INSTITUTE, 2014). Observe o esquema apresentado na
Figura 3.
Expectativas
Interesse Influência
Relacionamento
com o projeto
Figura 2. Análise das partes interessadas.

Fonte: adaptada de Project Management Institute (2014).
Valle et al. (2014) definem parte interessada, ou stakeholders, como o

público estratégico, que pode ser uma pessoa, um grupo ou uma organiza-
ção. Engloba todas as pessoas que de alguma forma podem influenciar ou
ser afetados por uma decisão, atividade ou resultado de um projeto. Assim,
considera-se parte interessada o patrocinador, os fornecedores, os membros
da equipe de projeto, os membros da diretoria da empresa e o público externo
(usuários e vizinhos) que sejam afetados pelo projeto. Cada projeto terá o seu
grupo de parte interessada que são, naturalmente, as partes envolvidas com
os riscos, a questão será identificar todas as partes.
As partes interessadas em um projeto (que pode ser entendido também
como a organização de forma geral) são todas as partes que estão envolvidas
com os seus riscos. Entre essas partes interessadas, podemos destacar:
Patrocinadores: acionistas, investidores, financiadores, parceiros e su-
pervisores de alta gerência.
Internos: equipe, executivos, colaboradores e departamentos.
Externos: órgãos governamentais, sindicados, ambientalistas, comunidade
e mídia.
Mercado: clientes, concorrentes e atacadistas.
Fornecedores: matéria prima, serviços e tecnologia.
Esse processo, segundo o PMBOK (PROJECT MANAGEMENT INSTI-

TUTE, 2014) é composto por quatro fases.
Identificar as partes interessadas: é o processo de identificação das
pessoas, grupos ou organizações que possam afetar ou serem afetados por
uma decisão, atividade, ou resultado do projeto; e analisar e documentar
as informações relevantes relacionadas aos seus interesses, envolvimento,
interdependência, influência e impacto potencial no sucesso do projeto,
envolvem:
identificar todas as partes interessadas e as informações relevantes

sobre elas;
coletar seus interesses e expectativas com o projeto;
determinar qual seu nível de influência;
determinar o impacto que cada parte interessada pode gerar.
Planejar o gerenciamento: é o processo de desenvolvimento das estratégias

de gerenciamento adequadas para envolver efetivamente as partes interessadas
durante todo o ciclo do projeto, com base na análise de suas necessidades,
interesses e potencial impacto sobre o sucesso do projeto.
Gerenciar o engajamento: é o processo de comunicação e interação
com as partes interessadas para atender as suas necessidades/expectativas;
solucionar questões, à medida que ocorrem; e promover o engajamento das
partes interessadas nas atividades do projeto. A intenção é aumentar as
chances de aceitação, evitar que certas questões fiquem pendentes, ajudar as
partes interessadas a entender os benefícios e riscos do projeto e encorajar
as partes interessadas a participar ativamente no projeto. Com relação ao
seu nível de engajamento no projeto, a parte interessada pode receber a
seguinte classificação:
inconsciente (ou desinformado), que não tem conhecimento do projeto

e seus impactos;
resistente, que tem conhecimento do projeto e seus impactos, mas é
resistente e não apoiador;
neutro, que tem conhecimento do projeto, mas não é resistente e nem
apoiador;
apoiador, que tem conhecimento do projeto e seus impactos e fornecerá
apoio às mudanças;
entusiasta (lidera), que tem conhecimento do projeto e seus impactos e
estará ativamente engajado para dar suporte ao projeto.
Controlar o engajamento: é o processo que deve monitorar, periodica-

mente, as relações das partes interessadas no projeto e ajustar as estratégias
e planos para envolvê-las no processo.
Para entender o interesse de uma parte no projeto, o importante é ter as
informações corretas sobre cada participante e refletir sobre seus interesses
e objetivos com o projeto. É fundamental que as partes interessadas sejam
identificadas, pois seus interesses, que possuem graus diferentes de impor-
tância, influenciam na gestão de projetos a ser colocada em prática, além de
ajudar na avaliação dos riscos que será feita.
As partes interessadas mais importantes de um projeto são aquelas que
sofrem interferência direta ou que apresentam um alto grau de influência sobre
o projeto, podendo ser tanto internas como externas. Brainstorming, pesquisas
de mercado e conversas estão entre as formas de se fazer levantamento do
público envolvido.
Depois de listar e identificar as partes interessadas, o gestor deve buscar
entender quais são os reais interesses e o nível de influência de cada um no
projeto e, com isso, desenvolver planos de ação para cada uma das partes inte-
ressadas, definindo quais serão as formas de interagir, o tipo de comunicação
que será empregada, a maneira de obter apoio, que tipo de riscos cada um
pode trazer ao projeto e as respectivas estratégias para mitigá-los. Quanto mais
complexo for o projeto, mais agentes estarão envolvidos e maiores deverão
ser os esforços para identificá-los e classificá-los.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ISO 31000:2009: gestão de riscos:

princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
BASTOS, M. Análise SWOT (matriz): conceito e aplicação. [S.l.]: Portal Administração,
2014. Disponível em: <http://www.portal-administracao.com/2014/01/analise-swot-
-conceito-e-aplicacao.html>. Acesso em: 01 fev. 2018.
BERTOLUCCI, R. Matriz de risco: uma ferramenta para avaliação de riscos. Curitiba:
Auditoria Operacional, 2016. Disponível em: <https://auditoriaoperacional.com.br/
matriz-de-risco-uma-ferramenta-para-avaliacao-de-riscos/>. Acesso em: 09 jan. 2018.
CASAROTTO, C. Análise SWOT ou Matriz F.O.F.A.: entenda o conceito e como colocá-lo
em prática. Belo Horizonte: Marketing de Conteúdo, 2016. Disponível em: <https://
marketingdeconteudo.com/como-fazer-uma-analise-swot/>. Acesso em: 09 jan. 2018.
Gerenciamento de riscos corporativos: estrutura integrada: sumário executivo: estrutura.
[S.l.]: PwC, 2007.
PROJECT MANAGEMENT INSTITUTE. Sobre o PMI. Newtown Square: PMI, c2018. Dis-
ponível em: <https://brasil.pmi.org/brazil/AboutUS.aspx>. Acesso em: 30 jan. 2018.
VALLE, J. Â. S. et al. Gerenciamento de stakeholders em projetos. Rio de Janeiro: FGV, 2014.
WOLMER, L. G. S. Diálogo público para melhoria da governança pública. São Paulo:
TCU, 2013.
ZYNGIER, C. D. Riscos: o lado bom. [S.l.]: Projeto Gerenciado, 2012. Disponível em:
<http://projetogerenciado.com.br/riscos-o-lado-bom/>. Acesso em: 10 jan. 2017.
Leitura recomendada
DICA DO PROFESSOR
Olá! Assista ao vídeo indicado para que você consiga visualizar de uma forma mais ampla a
estruturação do risco, conhecer as abordagens que podem ser implantadas, assim como entender
que ambas possuem a mesma finalidade, apenas mudam as descrições.
EXERCÍCIOS
1) É o processo que deverá monitorar periodicamente as relações das partes

interessadas no projeto e ajustar as estratégias e os planos para envolvê-las no
processo. Esta definição diz respeito a qual das atividades abaixo?
A) Identificar as partes interessadas.
B) Controlar o engajamento das partes interessadas.
C) Planejar o gerenciamento das partes interessadas.
D) Gerenciar o engajamento das partes interessadas.
E) Determinar o impacto que cada parte interessada pode gerar.
2) Segundo a ISO 31000, a etapa de _______________ consiste na seleção de uma ou

mais opções para modificar os riscos e na implementação dessas opções. Qual das
alternativas abaixo completa corretamente essa definição?
A) comunicação e consulta
B) estabelecimento do contexto
C) avaliação de riscos
D) tratamento de riscos
E) monitoramento e análise crítica
3) Quando a fonte de risco encontra alguma vulnerabilidade na organização, surge a

causa do risco. Características como falta de clareza quanto às funções ou
responsabilidades, deficiência nos fluxos de informação e comunicação, centralização
de responsabilidades são exemplos de vulnerabilidades de qual fonte de risco?
A) Pessoas.
B) Processos.
C) Tecnologia da informação.
D) Estrutura organizacional.
E) Infraestrutura física.
4) Parte interessada em um projeto são, naturalmente, todas as partes que estão

envolvidas com os seus riscos. Acionistas, investidores, financiadores, supervisores de
alta gerência são exemplos de que grupo de parte interessada?
A) Patrocinadores.
B) Internos.
C) Externos.
D) Mercado.
E) Fornecedores.
5) Com relação ao nível de engajamento no projeto, a parte interessada que tem

conhecimento do projeto e seus impactos e estará ativamente engajada para dar
suporte é chamada de:
A) Inconsciente.
B) Resistente.
C) Neutro.
D) Apoiador.
E) Entusiasta.
NA PRÁTICA
O controle interno e o gerenciamento de riscos são fundamentais para a gestão da empresa. Uma
das ferramentas para analisar e identificar os riscos é a matriz SWOT, a qual apresenta tantos os
riscos negativos como os positivos. Os riscos negativos geram prejuízos para a organização, e os
riscos positivos, oportunidades para o negócio.
A situação a seguir demonstra a importância de utilizar uma ferramenta para o gerenciamento de

risco, de poder identificá-lo e tratá-lo.
Tiago está pensando em comprar uma academia já em funcionamento, que parece ser um bom
negócio, segundo as informações apresentadas pelo proprietário (como faturamento e lucro).
Porém, Tiago sabe que precisa conhecer mais sobre o negócio, pois tem consciência de que um
investimento como esse poderá trazer riscos, que podem ser tanto positivos (oportunidades)
quanto negativos (ameaças).
Antes de tomar sua decisão, Tiago contratou uma consultoria, que realizou a identificação e
análise/avaliação dos riscos e, de posse dessas informações, aplicou-as na matriz SWOT como
ferramenta para tratamento dos riscos, através do estudo dos ambientes interno e externo da
empresa.
A partir desse estudo, Tiago pôde conhecer mais sobre o negócio, sentiu-se mais seguro e
decidiu por realizar o investimento, sabendo dos desafios que teria pela frente e como poderia
enfrentá-los.
SAIBA MAIS
professor:
Entenda a área de RISCOS do PMBOK em tempo recorde
Nesse vídeo você conhecerá mais sobre o gerenciamento de riscos através do PMBOK, que é
uma das metodologias mais utilizadas no desenvolvimento de um projeto.
Gestão de riscos corporativos: uma análise da percepção dos gestores das empresas
paranaenses
O artigo apresenta um estudo de caso sobre a gestão de riscos corporativos, onde as atividades
empresariais são expostas a partir da percepção dos gestores das empresas, podendo ter uma
melhor visualização da realidade nas empresas.
Guia de Orientação para Gerenciamento de Riscos Corporativos
O site apresenta um guia prático do gerenciamento de risco, mostrando os conceitos e objetivos

juntamente com a aplicabilidade da matriz de risco.

Fraude X Riscos
APRESENTAÇÃO
O gerenciamento de riscos, mesmo tendo como propósito a diminuição ou a eliminação das

chances de riscos negativos, não é suficiente para anular todas elas, principalmente as chances
de fraudes. Nesse sentido, é fundamental que seja feita a avaliação e a análise de todos os riscos,
a fim de priorizá-los e dar o devido tratamento àqueles considerados mais importantes e
impactantes para os objetivos da organização.
Nesta Unidade de Aprendizagem, você vai estudar a verificação qualitativa e quantitativa dos
riscos, sua priorização e a relação entre a fraude e o contexto da gestão de riscos.
Bons estudos.
Bons estudos.
• Descrever a verificação qualitativa e quantitativa dos riscos.

• Definir a priorização dos riscos.
• Relacionar a fraude e o contexto do gerenciamento de riscos.
DESAFIO
A fraude é uma ação ou omissão, ilícita e desonesta, na tentativa de enganar alguém ou alguma
instituição. Ela é intencional e visa ganho ilícito para o fraudador. A fraude é um risco que
coloca as atividades de todas as organizações, de qualquer tipo, sob exposição contínua,
podendo ser cometida por um indivíduo ou pela organização como um todo.
Para este Desafio, considere a existência de uma grande empresa, com muitos funcionários, que
vem sofrendo constantemente com vários tipos de fraudes. Sua tarefa, aqui, é definir um plano a
fim colocar em prática um programa de gerenciamento de riscos, levando em conta, no mínimo,
as três fases citadas. Você deve indicar a ordem correta entre as fases e descrever brevemente o
que consiste cada uma, para, então, informar seu plano de atividades.
INFOGRÁFICO
As atividades envolvidas pela verificação quantitativa e qualitativa de riscos têm o propósito de

aumentar o entendimento da organização sobre fatores de risco enfrentados por ela. Veja, no
Infográfico a seguir, a ilustração sobre a verificação qualitativa e quantitativa dos riscos.
CONTEÚDO DO LIVRO
O gerenciamento de riscos envolve um processo extremamente importante para proteger

qualquer tipo de organização, devendo ser aplicado de maneira contínua e permanente. Mesmo
tendo como propósito diminuir ou eliminar as chances de riscos que trazem impactos negativos,
uma boa gestão ainda não é suficiente para anular todas as chances dos riscos ocorrerem ou,
ainda, da organização sofrer com o surgimento de fraudes nos mais diversos processos e áreas.
No capítulo Fraude X Riscos, da obra, Gerenciamento de riscos, você entenderá a importância

de analisar e avaliar todos fatores de riscos, a fim de priorizá-los, para que seja dado o
tratamento adequado àqueles que forem considerados mais importantes e com maior potencial
de impacto para os objetivos da organização. Você estudará, aqui, a verificação qualitativa e
quantitativa dos riscos, a priorização destes e a relação entre a fraude e o contexto da gestão de
riscos.
GERENCIAMENTO
DE RISCOS
Jeanine dos Santos

Barreto
Revisão técnica:
Gisele Lozada

SAGAH, 2018.
166 p. ; 22,5 cm
ISBN 978-85-9502-334-5

II. Título.
CDU 658.88

Fraude versus riscos
Descrever a verificação qualitativa e quantitativa dos riscos.

Definir a priorização dos riscos.
Relacionar a fraude e o contexto do gerenciamento de riscos.
Introdução
O gerenciamento de riscos, mesmo tendo como propósito a diminuição
ou a eliminação das chances de riscos negativos, não é suficiente para
anular todas as chances de riscos, principalmente de fraudes. Nesse
sentido, é fundamental que seja feita a avaliação e a análise de todos
os riscos, a fim de priorizá-los e dar o devido tratamento àqueles que
forem considerados mais importantes e impactantes para os objetivos
da organização.
Neste capítulo, você irá estudar a verificação qualitativa e quantitativa
dos riscos, a priorização dos riscos e a relação entre a fraude e o contexto
da gestão de riscos.
Verificação qualitativa e quantitativa dos riscos

A verificação quantitativa e qualitativa dos riscos é o conjunto de atividades
que serve para aumentar o entendimento dos fatores de risco enfrentados pela
organização, permitindo a decisão sobre quais riscos devem ser tratados. A
atividade de verificação de riscos deve ser documentada de forma detalhada,
permitindo revisões e auditoria (BRASIL, 2013).
Verificar os riscos de forma qualitativa e quantitativa torna possível
determinar o nível dos riscos, do ponto de vista individual e também em
comparação com os demais, o que visa permitir a priorização dos riscos,
destacando aqueles que são os principais riscos positivos e negativos, a fim
86 Fraude versus riscos
de que se evite assumir riscos que possam trazer grandes prejuízos ou perder
oportunidades em potencial.
É importante frisar que a verificação qualitativa e quantitativa deve per-
correr toda a listagem de fatores de risco da organização. Cada fator de risco
deve ser valorado, baseando-se em critérios que são definidos pela equipe de
gestão de riscos. Essa avaliação sempre é iniciada pela forma qualitativa, para
que depois se avance para a avaliação quantitativa de cada risco.
A verificação dos riscos compreende a definição de probabilidades de
concretização para cada fator de risco e do impacto que as suas consequências
podem ter sobre os objetivos da organização como um todo. A probabilidade
de concretização de um fator de risco está associada às causas desse fator; já
o impacto gerado sobre os objetivos da organização está associado às con-
sequências ou efeitos do fator de risco. Um fator de risco pode estar ligado a
várias causas, e a sua concretização pode estar ligada a vários efeitos. Cada
efeito gerado por um risco pode trazer impactos diferentes para a organização,
e cada causa pode evidenciar várias probabilidades de um risco se concreti-
zar. As incertezas decorrem da falta de informação sobre o resultado de um
acontecimento ou de uma decisão. É importante saber que sempre existirão
incertezas em relação à cada risco, pois não se sabe se elas vão se concretizar
ou não. Então, é importante que elas sejam todas identificadas e fiquem
documentadas. Na Figura 1, você pode observar um esquema da análise de
probabilidades e impactos.
Fraude versus riscos 87
Figura 1. Esquema da análise de probabilidade e impacto.
A verificação dos riscos deve servir para identificar se existem controles

na organização que sejam capazes de reduzir a probabilidade de concretização
de um risco e prevenir os seus efeitos, para o caso de riscos negativos, ou
estimular a probabilidade e aumentar os efeitos, no caso de riscos positivos.
Inicialmente, o gerenciamento de riscos deve formar um entendimento
qualitativo acerca dos objetivos estratégicos da organização e quais seriam
os impactos dos eventos de riscos sobre cada um deles. Essa seria uma ava-
liação para definir em que nível a organização fica exposta, quando um fator
de risco se concretiza (INSTITUTO BRASILEIRO DE GOVERNANÇA
CORPORATIVA, 2007).
A avaliação qualitativa vai possibilitar a análise de cada risco de acordo com
variáveis que são definidas previamente, como a probabilidade de concretização
ou o impacto capaz de causar, a vulnerabilidade, a velocidade de propagação
dos efeitos e o tempo de exposição da organização ou persistência do impacto.

Essa abordagem é mais fácil de ser aplicada, pois se baseia fortemente na
intuição e no empirismo, podendo inclusive servir para valorar riscos com
impactos intangíveis, como a reputação. Normalmente, impede avaliações do
tipo custo x benefício e apresenta resultados imprecisos. Algumas técnicas
de avaliação qualitativas incluem as pesquisas, os workshops e a avaliação
de cenários qualitativos.
Além da probabilidade e do impacto, existem outros aspectos que podem ser consi-
derados no momento de avaliar um risco:
Vulnerabilidade: quanto uma organização está preparada para a concretização
de um risco, considerando a existência de uma resposta a ele e a sua agilidade
na resposta.
Velocidade: qual a velocidade em que o risco se concretiza, ou seja, se ele acontece
de surpresa ou gradualmente.
Exposição: por quanto tempo e em que grau a organização fica exposta ao risco.
Quando estiver terminada essa atividade de relacionar os fatores de risco

com a estratégia da organização, a avaliação qualitativa deve ser transformada
em uma avaliação quantitativa, que vai auxiliar no planejamento da empresa.
A abordagem quantitativa precisa de valores numéricos e mais precisos
para acontecer, servindo para avaliar a probabilidade ou o impacto gerado
daqueles riscos que foram identificados na análise qualitativa, como aqueles
que possuem maior probabilidade de concretização e de gerar maior impacto,
por exemplo. Essa análise vai permitir avaliações do tipo custo x benefício e,
também, a alocação de capital com base em dados válidos. Ela requer mais
tempo para ser feita, mas apresenta resultados mais precisos, dependendo do
grau de validade dos dados de entrada para os cálculos.
Essa atividade de planejamento envolve o detalhamento, no mínimo, de
todas as receitas e despesas organizacionais, os custos, os investimentos e o
fluxo de caixa estimado. Será necessário considerar muitas variáveis econô-
micas, como a tendência do mercado e das variáveis econômicas que afetam a
organização. É preciso que o processo de gerenciamento de riscos seja capaz de
quantificar as incertezas que podem estar envolvidas na fase de planejamento
para projetar os resultados da organização em cenários econômicos diferentes.
O impacto financeiro causado pelos fatores de risco na organização pode

ser aferido de forma quantitativa por meio de uma técnica que se chama
planejamento sob incerteza ou técnica de cenários. Para que essa técnica
seja aplicada, é preciso que a organização (INSTITUTO BRASILEIRO DE
GOVERNANÇA CORPORATIVA, 2007):
utilize alguma ferramenta ou metodologia que viabilize fazer simulações

de cenários;
tenha capacidade de formular cenários com as principais variáveis que
afetam o negócio.
A formulação de cenários diferentes requer pessoas capacitadas e com

conhecimento em cada área estratégica da organização, pois ele deve ser
detalhado, expressando o que cada elemento utilizado significa.
Cada área estratégica da empresa deve contar com profissionais capacitados para
construir cenários, prevendo o que pode acontecer com a organização na possibilidade
de concretização de algum fator de risco.
Área comercial: pode prever vendas maiores ou menores.
Área financeira: pode prever variações para as variáveis econômicas e para o grau
de inadimplência dos clientes.
Área de compras: pode prever ações para faltas de estoque no caso de greve
de fornecedores.
Área de recursos humanos: pode prever como trabalhar com um contingente
maior ou menor de funcionários.
É interessante que, após serem traçados os cenários de cada área estraté-

gica, sejam associadas à cada um deles as probabilidades que existem para
que eles se confirmem. Isso vai auxiliar a quantificar os riscos e a estimar a
possibilidade existente de que qualquer uma das métricas de desempenho da
empresa fique abaixo do esperado.
A análise qualitativa dos riscos é subjetiva, ao passo que a análise quantitativa é objetiva.
A análise qualitativa é feita depois de identificados os riscos, por meio da sua priorização,
de modo subjetivo, para uma análise posterior utilizando a probabilidade de o risco se
concretizar, e o impacto que ele pode causar. Na avaliação qualitativa também serão
determinados os riscos que deverão ser avaliados quantitativamente, para que então
seja construído um planejamento de resposta aos riscos.
A análise quantitativa é feita por meio de uma análise numérica dos efeitos dos riscos
na organização, definindo sua exposição a eles. Normalmente, são feitas análises de
cenários, por pessoal de todas as áreas da empresa, simulando aqueles riscos que
podem trazer mais impacto e possuem maior probabilidade de acontecer.
Portanto, você pode entender o motivo pelo qual o gerenciamento de riscos

que integra todas as áreas é tão importante, uma vez que prejuízos grandes
podem ser evitados partindo-se de expectativas criadas por especialistas que,
ao vislumbrar a sua concretização, conseguem desviar o rumo dos aconteci-
mentos. Dessa forma, a organização ganha em autoconhecimento, em tomadas
de decisões mais rápidas e efetivas, na redução de perdas significativas e no
aumento do aproveitamento de ganhos, e todos esses elementos geram valor
para a organização.
Priorização dos riscos

A priorização dos riscos serve para determinar o nível de cada fator de risco,
de forma individual ou em comparação com os demais riscos. Dessa forma,
será possível hierarquizar os principais riscos negativos e positivos, a fim de
fazer o seu gerenciamento dentro dos limites estabelecidos pela organização
e, também, evitar que sejam assumidos riscos maiores do que a organiza-
ção pode suportar e que sejam desperdiçadas oportunidades em potencial
(FRANCO, 2017).
Essa hierarquização deve resultar em uma listagem de todos os princi-
pais riscos que são enfrentados pela organização, refletindo qual o nível de
aceitação da organização quanto a seus riscos e sua capacidade de modificar
seus objetivos em prol de correr tais riscos, o que pode ser definido como o
perfil de riscos. O perfil de riscos deverá considerar aspectos que vão além da
probabilidade de concretização e do impacto gerado, como a vulnerabilidade

a que a organização está submetida e a velocidade de progressão do risco.
O perfil de riscos envolve:

Apetite ao risco: que significa a quantidade de exposição ao risco que é aceitável
para a organização, enquanto busca atingir seus objetivos.
Tolerância ao risco: que significa o nível de variabilidade na realização das metas
e objetivos predefinidos, que é aceitável pela organização.
O perfil dos riscos que são enfrentados pela organização devem ser docu-
mentados de forma detalhada, para que facilite o bom andamento da atividade
seguinte que consiste na comunicação dos riscos a todos os interessados e
também na elaboração de um plano para o tratamento dos riscos.
Uma boa prática para a avaliação e a priorização dos riscos consiste em
duas fases (FRANCO, 2017):
Primeira fase: consiste em ordenar os riscos, seguindo no mínimo

dois aspectos, que são a probabilidade de concretização e o tamanho
do impacto gerado, conseguidos por meio da matriz de probabilidade
x impacto. Os níveis de riscos vão ser o resultado das áreas em que a
probabilidade e o impacto se cruzam na matriz, podendo, por exemplo,
ser chamados de baixíssimo, baixo, médio, alto, altíssimo. Outra nomen-
clatura poderá ser utilizada, a critério da equipe de gestão de riscos da
organização, mas é importante saber que, quanto mais escalas ou níveis
existirem na matriz de risco (MR), maior será a precisão da resposta
da avaliação do risco. Como todas as organizações são diferentes, as
escalas da matriz devem ser personalizadas para que se adaptem à
cultura, ao negócio e ao tamanho da organização.
Segunda fase: consiste em aperfeiçoar a avaliação inicial pela inclusão
de outros aspectos para complementar a matriz de probabilidade x
impacto, como a velocidade de propagação do impacto, a persistência
ou a durabilidade do impacto e a diferença entre a situação existente e
a situação desejada. Uma outra maneira de executar a segunda fase, é
fazer a priorização dos riscos dentro de um mesmo grupo da MR, de
acordo com o tipo de efeito que pode gerar. Por exemplo, avaliar todos
os riscos considerados muito altos e priorizar, em ordem, aqueles que
impactam o financeiro da organização, a segurança dos empregados,
o ambiente de trabalho e a reputação da empresa, pois essa foi a ordem
ideal definida pela equipe de gestão de riscos da empresa.
A MR ou matriz de probabilidade x impacto é uma importante ferramenta que permite

visualizar, de forma simples e clara, a classificação e a priorização dos riscos de uma
organização.
Conheça melhor a MR acessando o link a seguir (UNIVERSO PROJETO, 2013):
https://goo.gl/PEX4ws
Para alguns riscos mais específicos, principalmente aqueles que envol-

vem prejuízos ou ganhos financeiros, pode ser preferível aplicar avaliações
individuais. O importante é saber que cada organização deve definir quais
são os seus riscos e também quais são os níveis de risco que são considerados
suportáveis, para cada um dos objetivos organizacionais. Observe, na Figura 2,
um exemplo de MR.
Figura 2. Exemplo de MR.

Fonte: Franco (2017, p. 50).
A avaliação e a priorização dos riscos devem considerar a integração de

todas as áreas, por isso todos os envolvidos nesse processo devem utilizar o
mesmo modelo, definido como padrão pela própria organização. Desse modo,
os riscos que forem enfrentados por áreas específicas, poderão ser comparados
e priorizados entre todas elas.
Normalmente, quando um risco é avaliado na visão de uma área, sob os
aspectos de probabilidade e risco, e ele é comparado com o mesmo risco na
visão da organização como um todo, as probabilidades não sofrem alteração,
mas os níveis de impacto, sim (ESCOLA NACIONAL DE ADMINISTRAÇÃO
PÚBLICA, 2014).
As organizações podem aumentar o seu desempenho quando concentram
seus esforços nos riscos que são definidos como de mais alta prioridade. Uma
priorização eficiente vai precisar de uma identificação correta dos fatores de
riscos, mas vai possibilitar o bom gerenciamento das atitudes que deverão ser
tomadas em relação a cada risco concretizado.
Fraude no contexto do gerenciamento de riscos

A fraude é um risco que coloca as atividades de todas as organizações, sejam
elas privadas ou públicas, grandes ou pequenas, sob exposição contínua. Mesmo
que o gerenciamento de riscos de uma organização seja bem estruturado e
sistemático, traduzindo eficiência e eficácia, será difícil garantir que os riscos
de fraude serão totalmente eliminados.
Dentro de uma organização, a fraude se associa aos demais tipos de risco, e
também às áreas da organização. A fraude pode, por exemplo, estar envolvida
com questões de ordem estratégica, operacional, financeira, tecnológica, ou
seja, ela não configura um tipo de risco isolado. Mesmo assim, esse tipo de
risco pode ser mitigado por meio de um programa de identificação e prevenção
de atos de fraude.
A fraude é uma ação ilícita, desonesta, que busca enganar alguém. Ela consiste em
um ato ou em uma omissão, sempre intencional, que é feito para prejudicar alguém
ou, ainda, para levar ganhos ilícitos ao fraudador.
No mundo corporativo, as fraudes podem ser executadas de acordo com

as formas apresentadas a seguir (BRASILIANO, 2015).
Por um indivíduo: com o objetivo de auferir ganhos para si próprio

em detrimento das outras pessoas. Algumas fraudes, que são práticas
comuns de empregados, são o ato de assinar o cartão-ponto em data
na qual esteve ausente no serviço, inserir uma despesa de viagem para
aumentar seu reembolso, apresentar atestado médico falso.
Pela organização: com o objetivo de auferir um ganho para a corporação
em si. Algumas práticas comuns são a falsificação de documentação
comprobatória para vencer licitações e a manipulação do fluxo de caixa.
O risco de fraude é impossível de ser eliminado quando se trata de seres

humanos, mas ele pode ser diminuído de forma considerável se a organização
decidir adotar um programa de envolvimento dos empregados, identificação e
prevenção das ações de fraude, em um movimento de trabalho pelos próprios
integrantes da empresa.
Para isso, é preciso que as organizações, por meio da sua gestão, entendam
que o risco de fraude existe e convive diariamente com o ambiente corporativo.
Isso deve ser dito porque, ainda nos dias de hoje, não são poucos os casos de
empresas e de indivíduos que são atingidos por fraudes, ao demonstrarem
ingenuidade e confiança demasiada em alguém.
Todas as pessoas que estão envolvidas com uma organização são respon-
sáveis e devem ser atuantes em um processo de prevenção de fraudes, mas
ele deve ser colocado em prática pela gestão da empresa, que tem o papel
de criar um ambiente apropriado para que as pessoas se informem sobre a
importância de combater as fraudes e, dessa forma, possam fortalecer ainda
mais seu gerenciamento de riscos.
Muitas vezes, a principal alavanca para as fraudes e outras atividades ilícitas
dentro de uma organização envolve a falta de comprometimento com valores
éticos e morais, com boas práticas de gestão e, também, com fundamentos de
governança corporativa, vindas da administração da empresa, o que passa a
servir de exemplo para os demais.
Por isso é preciso que a organização se dedique à criação de um programa,
que envolva fornecedores, funcionários, clientes e todos aqueles que participam
ou são atingidos pelas suas atividades, de alguma forma, para que colaborem
no processo de suspeitar, identificar e tratar possíveis atitudes relacionadas
a fraudes e ilicitudes. Veja, na Figura 3, um esquema de gerenciamento de
fraudes.
Figura 3. Princípios de um gerenciamento de fraudes.
O programa de gerenciamento de riscos e fraudes deve seguir, minima-

mente, os seguintes princípios (MACHADO; GARTNER, 2017):
Informação ou conscientização: consiste na propagação das políticas e

dos regulamentos de ética e integridade que a organização respeita. Esse
processo pode acontecer em palestras, reuniões ou oficinas de trabalho
em grupo, mas é importante que seja contínuo, para que os envolvidos
entendam que o gerenciamento de fraudes não é um acontecimento
isolado, mas uma prática da empresa. É essencial conscientizar a todos,
principalmente os gestores que devem servir de exemplo de conduta por
todos os empregados e demais interessados na atividade da organização.
Identificação ou detecção: envolve a atividade de avaliação do nível
de exposição da organização ao risco de fraude, à identificação das
vulnerabilidades em todas as atividades e processos pelos quais passa
o negócio da empresa e, também, ao monitoramento dos controles
internos e externos que são usados pela organização como respostas
a fraudes e ilicitudes. Esse princípio envolve também a criação de
um canal de denúncias independente e receptivo, para o qual todas as
pessoas envolvidas se sintam à vontade para delatar acontecimentos
ou ações, que entendam ser ilicitudes, e que possam atingir, de alguma
forma, os objetivos da organização, indo de encontro a sua cultura.
Tratamento ou resposta: a maneira pela qual a organização vai fazer o

seu gerenciamento de riscos de fraude e quais serão as respostas dadas
a partir da identificação de uma fraude, deve ser clara e transparente
para todos as partes interessadas. Ainda devem ser apresentadas, para
todos, as penalidades que serão dadas àquele que fraudar a organização,
atingindo-a de qualquer forma.
Para que uma fraude aconteça, normalmente são necessários três elementos,
que são a motivação, a oportunidade e a racionalização, como demonstrado
na Figura 4.
Figura 4. Triângulo da fraude.
Motivação: é o que impulsiona o fraudador a agir, podendo ser por

razões emocionais, como a vingança, a pressão familiar ou social ou
por razões financeiras, como os problemas de dívidas.
Oportunidade: é o que acontece quando o ambiente não possui ge-
renciamento de riscos a fraudes. O fraudador age porque sabe que vai
haver impunidade.
Racionalização: é o que acontece quando as pessoas enxergam um

motivo para se desculpar por cometer a fraude, como receber um salário
baixo ou não ser reconhecido na empresa.
É importante enfatizar que, para que um programa de gerenciamento de

riscos e fraude seja efetivo, não pode existir nenhum tipo de flexibilização.
Não deve existir nenhum tipo de fraude que possa ser desconsiderado, nem
algum fraudador que possa ser perdoado. Não se podem perdoar fraudes
materiais, por apresentarem prejuízo pequeno, nem altos gestores, pelo seu
cargo de gestão. Todos os fraudadores devem ser punidos para que a empresa
torne claro para todos que não tolera atos ilícitos e que mantém, acima de
tudo, uma cultura de respeito à ética.
1. A verificação de riscos envolve a à qual; as estratégias; qual área

avaliação _____, que formam um serão colocadas em prática.
conjunto de atividades que servem 2. No contexto do gerenciamento
para que a organização entenda de riscos, com relação aos
_____ está exposta, para decidir aspectos de vulnerabilidade,
quais devem ser _____ e em _____. velocidade e exposição, é
Assinale a alternativa que correto afirmar que:
melhor completa a frase. a) vulnerabilidade envolve
a) e a identificação de riscos; o a preparação da empresa
cenário ao qual; eliminados; para enfrentar o risco e a sua
quanto tempo. agilidade para responder a ele.
b) para a eliminação de riscos; b) exposição envolve a opção
mais sobre a concorrência a da empresa em querer ou
que; os prazos de exposição; não correr um risco.
qual velocidade. c) exposição indica o tempo
c) qualitativa e quantitativa de que a empresa tem para
riscos; os fatores de risco aos identificar todos os seus riscos.
quais; tratados; qual ordem. d) vulnerabilidade indica quanto
d) contínua do perfil de riscos; de prejuízo uma empresa
o impacto dos riscos a teve com a concretização
que; aceitos; qual área. de um risco positivo.
e) dos riscos a serem mitigados; e) velocidade indica que
como fazer a gestão de riscos o risco é prioritário.
3. Quais são as fases da avaliação e 4. O que é fraude?

priorização dos riscos? a) É uma ação de probidade
a) A primeira fase ordena os riscos de um funcionário que visa
por probabilidade e impacto; aumentar o lucro da empresa.
e a segunda fase ordena os b) É a omissão de uma pessoa,
riscos em ordem alfabética. visando o enriquecimento
b) A primeira fase consiste em de outra pessoa, nunca
ordenar os riscos em ordem o seu próprio.
de quantidade; e a segunda c) É a ação lícita de alguém
fase ordena os riscos pelo que visa ganho ilícito.
impacto financeiro gerado. d) É uma ação ou uma omissão
c) A primeira fase identifica intencional ilícita, desonesta,
os riscos impossíveis de que visa enganar alguém ou
serem tratados; e a segunda alguma instituição, configura
fase identifica os riscos que um risco que coloca as
podem ser tratados. organizações em risco constante.
d) A primeira fase ordena os e) É a omissão de alguém, visando
riscos em ordem alfabética de o prejuízo de si mesmo, para
impacto (alto, baixo, médio); obter o lucro para outra pessoa.
e a segunda fase ordena os 5. Qual(is) o(s) tipo(s) de fraude(s) que
riscos de acordo com o período pode(m) ser perdoada(s)?
de resposta da empresa a) Fraudes materiais que
a eles (imediato, próximo tragam prejuízo pequeno.
semestre, próximo ano). b) Nenhum tipo de fraude deve
e) A primeira fase consiste na ser perdoado e nenhum
ordenação dos riscos por fraudador deve escapar
probabilidade e impacto; sem a devida punição.
e a segunda fase consiste c) Fraudes gerenciais, que
em adicionar aspectos para afetem poucos funcionários.
a avaliação e priorização, d) Fraudes de funcionários que
incluindo aspectos como tragam lucro para a empresa.
velocidade de propagação e) Fraudes que tenham
do impacto e duração do causado a demissão de um
impacto. funcionário incompetente.

BRASILIANO, A. C. R. Gestão de risco de fraude. São Paulo: Sicurezza, 2015.
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Gerência de projetos: teoria e
prática. Brasília, DF: ENAP, 2014.
FRANCO, F. Governança e gestão de riscos em organizações públicas. Brasília, DF:
Mackenzie, 2017. Disponível em: <http://brasilia.mackenzie.br/apps/files/fpmb_
governanca_e_gestao_de_riscos_em_organizacoes_publicas_apostila.pdf>. Acesso
em: 12 jan. 2018.
MACHADO, M. R. R.; GARTNER, I. R. Triângulo de fraudes de Cressey (1953) e teoria da
agência: estudo aplicado a instituições bancárias brasileiras. Revista Contemporânea
de Contabilidade, Florianópolis, v. 14, n. 32, 2017. Disponível em: <https://periodicos.
ufsc.br/index.php/contabilidade/article/view/44527>. Acesso em: 12 jan. 2018.
UNIVERSO PROJETO. Definições de probabilidade e impacto dos riscos. [S.l.], 2013. Dis-
ponível em: <https://universoprojeto.wordpress.com/tag/matriz-de-probabilidade-
-e-impacto/>. Acesso em: 12 jan. 2018.
Conteúdo:
DICA DO PROFESSOR
O gerenciamento de riscos, mesmo quando praticado de forma estruturada e organizada, visando

diminuir ou eliminar as chances de riscos negativos, não é suficiente para evitar fraudes. A
fraude é um risco que coloca as atividades de todas as organizações, de qualquer tipo, sob
exposição contínua.
Nesta Dica do Professor, você vai aprender sobre a análise de fraudes e a gestão de riscos.
EXERCÍCIOS
1) Assinale a alternativa que melhor completa a frase a seguir:
A verificação de riscos envolve a avaliação __________, que formam um conjunto de

atividades que servem para que a organização entenda __________ está exposta, para
decidir quais devem ser _____________ e em ___________.
A) e a identificação de riscos; o cenário ao qual; eliminados; quanto tempo.
B) para a eliminação de riscos; mais sobre a concorrência a que; os prazos de exposição; qual
velocidade.
C) qualitativa e quantitativa de riscos; os fatores de risco aos quais; tratados; qual ordem.
D) contínua do perfil de riscos; o impacto dos riscos a que; aceitos; qual área.
E) dos riscos a serem mitigados; como fazer a gestão de riscos à qual; as estratégias; qual área
serão colocadas em prática.
2) No contexto do gerenciamento de riscos, com relação aos aspectos de vulnerabilidade,

velocidade e exposição, é correto afirmar que:
A) A vulnerabilidade é o aspecto que envolve a preparação da empresa para enfrentar o risco,

e a agilidade para responder a ele.
B) A exposição envolve a opção da empresa em querer ou não correr um risco.
C) A exposição indica o tempo que a empresa tem para identificar todos os seus riscos.
D) A vulnerabilidade indica quanto prejuízo uma empresa teve com a concretização de um

risco positivo.
E) A velocidade indica que o risco é prioritário.
3) Quais são as fases da avaliação e da priorização dos riscos?
A) A primeira fase consiste em ordenar os riscos por probabilidade e impacto. A segunda,

ordena os riscos em ordem alfabética.
B) A primeira fase consiste em ordenar os riscos em ordem de quantidade. A segunda, ordena

os riscos pelo impacto financeiro gerado.
C) A primeira fase consiste em identificar os riscos impossíveis de serem tratados. A segunda,

identifica os riscos que podem ser tratados.
D) A primeira fase consiste em ordenar os riscos em ordem alfabética, por nível de impacto
– alto, baixo, médio. A segunda, ordena os riscos de acordo com o período de resposta da
empresa – imediato, próximo semestre, próximo ano.
E) A primeira fase consiste em ordenar os riscos por probabilidade e impacto. A segunda, em

adicionar aspectos para a avaliação e priorização, como velocidade de propagação do
impacto e a sua duração.
4) O que é fraude?
A) É uma ação de probidade de um funcionário, que visa aumentar o lucro da empresa.
B) É uma omissão de uma pessoa, visando o enriquecimento de outra, nunca o próprio.
C) É uma ação lícita de alguém, que visa ganho ilícito.
D) É uma ação ou omissão intencional ilícita, desonesta, que visa enganar alguém ou alguma
instituição. Ela configura um risco que coloca as organizações sob exposição contínua.
E) É uma omissão de alguém, visando o prejuízo de si mesmo para obter o lucro para outra
pessoa.
5) Qual o tipo de fraude que pode ser perdoada?
A) Fraudes materiais que tragam prejuízo pequeno.
B) Nenhum tipo de fraude deve ser perdoada, e nenhum fraudador deve escapar sem a devida
punição.
C) Fraudes gerenciais, que afetem poucos funcionários.
D) Fraudes de funcionários que tragam lucro para a empresa.
E) Fraudes que tenham causado a demissão de um funcionário incompetente.

NA PRÁTICA
Uma loja de confecções infantil chamada VestiDinho, preocupada em executar a atividade de

governança de forma satisfatória, implantou o gerenciamento de riscos. Apesar disso, continuou
com problemas de vendas não concretizadas, perda de clientes para a concorrência e de
funcionários para outros estabelecimentos. Pa que fosse verificado o problema, a diretoria da
loja chamou um consultor na área de gestão de riscos.
O consultor, após investigar como havia sido feita a implantação do gerenciamento de riscos na
loja, chamou o diretor e lhe explicou que, apesar de os fatores de risco terem sido identificados e
de haver planejamento de resposta para cada um deles, não havia sido feita uma avaliação
qualitativa e quantitativa que determinasse uma priorização para os riscos que deveriam ser
atendidos antes por serem mais críticos.
Um dos problemas que chamou a atenção do consultor foi que havia preocupação com o
marketing da loja em detrimento de manter pagamento dos funcionários em dia. Ele explicou à
gerência que existem fatores de riscos que até podem configurar obrigações da empresa, mas
que um descuido e o não cumprimento de uma obrigação passa a ser uma ameaça. Em
contrapartida, o cumprimento de deveres pode trazer o aproveitamento de boas oportunidades.

Apenas com a ordenação do tratamento dos riscos, levando em conta o impacto gerado e a
probabilidade de acontecer, já pode ser notada uma grande diferença no funcionamento da loja
VestiDinho: os funcionários sentem-se satisfeitos e valorizados, os clientes estão sendo
fidelizados, a propaganda da loja está na internet e na TV, e já é possível trabalhar com
promoções, na tentativa de conseguir clientes fidelizados pela concorrência.
SAIBA MAIS
professor:
Neste vídeo, você aprenderá um pouco mais sobre fraudes no ambiente corporativo.

Este matéria mostra como diminuir risco de fraude nas corporações.
O principal objetivo da Gestão de Riscos é avaliar as incertezas do Projeto

Gerenciamento de Riscos Corporativos –
Estrutura Integrada do COSO
APRESENTAÇÃO
O COSO - Committee of Sponsoring Organizations of the Treadway Commission é uma

organização sem fins lucrativos, constituída por conceituadas entidades profissionais da área
contábil e de auditoria norte-americanas, criada em 1985, visando melhoria contínua dos
relatórios financeiros sempre pautados na ética, efetividade dos controles internos e governança
corporativa.
As recomendações do COSO são tidas como referência para controles internos e gestão de
riscos corporativos e visam o desenvolvimento e implementação de metodologias para seu
gerenciamento, sempre pensando na melhoria contínua dos processos com a melhor alocação
dos recursos da organização.
O gerenciamento de riscos corporativos, segundo o COSO, possibilita aos administradores tratar
com eficácia as incertezas, riscos e oportunidades, a fim de melhorar a capacidade de gerar
valor.
Nesta Unidade de Aprendizagem você vai estudar a origem do COSO, controles internos e
gerenciamento de riscos corporativos com estrutura integrada na organização.
Bons estudos.
• Reconhecer as origens da metodologia COSO.
• Descrever Controle Interno segundo o modelo do COSO.

• Interpretar gerenciamento de riscos corporativos segundo estrutura integrada do COSO.
DESAFIO
A empresa Automaz atua no ramo automobilístico e está iniciando um projeto para exportar
parte de sua produção. Porém, a efetivação deste projeto dependerá da definição do país ao qual
a empresa deseja destinar os produtos, que escolherá uma entre as 10 empresas que se
propuseram a participar da concorrência.
O país ao qual será destinada a produção passou recentemente por grandes escândalos,
motivados por fraudes em empresas do mesmo ramo do atual projeto.
Em função disso, para participar da concorrência, as empresas precisarão atender a algumas
exigências, que incluem demandas como adequação a normas internacionais de controles
internos, oferecendo ao pais de destino maior segurança na operação.
Este será o primeiro desafio a ser vencido pelas empresas interessadas, que terão um tempo
determinado para preparação e adaptação as exigências apresentadas.
O diretor da empresa Automaz sabe que, para que sua empresa seja a escolhida, haverá um
longo caminho a trilhar, que envolverá muitas etapas a serem cumpridas, assim como normas e
procedimentos a serem avaliados e implementados.
Sabendo destas demandas, o diretor procurou a sua consultoria, com o objetivo de que você
assessore a empresa durante este período de preparação e adaptação. Para a primeira reunião
sobre o projeto, você precisa preparar um parecer com a recomendação de alternativas que
possam ser adotadas pela empresa.
É importante que você, além de indicar alternativas, também justifique sua indicação,
oferecendo uma breve apresentação da alternativa escolhida, quais os propósitos e principais
aspectos da mesma, para que o diretor possa compreender como a alternativa pode ajudá-lo a
atender as exigências apresentadas.
INFOGRÁFICO
Através do infográfico você vai compreender as diferenças das metodologias COSO I e COSO
II, os componentes e as categorias que fazem parte do processo de cada um.
CONTEÚDO DO LIVRO
Você sabe como acontece o gerenciamento de riscos corporativo através da estrutura integrada
do COSO?
Esta metodologia proporciona aos administradores tratar com eficácia as incertezas, riscos e
oportunidades, a fim de obter os melhores resultados.
Na obra Gerenciamento de Riscos, leia o capítulo Gerenciamento de Riscos Corporativos –

Estrutura Integrada do COSO, base teórica desta Unidade de Aprendizagem, você vai estudar
sobre os conceitos e as origens da metodologia COSO e também o processo de controle interno
através do modelo COSO.
Boa leitura!
GERENCIAMENTO
DE RISCOS
Simone Fraporti
Revisão técnica:
Gisele Lozada

SAGAH, 2018.
166 p. ; 22,5 cm
ISBN 978-85-9502-334-5

II. Título.
CDU 658.88

U N I D A D E 4
Gerenciamento de riscos
corporativos – estrutura
integrada do COSO
Reconhecer as origens da metodologia COSO.

Descrever o controle interno segundo o modelo do COSO.
Interpretar o gerenciamento de riscos corporativos segundo a estrutura
integrada do COSO.
Introdução
O COSO (Committee of Sponsoring Organizations of the Treadway
Commission) é uma organização sem fins lucrativos, constituída por
conceituadas entidades profissionais da área contábil e de auditoria norte-
-americanas. Foi criada em 1985, visando à melhoria contínua dos relatórios
financeiros, sempre pautados em ética, efetividade dos controles internos
e governança corporativa. As recomendações do COSO são tidas como
referência para controles internos e gestão de riscos corporativos, visando
ao desenvolvimento e à implementação de metodologias para seu ge-
renciamento, sempre pensando na melhoria contínua dos processos com
a melhor alocação dos recursos da organização. O gerenciamento de
riscos corporativos, segundo o COSO 2007, possibilita aos administradores
tratar com eficácia as incertezas, os riscos e as oportunidades, a fim de
melhorar a capacidade de gerar valor.
Neste capítulo, você vai estudar a origem do COSO, os controles in-
ternos e o gerenciamento de riscos corporativos com estrutura integrada
na organização.
102 Gerenciamento de riscos corporativos – estrutura integrada do COSO
Origens do COSO
A história do COSO iniciou em 1985, nos Estados Unidos, substituindo a Natio-
nal Commission on Fraudulent Financial Reporting (Comissão Nacional sobre
Fraudes em Relatórios Financeiros), iniciativa independente de conceituadas
entidades profissionais da área contábil e de auditoria norte-americanas, que
visava estudar as causas da ocorrência de fraudes em relatórios financeiros
e contábeis e desenvolver recomendações para empresas e auditores. Suas
publicações acompanharam as modificações e a evolução do cenário no qual
as organizações e suas diversas partes interessadas estão inseridas, e sua
metodologia foi sendo ajustada conforme as necessidades exigidas.
Isso fica evidenciado na missão declarada pelo COSO, que consiste em
fornecer pensamento de liderança por meio do desenvolvimento de quadros e
orientações sobre gerenciamento de riscos corporativos, controles internos e frau-
des. Em complemento, sua visão declara a intenção de ser líder no mercado global
em desenvolvimento de orientação nas áreas de risco e controle, que permitem
uma boa governança organizacional e a redução de fraudes (PEREIRA, 2015).
No início dos anos 2000, quando grandes escândalos corporativos vieram
à tona, mostrando ao mundo que o sucesso de muitas organizações era funda-
mentado em fraudes, muitos casos de manipulação de informações contábeis
e financeiras abalaram a confiança de investidores, além de reforçarem a
necessidade de haver maior transparência e confiabilidade na preparação e
divulgação dessas informações.
Nos links a seguir, você encontra noticiários sobre alguns escândalos corporativos nos
Estados Unidos (AGENCIA ESTADO, 2002; MELLO, 2014):
https://goo.gl/Q1Yo5R
https://goo.gl/8s6yiH
Foi então que, em 2002, foi aprovada a Lei Sarbanes-Oxley, que reformulou
e regulamentou o mercado de capitais, como forma de acabar com a manipu-
lação das informações financeiras. As principais mudanças foram nas regras
de governança corporativa, que aumentou a responsabilidade dos executivos
Gerenciamento de riscos corporativos – estrutura integrada do COSO 103
das organizações, bem como dos responsáveis perante a emissão e divulgação

de relatórios financeiros. Também foi dada mais ênfase ao uso de controles
internos mais rígidos. Em resposta aos fatos apontados, vários estudos foram
realizados, buscando identificar as principais falhas nos controles dessas
instituições (GRUPO PORTAL DE AUDITORIA, 2017).
Para acessar mais informações sobre o surgimento

da Lei Sox, leia o texto disponível no Grupo Portal
de Auditoria (2017):
https://goo.gl/zxBgNX
Estes eventos impulsionaram a percepção da importância dos controles

internos, e os estudos do COSO identificaram os objetivos essenciais do negócio
da organização e definiram os controles internos, fornecendo critérios a partir
dos quais os sistemas de controle podem ser avaliados, gerando subsídios para
que administração, auditoria e demais interessados possam utilizar, avaliar
e validar os controles.
Dentre as publicações feitas pelo COSO, dois pronunciamentos se
notabilizaram:
COSO Report ou COSO I, em 1992, Internal Control – Integrated

Framework (Controle Interno – Um Modelo Integrado), que se tornou
referência mundial para o estudo e aplicação dos controles internos.
COSO-ERM ou COSO II, em 2004, Enterprise Risk Management –
Integrated Framework (Gestão de Riscos Organizacionais – Estrutura
Integrada), modelo de referência que estendeu o COSO I, tendo como
foco principal a gestão de riscos corporativos.
Essas publicações ressaltam a importância do foco contábil e da gestão

empresarial nos controles internos da organização.
O COSO Report, com o foco sobre o controle interno, é uma metodo-
logia para estruturar e avaliar sistemas de controles internos integrados,
com uma postura de identificar, detectar e reagir aos riscos de um negócio,
visando ressaltar a relevância dos aspectos financeiros e a importância da

transparência e adequação das demonstrações contábeis. Por esse motivo, foi
também denominado COSO Contábil, pois é adequado à prestação de contas
da administração da entidade, indispensável para a transparência bem maior
dos acionistas e da sociedade.
O modelo COSO I (COMMITTEE OF SPONSORING ORGANIZA-
TIONS OF THE TREADWAY COMMISSION, 2013) tornou-se referência
mundial, por:
uniformizar definições de controle interno;

definir componentes, objetivos e objetos do controle interno em um
modelo integrado;
delinear papéis e responsabilidades da administração;
estabelecer padrões para implementação e validação;
criar um meio para monitorar, avaliar e reportar controles internos.
O COSO ERM (COMMITTEE OF SPONSORING ORGANIZATIONS

OF THE TREADWAY COMMISSION, 2007) aproveitou o sucesso da meto-
dologia do COSO Report e ampliou o alcance dos controles internos, dando
mais enfoque ao tema e tendo como principal objetivo: prever ou prevenir os
riscos inerentes ao conjunto de processos da organização que possam impedir
ou dificultar o alcance de seus objetivos. Ele foi inicialmente divulgado pela
Securities and Exchange Commission (SEC), a Comissão de Valores Imobi-
liários (CVM) norte-americana, comprovando o interesse da autoridade de
supervisão do mercado de capitais dos Estados Unidos.
A nova publicação adotou uma postura proativa, focando o controle interno
como um sistema, sempre de forma integrada e com melhor visão de gestão
no gerenciamento dos riscos, prevendo, inclusive, a sua realização como
processo, por um comitê diretivo no âmbito da entidade. Não eliminou nada
do que havia sido abordado no COSO Report, mas sim aprimorou e ampliou o
estudo, trazendo novos termos e conceitos importantes para o gerenciamento
de riscos, como você pode observado no Quadro 1, que faz um comparativo
dos componentes das duas versões do COSO.
Quadro 1. Comparativo entre os componentes dos modelos COSO.
COSO I COSO II
Controle interno Gerenciamento de riscos
Ambiente de controle Ambiente (de controle) interno
Fixação de objetivos
Identificação de eventos
Avaliação de riscos Avaliação de riscos
Resposta ao risco
Atividades de controle Atividades de controle
Informação e comunicação Informação e comunicação
Monitoramento Monitoramento
Controle interno
O controle interno é definido da seguinte forma pelo COSO (COMMITTEE OF
SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION,
2013): “[...] é um processo conduzido pela estrutura de governança, adminis-
tração e outros profissionais da entidade, e desenvolvido para proporcionar
segurança razoável com respeito à realização dos objetivos relacionados a
operações, divulgação e conformidade”. Dessa definição, sobressaem alguns
conceitos fundamentais, demonstrando que o controle interno é:
Conduzido para atingir os objetivos:
Operacional: está relacionado aos objetivos e as metas de desempenho,
rentabilidade, segurança e qualidade dos ativos.
Comunicação: confiabilidade das informações e das demonstrações
contábeis.
Conformidade (compliance): harmonia com leis e normativos aplicáveis
à entidade e a área em que atua.
Um processo de tarefas e atividades contínuas – um meio para um fim,

não um fim em si mesmo.
Realizado por pessoas – diz respeito às pessoas e às ações que elas

tomam em cada nível da organização para realizar o controle interno.
Capaz de proporcionar segurança razoável – ainda que não absoluta,
para a estrutura de governança e alta administração de uma entidade.
Adaptável à estrutura da organização – podendo ser aplicado em toda
organização, ou para uma subsidiária, divisão, unidade operacional ou
processo de negócio em particular.
O controle interno compõe o processo de gestão e seu objetivo principal é

auxiliar as entidades a alcançar objetivos importantes e sustentar e melhorar
o seu desempenho (COMMITTEE OF SPONSORING ORGANIZATIONS
OF THE TREADWAY COMMISSION, 2013).
Com foco nos controles internos, o COSO I (COMMITTEE OF SPON-
SORING ORGANIZATIONS OF THE TREADWAY COMMISSION, 2013)
propõe cinco componentes para a condução dos controles internos, que são
os elementos necessários para que eles sejam efetivos.
Ambiente de controle: é a cultura de controle interno da entidade,

na qual o controle é efetivo, quando as pessoas conhecem as suas res-
ponsabilidades, os limites de autoridade e consciência, competência
e comprometimento de fazerem o que é certo e de maneira correta.
Envolve competência técnica e compromisso ético, em que a postura
da alta administração, pelo exemplo, é fator determinante da criação
desse valor (em Código de Ética e Conduta Profissional).
Avaliação de risco: os riscos devem ser avaliados com base na proba-
bilidade e no impacto, e os resultados dessa avaliação devem orientar
o seu gerenciamento. Esses riscos devem ser avaliados como inerentes
e residuais.
Atividades de controle: são os procedimentos de controle interno
destinados à redução ou administração dos riscos. Podem ser de caráter
preventivo, detecção ou ambos, sendo os mais conhecidos:
■■ de prevenção – segregação de funções, normatização interna, alçadas
de autoridade ou de responsabilidade;
■■ de detecção – conciliações, revisões de desempenho;
■■ de prevenção e detecção – segurança física e por sistemas
informatizados.
Informação e comunicação: comunicação é o fluxo de informações
dentro de uma entidade, e a informação é o combustível que move as
organizações e a sociedade.
Monitoramento: é a avaliação dos controles internos ao longo do

tempo, se efetivos ou não. Podem ser contínuos ou pontuais, envolvendo
autoavaliações, revisões e auditoria (interna, independente, integral).
Na Figura 1, você pode observar um esquema da estrutura do COSO I.
Figura 1. Estrutura COSO I (COSO Report).

Fonte: Soft Expert (c2018).
A organização deve utilizar avaliações contínuas e independentes, ou uma

combinação das duas, para se certificar da presença, funcionamento e eficácia
de cada um dos cinco componentes de controle interno.
Gerenciamento de riscos corporativos –

estrutura integrada do COSO
A publicação do COSO II (COMMITTEE OF SPONSORING ORGANI-
ZATIONS OF THE TREADWAY COMMISSION, 2007) colaborou para a
percepção da necessidade de se desenvolver uma estratégia sólida, capaz de
identificar, avaliar e administrar riscos para ser adotada por qualquer orga-
nização corporativa. Nessa versão, o controle interno é apresentado como
parte do gerenciamento de riscos corporativos e as atividades de gestão de

riscos são expandidas para todas as áreas da organização, não só para aquelas
responsáveis pelas demonstrações contábeis.
O COSO II (COMMITTEE OF SPONSORING ORGANIZATIONS OF
THE TREADWAY COMMISSION, 2007) foca o controle interno como
um sistema integrado e diretamente ligado à gestão dos riscos e com a
abrangência dos elementos a serem considerados. O controle interno pas-
sou a ser considerado como um processo destinado a identificar riscos
corporativos, a fim de monitora-los e assegurar que estejam compatíveis
com a capacidade ao risco estabelecida, fornecendo segurança razoável ao
alcance dos objetivos.
Risco é a possibilidade de ocorrência de um evento adverso para uma determinada

situação esperada. As diversas formas de se fazer a mensuração de risco resultaram
no que hoje é denominado gestão de risco.
O risco corporativo pode ter origem interna ou externamente à entidade ou

grupo de entidades e ser dividido em várias espécies, como risco de liquidez, de
mercado, operacional, entre outros. Os grandes fóruns mundiais de mercados
financeiros e de capitais, após os grandes escândalos corporativos no início
dos anos 2000, passaram a dar muita importância a tudo que se relaciona ao
risco, especialmente o que diz respeito às fraudes e à prática de lavagem de
dinheiro de recursos de práticas criminosas e de riscos sistêmicos que podem
contaminar mercados de forma prejudicial (CONSELHO REGIONAL DE
CONTABILIDADE DO RIO GRANDE DO SUL, 2011).
O gerenciamento de riscos corporativos, um processo contínuo que trata de
riscos e oportunidades que afetam a geração de valor, é de responsabilidade
do conselho de administração e diretoria, e as ações decorrentes dele devem
ser conduzidas pelos gestores e demais empregados por todos os níveis da
organização (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE
TREADWAY COMMISSION, 2007).
As estratégias devem ser estabelecidas para identificar, em toda a organi-
zação, os eventos que possam afetá-la de forma potencial, além de administrar
os riscos de modo a mantê-los compatíveis com o apetite a risco da organi-
zação e possibilitar garantia razoável do cumprimento dos seus objetivos. O

COSO II (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE
TREADWAY COMMISSION, 2007) acrescenta os objetivos estratégicos as
categorias já apresentadas no COSO I:
Estratégicos – metas gerais, alinhadas de forma a suportar a sua missão
na organização.
O gerenciamento de riscos corporativos, segundo o COSO, possibilita aos
administradores tratar com eficácia incertezas, riscos e oportunidades, a fim
de melhorar a capacidade de gerar valor. Isso acontece quando a organização
estabelece estratégias e objetivos visando ao equilíbrio ideal entre as metas
de crescimento e de retorno de investimentos, considerando os riscos a elas
associados (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE
TREADWAY COMMISSION, 2007).
O gerenciamento de riscos corporativos tem por finalidade:
Alinhar o apetite a risco com a estratégia adotada – o apetite a risco da

organização é avaliado ao analisar as estratégias, definindo os objetivos
a elas relacionados e desenvolvendo mecanismos para gerenciar esses
riscos.
Fortalecer as decisões em resposta aos riscos – possibilita um maior
rigor na identificação e na seleção de alternativas de respostas aos riscos,
como evitar, reduzir, compartilhar e aceitar os riscos.
Reduzir as surpresas e prejuízos operacionais – melhor capacidade
para identificar eventos em potencial e estabelecer respostas a eles,
reduzindo surpresas e custos ou prejuízos associados.
Identificar e administrar riscos múltiplos e entre empreendimentos –
possibilita uma resposta eficaz a impactos inter-relacionados e, também,
respostas integradas aos diversos riscos.
Aproveitar oportunidades – considerando todos os eventos em potencial,
a organização tem condições de identificar e aproveitar as oportunidades
de forma proativa.
Otimizar o capital – com informações adequadas a respeito de riscos,
a administração consegue fazer uma avaliação eficaz das necessidades
de capital como um todo e aprimorar a alocação desse capital.
Informação e comunicação – comunicação é o fluxo de informações dentro

de uma entidade, e a informação é o combustível que move as organizações
e a sociedade.
Monitoramento – é a avaliação dos controles internos ao longo do tempo, se

efetivos ou não. Podem ser contínuos ou pontuais, envolvendo autoavaliações,
revisões e auditoria (interna, independente, integral).
A principal diferença entre os componentes do COSO I e do COSO II
está na abordagem do risco, pois o componente “Avaliação de riscos” do
COSO I (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE
TREADWAY COMMISSION, 2013) foi detalhado em quatro componentes
no COSO II (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE
TREADWAY COMMISSION, 2007): fixação de objetivos; identificação de
eventos; avaliação de riscos e resposta aos riscos.
Existe um relacionamento direto entre os objetivos que uma organização
busca alcançar, e os componentes do gerenciamento de riscos corporativos
representam aquilo que é necessário para o seu alcance. Esse relacionamento
é apresentado em uma matriz tridimensional em forma de cubo, que você
pode observar na Figura 2. As quatro categorias de objetivos (estratégicos,
operacionais, de comunicação e conformidade) estão representadas nas colunas
verticais. Os oito componentes nas linhas horizontais e as unidades de uma
organização na lateral.
Figura 2. Estrutura COSO I e COSO II (COSO ERM).

Fonte: Soft Expert (c2018).
Essa representação ilustra a capacidade de manter o enfoque na totalidade

do gerenciamento de riscos de uma organização, ou na categoria de objetivos,
componentes, unidade da organização ou qualquer um dos subconjuntos,

pois todas as linhas de cada uma das dimensões inter-relacionam-se entre
si. Essa nova visão de controle interno, apresentada pelo COSO ERM,
passou a ser aceita e utilizada por praticamente todos os foros relativos ao
mundo das finanças e gestão empresarial (CONSELHO REGIONAL DE
CONTABILIDADE DO RIO GRANDE DO SUL, 2011).
A estrutura apresentada pelo COSO traz informações que dão condições
à organização de criar um sistema de controle interno eficaz e capaz de
proporcionar segurança razoável acerca da realização dos objetivos da
entidade. Afinal, um sistema de controle interno eficaz reduz, a níveis
aceitáveis, o risco de não alcançar os objetivos traçados no planejamento
da organização, para cada uma das categorias de objetivos.
A estrutura integrada do COSO mostra que existe uma relação direta
entre os objetivos gerais, representando o que uma entidade está buscando
alcançar; e os componentes do controle interno, os quais representam o que é
necessário para se alcançar esses objetivos. É nessa linha de pensamento que
as atividades de gerenciamento de riscos devem se basear para dar condições
às organizações de criar sistemas de controle interno que se adaptem aos
ambientes operacionais e corporativos em que estão inseridas, reduzindo
os riscos para níveis aceitáveis e proporcionando um processo sólido de
tomada de decisões e de governança da organização (INTERNATIONAL
ORGANISATION OF SUPREME AUDIT INSTITUTIONS, 2007).
1. Com relação ao COSO, 2. O modelo COSO I, tornou-se

podemos afirmar que: referência mundial, por:
a) é uma organização sem fins a) uniformizar definições
lucrativos, criada em 1995. de controle interno.
b) é constituído por b) separar componentes,
instituições financeiras. objetivos e objetos do controle
c) suas publicações trazem interno da gestão de riscos.
orientações sobre c) dispensar papéis e
gerenciamento de riscos, responsabilidades da
controles internos e fraudes. administração.
d) teve apenas uma d) propor que cada empresa
importante publicação. estipule seu modelo de controle
e) teve origem no Brasil. próprio e distinto das demais.
e) recusar meios para b) Postura reativa, controle

monitorar, avaliar e reportar interno, segregada.
controles internos. c) Postura reativa, controle
3. O COSO II (COMMITTEE OF interno, integrada.
SPONSORING ORGANIZATIONS OF d) Postura proativa, controle
THE TREADWAY COMMISSION, 2007) interno, integrada.
categoriza os objetivos do controle e) Postura reativa, resultado,
interno, permitindo às organizações segregada.
se concentrarem nos diferentes 5. Existe um relacionamento direto
aspectos do controle interno. entre os objetivos que uma
Quais das opções a seguir define o organização busca alcançar e os
objetivo da conformidade? componentes do gerenciamento de
a) Representa as metas gerais, riscos corporativos, representando
alinhadas de forma a suportar aquilo que é necessário para o
a sua missão na organização. alcance dos objetivos. No COSO
b) Harmonia com leis e normativos I (COMMITTEE OF SPONSORING
aplicáveis à entidade e ORGANIZATIONS OF THE TREADWAY
à área em que atua. COMMISSION, 2013) foram propostos
c) Estabelece confiabilidade cinco componentes para a condução
das informações e das dos controles internos; e no COSO II
demonstrações contábeis. (COMMITTEE OF SPONSORING
d) Está relacionada aos objetivos ORGANIZATIONS OF THE TREADWAY
e às metas de desempenho, COMMISSION, 2007) eles foram
rentabilidade, segurança complementados e passaram a
e qualidade dos ativos. ser oito elementos considerados
e) Fornecer pensamento para um controle interno efetivo.
de liderança por meio do Qual das opções abaixo apresenta
desenvolvimento de quadros e os três elementos que foram
orientações sobre gerenciamento acrescentados pelo COSO II?
de riscos corporativos, a) Avaliação de riscos, resposta
controles internos e fraudes. ao risco, monitoramento.
4. A publicação do COSO II b) Identificação de eventos,
adotou uma ___________, resposta ao risco, informação
focando o _______________ e comunicação.
como um sistema, sempre de c) Ambiente interno, atividades
forma _____________, com de controle, monitoramento.
melhor visão de gestão no d) Fixação de objetivos,
gerenciamento dos riscos. atividades de controle,
Qual das opções a seguir preenche informação e comunicação.
corretamente os espaços? e) Fixação de objetivos,
a) Postura proativa, identificação de eventos,
resultado, integrada. resposta ao risco.
AGENCIA ESTADO. O escândalo da Enron: saiba o que está acontecendo. Estadão, 07 fev.
2002. Disponível em: <http://economia.estadao.com.br/noticias/geral,o-escandalo-
-da-enron-saiba-o-que-esta-acontecendo,20020207p24521/>. Acesso em: 01 fev. 2017.
Controle interno: estrutura integrada: sumário executivo. São Paulo: IIA Brasil, 2013.
[S.l.]: PwC, 2007.
CONSELHO REGIONAL DE CONTABILIDADE DO RIO GRANDE DO SUL. A importância
dos preceitos de governança corporativa e de controle interno sobre a evolução e a in-
ternacionalização das normas de contabilidade e auditoria. Porto Alegre: CRCRS, 2011.
D’ANDRÉA, G. Os 5 principais riscos dos investimentos e como evitá-los. [S.l.]: InfoMoney,
2012. Disponível em: <http://www.infomoney.com.br/onde-investir/noticia/2533310/
principais-riscos-dos-investimentos-como-evita-los>. Acesso em: 01 fev. 2017.
GRUPO PORTAL DE AUDITORIA. Introdução à Lei Sarbanes Oxley (SOX). Curitiba, 2017.
Disponível em: <https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-
-sox/>. Acesso em: 01 fev. 2017.
INTERNATIONAL ORGANISATION OF SUPREME AUDIT INSTITUTIONS. Diretrizes para
as normas de controle interno do setor público. Salvador: TCE Bahia, 2007. (Série Tra-
duções, n. 13).
MELLO, P. T. Escândalos corporativos globais respigaram nas firmas de contabilidade
e auditoria. O Globo, Rio de Janeiro, 14 nov. 2014. Disponível em: <https://oglobo.
globo.com/economia/escandalos-corporativos-globais-respigaram-nas-firmas-de-
-contabilidade-auditoria-14565408/>. Acesso em: 01 fev. 2017.
PEREIRA, H. COSO 2013: visão geral. [S.l.]: LinkedIn, 2015. Disponível em: <https://
pt.linkedin.com/pulse/coso-2013-vis%C3%A3o-geral-henrique-pereira-mba>. Acesso
em: 01 fev. 2017.
SOFT EXPERT. COSO. Joinville, c2018. Disponível em: <https://www.softexpert.com.
br/solucao/coso/>. Acesso em: 01 fev. 2017.
Conteúdo:
DICA DO PROFESSOR
Neste vídeo, veja um pouco mais sobre a origem da metodologia COSO, conheça as principais
características de cada um deles e também sua aplicabilidade nas empresas.
EXERCÍCIOS
1) Com relação ao COSO, podemos afirmar:
A) É uma organização sem fins lucrativos criada em 1995.
B) Constituído por instituições financeiras.
C) Suas publicações trazem orientações sobre gerenciamento de riscos, controles internos e

fraudes.
D) Teve apenas uma importante publicação.
E) Teve origem no Brasil.
2) O modelo COSO I, tornou-se referência mundial, por:
A) Uniformizar definições de controle interno.
B) Separar os componentes, objetivos e objetos do controle interno da gestão de riscos.
C) Dispensar papéis e responsabilidades da administração.

D) Recusar meios para monitorar, avaliar e reportar controles internos.
E) Propor que cada empresa estipule seu modelo de controle próprio e distinto das demais.
3) O COSO II categoriza os objetivos do controle interno, permitindo às organizações se

concentrarem nos diferentes aspectos do controle interno.
Quais das opções abaixo define o objetivo da conformidade?
A) Representa as metas gerais, alinhadas de forma a suportar a sua missão da organização.
B) Harmonia com leis e normativos aplicáveis à entidade e a área onde atua.
C) Estabelece confiabilidade das informações e das demonstrações contábeis.
D) Está relacionada aos objetivos e as metas de desempenho, rentabilidade, segurança e

qualidade dos ativos.
E) Fornecer pensamento de liderança através do desenvolvimento de quadros e orientações

sobre gerenciamento de riscos corporativos, controles internos e fraudes.
4) A publicação do COSO II adotou uma ___________, focando o ______________ como

um sistema, sempre de forma _____________, com melhor visão de gestão no
gerenciamento dos riscos.
Qual das opções abaixo preenche corretamente os espaços?
A) Postura proativa, resultado, integrada.
B) Postura reativa, controle interno, segregada.
C) Postura reativa, controle interno, integrada.

D) Postura proativa, controle interno, integrada.
E) Postura reativa, resultado, segregada.
5) Existe um relacionamento direto entre os objetivos que uma organização busca alcançar e
os componentes do gerenciamento de riscos corporativos, que representam aquilo que é
necessário para o alcance dos objetivos.
No COSO I foram propostos cinco componentes para a condução dos controles internos e
no COSO II estes foram complementados e passaram a ser oito elementos considerados
para um controle interno efetivo.
Qual das opções abaixo apresenta os três elementos que foram acrescentados pelo COSO
II?
A) Avaliação de riscos, Resposta ao risco, Monitoramento.
B) Identificação de eventos, Resposta ao risco, Informação e Comunicação.
C) Ambiente Interno, Atividades de Controle, Monitoramento.
D) Fixação de Objetivos, Atividades de Controle, Informação e Comunicação.
E) Fixação de objetivos, Identificação de eventos, resposta ao risco.
NA PRÁTICA
Veja como Paulo, diretor de uma renomada empresa brasileira do ramo aliimnetício se reergueu
após passar por um momento complicado, em função de recentes escândalos envolvendo outras
empresas do mesmo segmento.
SAIBA MAIS
professor:
Através da leitura do link abaixo, você vai conhecer a aplicabilidade da metodologia

COSO em uma indústria
Este link traz um vídeo que apresenta o gerenciamento de risco através da metodologia
COSO, como evitar as perdas financeiras aplicando esta metodologia

Campos de aplicação da Gestão de Riscos
APRESENTAÇÃO
Os objetivos de uma organização podem ser afetados, de diversas maneiras, por fatores de riscos
que podem estar em qualquer área da empresa e que, caso sejam concretizados, poderão trazer
impactos negativos ou positivos. É o gerenciamento de riscos que, ao ser aplicado de forma
integrada na organização, abrangendo todas as suas áreas, configura uma importante ferramenta
de auxílio à governança na busca pela obtenção das metas e objetivos organizacionais.
Nesta Unidade de Aprendizagem, você vai estudar a aplicação da gestão e a categorização de

riscos, bem como importância da comunicação e da conformidade no gerenciamento destes.
Bons estudos.
• Identificar a aplicação da gestão de riscos.

• Reconhecer a categorização dos riscos.
• Descrever a importância da comunicação e da conformidade.
DESAFIO
O gerenciamento de riscos envolve as etapas de identificação, avaliação, tratamento,

monitoramento dos riscos, e comunicação. A categorização dos riscos está inserida na etapa de
identificação dos riscos, quando se definem os eventos internos e externos que poderão impactar
de alguma forma na obtenção dos objetivos estratégicos da organização, positiva ou
negativamente.
Leve em consideração os oito fatores de risco a seguir, e informe se o risco apresentado é

interno, externo, estratégico ou financeiro e justifique sua escolha.
INFOGRÁFICO
Durante a gestão de riscos, dois elementos são muito importantes: a comunicação e a

conformidade. Será possível fazer a identificação e a avaliação dos riscos de forma mais rápida,
objetiva e transparente se a comunicação for adequada e eficiente. Por outro lado, a organização
estará protegida da falta de capacidade ou de disciplina, à medida que cumprir a legislação e os
regulamentos internos e externos atinentes ao seu negócio.
Veja, no Infográfico a seguir, a ilustração sobre a importância da comunicação e da

conformidade.

CONTEÚDO DO LIVRO
Uma organização pode ter os seus objetivos afetados de várias formas, por fatores de risco que
podem estar relacionados a qualquer área ou departamento da empresa e que, se forem
concretizados, poderão trazer impactos negativos ou positivos. A aplicação do gerenciamento de
riscos de uma forma integrada na organização, através do envolvimento, do conhecimento e da
participação de todos os interessados, configura uma ferramenta que auxilia a governança,
visando à obtenção das metas e objetivos organizacionais.
No capítulo Campos de aplicação da gestão de risco, da obra Gerenciamento de riscos, você

verá que a gestão de riscos pode ser aplicada em qualquer tipo de organização, seja ela grande
ou pequena, independentemente do tipo de negócio desempenhado.
GERENCIMENTO
DE RISCOS
Jeanine dos Santos Barreto

Revisão técnica:
Gisele Lozada

SAGAH, 2018.
166 p. ; 22,5 cm
ISBN 978-85-9502-334-5

II. Título.
CDU 658.88

Campos de aplicação
da gestão de riscos
Identificar a aplicação da gestão de riscos.

Reconhecer a categorização dos riscos.
Descrever a importância da comunicação e da conformidade.
Introdução
Os objetivos de uma organização podem ser afetados de diversas manei-
ras, por fatores de riscos que podem estar em qualquer área da empresa
e, caso sejam concretizados, trazer impactos negativos ou positivos. O
gerenciamento de riscos, ao ser aplicado de forma integrada na orga-
nização, abrangendo todas as suas áreas, configura uma importante
ferramenta de auxílio à governança na busca pelo atingimento das metas
e dos objetivos organizacionais.
Neste capítulo, você irá estudar a aplicação da gestão de riscos, a
categorização dos riscos e a importância da comunicação e da confor-
midade no gerenciamento de riscos.
Aplicação da gestão de riscos

O atingimento dos objetivos das organizações pode ser afetado, de forma
negativa ou positiva, por uma infinidade de fatores de riscos. Esses objetivos,
geralmente se relacionam a todas as áreas da organização, envolvendo ativi-
dades e processos que vão desde a operação das rotinas operacionais até os
projetos e iniciativas estratégicas de gestão. Dessa forma, uma organização
que conhece seus fatores de risco, conhece profundamente o seu negócio,
assim como uma empresa que conhece o seu negócio aumenta as chances de
conhecimento dos seus riscos.
116 Campos de aplicação da gestão de riscos
Além disso, os objetivos de uma organização também podem trazer con-

sequências para a sociedade, o meio ambiente, a saúde e a segurança dos
empregados, o mercado de trabalho e, finalmente, para a sua própria imagem
e reputação da empresa perante clientes e concorrentes (INSTITUTO BRA-
SILEIRO DE GOVERNANÇA CORPORATIVA, 2007).
O gerenciamento de riscos é a ferramenta que tem a capacidade de iden-
tificar e gerir os mais diversos tipos de fatores de riscos, dando uma resposta
condizente a cada um deles, caso se concretizem. A abordagem integrada
dos fatores de risco, considerando todas as áreas da empresa, facilita muito
o trabalho da alta gestão, pois, uma vez que o processo de gerenciamento de
riscos seja sistemático, organizado e contínuo, o tratamento dos riscos poderá
ser feito em áreas totalmente diferentes ao mesmo tempo, a fim de produzir
resultados melhores e sem o esforço que seria necessário, caso o foco fosse
para uma área em particular.
Dentro de uma organização, normalmente o gerenciamento de riscos é
aplicado nas seguintes atividades (INSTITUTO BRASILEIRO DE GOVER-
NANÇA CORPORATIVA, 2007):
Estratégia: a gestão de riscos efetiva pode aumentar a capacidade de a

organização alcançar seus objetivos, gerenciando possíveis obstáculos
que possam impedir o sucesso de algum processo ou o atingimento de
alguma meta estratégica.
Governança e conformidade: durante muito tempo, as organizações
trabalharam seus riscos e seus processos para conformidade como
aspectos independentes, separados. Atualmente, o foco de atuação
organizacional está direcionado para a integração das áreas, unindo
técnicas de governança corporativa com a gestão dos riscos corporativos
e conformidade (compliance).
O termo compliance, muito utilizado no ambiente corporativo, é a tradução de con-

formidade, que em inglês vem do verbo to comply, que significa cumprir, executar,
satisfazer, realizar o que foi imposto.
O compliance envolve um conjunto de processos e atividades que servem para
garantir o cumprimento de todas as normas legais e regulamentares, a execução
de todas as políticas e diretrizes estabelecidas para o negócio e para as atividades
institucionais envolvidas e para identificar, tratar e, se possível, evitar qualquer desvio
ou inconformidade que possa acontecer.

Campos de aplicação da gestão de riscos 117
Ativos: a gestão de ativos baseada na gestão de riscos tem se mostrado

eficiente, não por diminuir ou eliminar os riscos, mas pelo fato de utilizar
os riscos para fazer o alinhamento entre o desempenho operacional de
todos os ativos e o custo do ciclo de vida de cada ativo.
Projetos: a gestão de riscos é um dos aspectos mais importantes do
gerenciamento de projetos, sendo considerada uma das áreas de co-
nhecimento em que um gerente de projetos precisa ter um profundo
conhecimento.
Processos: a gestão de riscos é importante na modelagem dos processos
de negócio, porque mesmo que todos eles estejam identificados, mapea-
dos e bem detalhados, existe a possibilidade de acontecerem problemas.
Saúde, segurança e meio ambiente: as empresas precisam identificar,
mitigar e tentar eliminar, de maneira rápida, eficiente e eficaz, todo e
qualquer evento negativo que possa acontecer, na tentativa de tornar
o ambiente de trabalho seguro e se manter em conformidade com os
padrões e as normas. O gerenciamento de riscos é a ferramenta que
pretende identificar as ameaças que oferecem impactos maiores e mais
críticos, separando-os daqueles que são menos graves.
Ambiente unificado: a gestão de riscos está em todas as áreas das
organizações, devido à atuação integrada que se busca atualmente.
Mesmo que cada organização utilize o gerenciamento de riscos ao seu
modo, os princípios seguidos são os mesmos, o que possibilita, inclusive,
que um gestor de riscos de uma empresa consiga realocação em uma
empresa concorrente com muita facilidade. A governança corporativa
moderna exige um ambiente em que todas as áreas utilizem a mesma
linguagem para se comunicar, para falar sobre seus riscos iminentes e
para compartilhar experiências entre as pessoas.
A globalização e a economia influenciam diretamente a forma como as

organizações executam suas atividades. As empresas, estejam elas estáveis ou
não, e operando com grandes ou pequenos riscos, passaram a realizar previsões
e projeções de situações, diante da instabilidade que seus fornecedores e seus
clientes enfrentam atualmente.
As organizações, portanto, precisaram fazer o gerenciamento de riscos, e
passaram a fazer isso de forma consciente e estruturada, ao implantar mode-
los organizacionais que façam a identificação, a priorização e a elaboração
de medidas para os riscos concretizados, ou inconsciente e desestruturada,
quando executam o tratamento dos riscos à medida que eles ocorrem. Tratar
riscos de forma proativa e organizada demanda muito menos esforço e custo

do que o inverso.
O gerenciamento de riscos é uma atividade que tem importância e valor
estratégico para qualquer tipo de organização, das pequenas até as grandes. A
melhor forma de enfrentar os riscos ainda é concentrar os esforços de todos na
tentativa de identificar todos os fatores de riscos possíveis, realizando a gestão
preventivamente, antes que eles consigam afetar o negócio, principalmente se
o seu impacto for negativo. Apesar disso, você precisa entender que, mesmo
que o risco concretizado seja de impacto positivo, se não tiver sido elaborada
nenhuma resposta a ele, isso poderá representar a chance de perder todo e
qualquer benefício que poderia ter sido obtido (BRASIL, 2013).
Sem um gerenciamento de riscos, dificilmente uma empresa consegue
alcançar os seus objetivos, tanto globalmente como em qualquer uma de suas
áreas. A gestão de riscos atua como um fator profissionalizante na organização,
uma vez que, tanto os empregados como os gestores, passam a entender e a
estudar cada vez mais os processos em que estão inseridos, para que possam
descobrir possíveis falhas e diminuir ou eliminar perdas e prejuízos.
No mundo corporativo moderno, as empresas estão incluindo, em suas
estruturas organizacionais, departamentos e equipes para cuidar especifica-
mente do gerenciamento de riscos, que atuam em conjunto com todas as demais
áreas da empresa, em que o tratamento dos riscos também é desempenhado.
Cada área tem uma responsabilidade no gerenciamento de riscos, mas é o
departamento específico que faz a gestão geral. Normalmente, as empresas que
optam por não ter uma equipe dessas, contratam consultorias especializadas,
mas não deixam de fazer o gerenciamento de seus fatores de risco. Via de
regra, empresas maiores enfrentam riscos maiores e, por isso, precisam de
mais detalhamento, elaboração e sofisticação na sua gestão de riscos, o que
não acontece em empresas menores.
O papel dessas equipes é identificar os riscos; elaborar estratégias para
prevenir a concretização dos riscos negativos ou diminuir os seus impactos;
elaborar medidas para aproveitar ao máximo os riscos positivos ou aumentar
os ganhos decorrentes; executar as ações elaboradas e motivar os empregados
e todos os demais envolvidos a se esforçarem em prol do sucesso das respostas
aos riscos.
Outro papel importante da equipe de gerenciamento é o de avaliar cada
fator de risco e fazer a determinação sobre quais deles são críticos para o
negócio organizacional. Essa tarefa poderia ser executada pelas pessoas que
estão diretamente envolvidas nos processos, mas, muitas vezes, isso se torna
impossível, pois os empregados acabam desprezando o risco ou subestimando
o seu impacto, aspecto que é muito grave quando se trata de gestão de risco.
Nesse sentido, é sempre melhor que a equipe de gestão de risco utilize o
conhecimento de todos os envolvidos nos processos, mas faça suas avaliações
e controles de forma especializada, para que nenhum risco seja ignorado ou
desconsiderado.
Categorização dos riscos

A categorização dos riscos faz parte da etapa de identificação dos riscos,
quando são definidos os eventos externos e internos que poderão impactar no
atingimento dos objetivos estratégicos da organização, de maneira negativa
ou positiva.
O gerenciamento de riscos envolve, normalmente, cinco fases, que se subdividem em

diversas etapas ou conjuntos de atividades, como você pode ver a seguir.
Identificação: quando se identificam e definem todos os fatores de risco, com um
nível de detalhamento mínimo. É a fase que compreende a categorização dos riscos.
Avaliação: quando é feita a análise de cada fator de risco quanto à probabilidade
de se concretizar e quanto ao impacto, negativo ou positivo, que pode causar.
Tratamento: quando se define uma resposta para cada um dos fatores de risco,
sendo a estratégia de aceitação ativa a mais utilizada.
Monitoramento: quando é feita a reavaliação dos fatores de risco e o monitora-
mento das respostas dadas a eles.
Comunicação: faz parte de todas as outras etapas e é fundamental para o processo
de tomada de decisões resultante da gestão de riscos.
Dentro da fase de identificação de riscos, mas antes da etapa de cate-

gorização, é feita a associação entre os objetivos estratégicos e o perfil de
riscos. É o conselho administrativo que deve definir o perfil de riscos da
organização, de forma que expresse a posição da alta gestão organizacional.
O perfil de riscos envolve (INSTITUTO BRASILEIRO DE GOVERNANÇA
CORPORATIVA, 2007):
apetite ao risco, ou seja, a quantidade de exposição ao risco que é

aceitável para a organização, enquanto busca atingir seus objetivos;
tolerância ao risco, que é o nível de variabilidade na realização de metas

e objetivos predefinidos aceitável pela organização.
Os objetivos estratégicos são aqueles que indicam de que forma a organização deverá
operar para agregar valor a todos os interessados no seu sucesso; eles estão diretamente
ligados ao perfil de riscos da organização.
A atividade de categorização dos riscos deve considerar dois elementos que

ocasionam um gerenciamento de riscos de sucesso ou não, são eles as pessoas
e a reputação. Normalmente, as pessoas são consideradas causas e a reputação
é considerada uma consequência do resultado do gerenciamento de riscos.
Os riscos associados às pessoas, normalmente, se apresentam em todos
os fatores de riscos. Eles vão desde falhas na comunicação, que podem trazer
prejuízos por serem uma ameaça, até a eficiência na execução das atividades,
que podem trazer inúmeros benefícios por serem uma oportunidade.
Já os riscos associados à reputação da organização, ou a sua imagem, não
configuram um tipo de risco especificamente, mas uma consequência de um
gerenciamento de riscos mal feito, que acontece quando o erro se torna público.
Não existe um padrão de classificação de riscos para ser aplicado em
todas as organizações. A categorização deve ser realizada de acordo com as
especificidades de cada organização, considerando suas características, seu
ramo de atuação, o mercado, seus concorrentes, seus clientes, enfim, todos
os agentes ou elementos que podem representar fatores de riscos e que estão
ligados, de alguma forma, ao sucesso dos objetivos estratégicos.
O risco de faltar material em estoque é muito mais crítico para uma indústria, uma
farmácia ou uma loja de confecções do que para um banco, por exemplo. Em con-
trapartida, juros baixos para investimentos, juros altos para financiamentos e crise
econômica são fatores de risco mais críticos para bancos do que para uma indústria,
uma farmácia ou uma loja de confecções.
Uma das formas mais comuns de fazer a categorização dos fatores de risco
considera a origem dos eventos ou a natureza dos riscos, conforme segue
(INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2007):
Origem dos eventos: é importante determinar de onde pode vir um evento,
para que a tomada de decisão em relação ao risco seja facilitada. A origem
dos eventos pode ser:
Riscos internos: envolvem os eventos que são originados dentro da pró-
pria estrutura da organização, como consequência de seus processos, seus
funcionários, da tecnologia disponível, entre outros fatores. Nesse caso, a
organização tem o dever de agir diretamente, de forma rápida e proativa.
Riscos externos: envolvem os eventos que acontecem fora do contexto or-
ganizacional, normalmente associados à política, economia, sociedade, cultura
e setor ou mercado no qual a empresa opera. Nesse caso, a organização não
consegue intervir de maneira direta, não consegue evitar os acontecimentos,
nem tampouco diminuir o seu impacto. A solução, então, é se preparar para
agir de forma reativa, à medida que os acontecimentos se concretizarem. Isso
não significa que os riscos externos não podem ser gerenciados, mas é preciso
que a organização esteja preparada para reagir e enfrentá-los.
Natureza dos riscos: é importante classificar a natureza de cada risco,
pois isso permite que todos os fatores de risco sejam organizados em área ou
nível organizacional ao qual pertencem. Os fatores de riscos podem pertencer
a uma categoria somente, ou a mais de uma, conforme segue:
Riscos estratégicos: estão associados às decisões tomadas pela alta

administração da organização, que podem gerar perdas ou prejuízos
substanciais. Muitas vezes, os riscos que decorrem de uma gestão ruim
resultam em fraudes nos demonstrativos financeiros, a fim de encobrir
os problemas.
Riscos operacionais: estão associados às perdas provenientes de pro-
cessos internos com falhas, funcionários sem a competência ou preparo
necessários, sistemas de informática não confiáveis e, também, a eventos
externos, como catástrofes naturais e greves de fornecedores. Em geral,
esse tipo de risco leva à interrupção parcial ou total das atividades de
uma ou várias áreas da empresa, trazendo inclusive impacto negativo na
sua imagem perante à sociedade, além de ocasionar possíveis passivos
ambientais, contratuais e regulatórios.
Riscos financeiros: estão associados às operações financeiras da organi-
zação, com o risco de que o fluxo de caixa não seja administrado de forma
adequada. Podem ocasionar o endividamento excessivo da organização.
Importância da comunicação e da conformidade

No gerenciamento de riscos, a comunicação é um dos elementos mais im-
portantes. Quando a comunicação é adequada e eficiente, e acontece entre
todas as partes interessadas dos ambientes interno e externo da organização,
a avaliação dos riscos é feita de forma mais rápida, objetiva e transparente. O
conteúdo a ser comunicado com os ambientes interno e externo à organização
vai refletir as políticas, a cultura e as atitudes que são valorizadas pela admi-
nistração organizacional (INSTITUTO BRASILEIRO DE GOVERNANÇA
CORPORATIVA, 2007).
A comunicação, apesar de ser considerada uma fase do gerenciamento de
riscos, não acontece como um estágio separado das demais fases, pois ela deve
estar presente de forma contínua, durante todo o processo de gerenciamento
de riscos.
O gerenciamento de riscos que conta com uma comunicação eficiente, au-
xilia a reduzir a probabilidade de a gestão da organização tomar conhecimento
de um risco somente depois que ele se concretizar e a crise estiver instalada.
No processo de comunicação, deve-se ter a certeza de que a metodologia
e os processos que estão sendo utilizados para o gerenciamento de riscos
serão veiculados para todos os interessados, bem como as funções e as res-
ponsabilidades de cada integrante da equipe de gestão de riscos. Além desses,
existem alguns elementos da gestão de riscos que dependem diretamente da
comunicação (BRASIL, 2013):
entendimento acerca da definição do que é risco para a organização;

identificação de novos riscos;
entendimento acerca dos objetivos da organização por meio da gestão
de riscos;
qual é o apetite e qual é a tolerância a riscos da organização;
necessidade de controlar as mudanças nos fatores de riscos;
entendimento sobre os riscos prioritários para a organização;
entendimento sobre o nível da urgência com a qual os riscos devem
ser tratados;
entendimento sobre a resposta ao tratamento que deve ser esperada de
cada fator de risco;
identificação e compartilhamento das lições aprendidas com o geren-
ciamento de riscos, a fim de que a organização aprenda com elas e
não repita erros;
entendimento sobre o vocabulário ou linguagem comum que será usada

pela organização quando o assunto for riscos.
O vocabulário comum sobre os riscos servirá para tornar a terminologia

e a linguagem uniforme, o que vai permitir (INSTITUTO BRASILEIRO DE
GOVERNANÇA CORPORATIVA, 2007), que os mesmos relatórios sejam
direcionados para diferentes níveis de gestão; e que exista um canal claro e
transparente de comunicação entre todos, nas duas vias.
Embora seja muito difícil chegar a um consenso sobre alguns aspectos do
contexto de riscos ou gerenciamento de riscos, principalmente sobre o que
deve ser considerado um risco ou não, e, ainda, se o risco é de grande impacto
ou não, a comunicação vai possibilitar que sejam diminuídos ou eliminados
os mal-entendidos e a sensação de desconfiança entre as partes envolvidas.
Com relação à comunicação com o ambiente externo, uma comunicação
objetiva, direta e transparente sobre a metodologia utilizada para o geren-
ciamento de riscos adotados pela organização sempre é bem-vinda, mesmo
quando ela se trata apenas de uma obrigação legal para que a empresa entre
em conformidade com algum regulamento ou legislação.
É muito importante que sejam elaborados procedimentos que consigam
estimular a comunicação de falhas, desvios e erros concretos, além de sus-
peitas de fraudes e violações de códigos de conduta e ética da organização
por todos os colaboradores. O somatório de pequenos erros que possam ser
desconsiderados pela empresa pode acarretar em prejuízos graves para toda
a organização e suas partes interessadas.
A conformidade, ou compliance, se traduz no dever de cumprir e estar em
conformidade com todos os regulamentos externos e internos que possam ser
impostos à organização em decorrência das suas atividades. Conformidade
é o aspecto do gerenciamento de riscos que protege a organização da falta de
capacidade ou de disciplina, no sentido de cumprir o que estiver estabelecido
pela legislação, ou por qualquer outro tipo de regulamentação acerca do negócio
da organização e, ainda, das normas e procedimentos internos (INSTITUTO
BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2007).
É importante lembrar que, mesmo que a organização cumpra todas as
normas que estão estabelecidas pela legislação e pelos regulamentos externos
e internos, suas ações poderão causar impactos negativos para os fornecedo-
res, clientes, acionistas, sociedade e empregados, o que pode gerar risco de
reputação e imagem, com graves prejuízos para a organização como um todo.
Como a conformidade também inclui a obediência aos procedimentos
e às regras internas da organização, ela é mais ampla do que simplesmente
dizer que a organização deve cumprir com as leis tributárias, trabalhistas,

ou fiscais, pois ela deve cumprir aquilo que ela mesma estabeleceu, em seus
manuais de ética e conduta e no seu acordo trabalhista, por exemplo. Observe
o esquema da Figura 1.
Figura 1. Esquema dos itens envolvidos na conformidade.

Fonte: G.Lab (2017).
Mesmo incluindo regulamentação interna, a conformidade não pode ser

confundida com o processo de auditoria interna. O processo de conformi-
dade deve ser contínuo e permanente, deve ser uma prática de rotina para
a organização, servindo para garantir que as várias áreas da organização
estejam cumprindo as normas internas e externas para prevenir e controlar
os riscos envolvidos em cada uma das atividades que compõem os processos
organizacionais. A conformidade deve fazer parte da empresa, ao passo que
a auditoria interna deve avaliar a empresa, logo, a conformidade é um dos
objetos que serão auditados durante uma auditoria interna.
A conformidade precisa ser entendida como um entre tantos controles que
uma organização deve ter, que serve para mitigar os riscos relacionados à
falta de cumprimento das normas, os chamados riscos de não conformidade.
A conformidade está ligada aos padrões mínimos aceitáveis para o compor-
tamento da empresa, nos seus ambientes interno e externo, que se traduzem
no comprometimento com padrões de boa administração, melhores práticas
trabalhistas e comportamento ético para com todos os envolvidos, entre outros.

G.LAB. Gestão de risco e compliance fazem a diferença. Época Negócios, São Paulo,
jun. 2017. Disponível em: <http://epocanegocios.globo.com/Publicidade/Petrobras/
noticia/2017/06/gestao-de-risco-e-compliance-fazem-diferenca.html>. Acesso em:
31 jan. 2018.
Leitura recomendada
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Uma base para o desenvolvimento
de estratégias de aprendizagem para a gestão de riscos no serviço público. Brasília, DF:
ENAP, 2003.
DICA DO PROFESSOR
A categorização dos riscos é uma atividade que está inserida dentro da etapa de identificação
dos riscos organizacionais, quando são definidos aqueles eventos internos e externos que
poderão impactar de alguma forma na obtenção dos objetivos estratégicos da organização,
negativa ou positivamente.
Nesta Dica do Professor, você vai aprender sobre a categorização dos riscos.
EXERCÍCIOS
1) Assinale a alternativa que indica onde o gerenciamento de riscos pode ser aplicado
nas organizações.
A) Pode ser aplicado em todas as áreas das organizações, principalmente na estratégia, na

governança e conformidade, nos ativos, nos projetos, nos processos, no ambiente
unificado, na saúde, na segurança e no Meio Ambiente.
B) Apenas na área de estratégia e finanças, pois o gerenciamento de riscos envolve somente

estratégia, para não ter prejuízo.
C) Apenas nas área de recursos humanos e finanças, pois o gerenciamento de riscos quer
somente o envolvimento dos funcionários e o lucro.
D) Somente na área de governança, pois é a administração que responde pela gestão de riscos.
E) Somente na área operacional, pois são os erros dos funcionários que se tornam riscos para
a organização.
2) Por que é possível dizer que a gestão de riscos atua como fator profissionalizante
dentro de uma organização?
A) Porque os funcionários precisam ter, no mínimo, curso de graduação, depois que o

gerenciamento de riscos é implantado.
B) Porque só um funcionário com pós-graduação poderá assumir uma vaga na equipe de

gestão de riscos.
C) Porque os funcionários precisam fazer, em até 30 dias, todos os cursos de gestão de riscos
oferecidos pela empresa.
D) Porque somente os gestores precisarão estudar o negócio da empresa se quiserem fazer

parte da equipe de gestão de riscos.
E) Porque os empregados e os gestores precisam estudar para entender os processos dos quais
participam, a fim de poder levantar falhas e sugerir melhorias.
3) Assinale a alternativa que contém os elementos que compõem o perfil de riscos de

uma organização.
A) Apetite ao risco e tolerância ao risco.
B) Aversão ao risco e adaptabilidade ao risco.
C) Exposição ao risco e identificação dos riscos.
D) Gravidade dos riscos e importância definida para os riscos.
E) Impacto gerado pelo risco e probabilidade do risco se concretizar.

4) Quais os dois elementos principais que devem ser considerados durante a
categorização dos riscos?
A) Clientes e fornecedores.
B) Pessoas e reputação.
C) Globalização e legislação.
D) Concorrência e mercado.
E) Meio Ambiente e sociedade.
5) Assinale a alternativa que contém a definição de conformidade ou compliance.
A) Liberalidade que uma organização tem no cumprimento dos seus regulamentos internos.
B) Obrigatoriedade que uma organização tem para cumprir somente a constituição federal
vigente.
C) Dever que uma organização tem de cumprir o que a legislação e os regulamentos externos
e internos determinam, devido às suas atividades e ao seu negócio.
D) Poder que uma organização tem de elaborar seus regulamentos internos.
E) Dever que uma organização tem de cumprir somente a legislação trabalhista, para que seus
funcionários sintam-se satisfeitos em trabalhar.
NA PRÁTICA
Uma grande rede de lojas de vestuário feminino já tinha a prática de fazer o gerenciamento de
riscos, mas apenas na área estratégica da rede, e quem participava era somente a alta gestão.
Com o tempo, pôde-se perceber que houve perda de clientes, algumas lojas fecharam e a
concorrência acabou alargando sua participação no mercado.
Atualmente, contando com a participação de todos, a rede de lojas voltou a crescer . Ela está
conseguindo competir com seus concorrentes e seus clientes estão voltando, pois visualizam
valor agregado no seu relacionamento com a empresa. A área estratégica da empresa continua
colaborando como antes na gestão de riscos, mas, agora, os funcionários podem colaborar e
opinar, como é o caso daqueles que possuem contato direto com o cliente, informando ameaças
identificadas no seu relacionamento pré e pós-venda, e também oportunidades de atrair novos
clientes e negócios.
SAIBA MAIS
professor:
Neste vídeo, você vai conhecer os benefícios de adotar práticas que contribuem para uma
cultura organizacional ética.
Neste vídeo, o empresário William Cristian de Oliveira explica as principais etapas do

processo de implementação de estrutura de gerenciamento do risco operacional.
Compliance e sua influência na reputação das empresas

Abordagens da Norma AS/NZS –
4360:2004
APRESENTAÇÃO
A norma AS/NZS 4360 foi a primeira em âmbito mundial a abordar o tema gestão de riscos
empresariais. Sua proposta principal é a de processo estruturado e contínuo para o
gerenciamento dos mais diversos tipos de riscos, podendo ser utilizada por qualquer tipo de
organização, independentemente do tamanho e setor de atividade. A AS/NZS 4360:2004
enfatiza que a cultura da gestão de riscos deve ser inserida na filosofia, nas práticas e nos
processos de negócio da organização, em vez de ser vista ou praticada como uma atividade em
separado. Embora o conceito de risco seja frequentemente interpretado em termos de perigo ou
impacto negativo, a nova norma vê os riscos como a exposição às consequências da
incerteza ou como potenciais desvios do que foi planejado ou do que é esperado.
Nesta Unidade de Aprendizagem, você vai estudar a norma AS/NZS 4360:2004, sua estrutura e
seu processo de gestão de riscos, e também a política de gestão de riscos proposta pela norma.
Bons estudos.
• Definir a norma AS/NZS 4360.
• Descrever estrutura e processo de gestão de risco segundo a norma AS/NZS 4360.

• Definir a política de gestão de riscos proposta pela norma AS/NZS 4360.
DESAFIO
Para ser mais eficaz, a gestão de riscos deve tornar-se parte da rotina de uma organização, ser
internalizada na sua filosofia, nas práticas e nos processos de negócio, mais do que ser vista ou
praticada como uma atividade separada. Quando se atinge esse ponto, todos se envolvem na
gestão dos riscos. A norma AS/NZS 4360:2004 é uma das principais referências sobre a gestão
de risco e serviu de base para o desenvolvimento da ISO 31000 - Gestão de Riscos.
A empresa na qual você trabalha está implantando um programa para gerenciamento de riscos,
utilizando como base as orientações da norma AS/NZS 4360. Para isso, ofereceu um
treinamento aos seus gerentes, e você é um deles. Após concluído o treinamento, você recebeu a
missão de atuar como multiplicador dos conhecimentos adquiridos, compartilhando-os com os
integrantes de sua equipe.

Após o grupo ter chegado a um consenso, é, então, a sua vez. Para concluir a atividade e garantir
que todos tenham compreendido corretamente, você deve apresentar a tabela devidamente
preenchida, com as atividades adequadamente associadas às diferentes etapas componentes do
processo de gerenciamento de riscos.
INFOGRÁFICO
A AS/NZS 4360 possui a premissa de ser aplicável a qualquer situação de gerenciamento de

riscos em qualquer tipo de organização, sem se restringir a um segmento específico. Ela
apresenta um glossário com os principais termos empregados, uma visão geral do processo de
gerenciamento de riscos, um detalhamento do objetivo de cada etapa do processo e indicações
de como estabelecer um gerenciamento de riscos efetivo.
Este Infográfico apresenta o relacionamento entre os diferentes processos de gerenciamento de

riscos sugeridos pela norma.
Acompanhe.
CONTEÚDO DO LIVRO
A norma AS/NZS 4360:2004 estabelece sete etapas do processo de gestão de riscos, que são:
comunicação e consulta; estabelecer o contexto; identificar os riscos; analisar os riscos; avaliar
os riscos; tratar os riscos, e monitorar e revisar.
O contexto do gerenciamento de riscos deve estar alinhado com o ambiente de negócios da

organização, o qual deve ter sido estabelecido no planejamento estratégico. Entretanto, quando
do início dessa fase, pode ser que o contexto definido anteriormente no planejamento estratégico
necessite de ajustes. Na fase de estabelecer o contexto, o escopo, os objetivos, as metas e as
atividades de todo o processo são estabelecidos, inclusive os recursos necessários à sua
realização.
Na obra Gerenciamento de riscos, base teórica desta Unidade de Aprendizagem, leia o capítulo
Abordagens da norma AS/NZS 4360:2004, onde você verá com mais detalhes as etapas do
processo de gestão de riscos.
GERENCIAMENTO
DE RISCOS
Iraneide Azevedo
Revisão técnica:
Gisele Lozada

SAGAH, 2018.
166 p. ; 22,5 cm
ISBN 978-85-9502-334-5

II. Título.
CDU 658.88

Abordagens da Norma
AS/NZS nº 4.360/2004
Definir a Norma AS/NZS nº 4.360/2004.

Descrever estrutura e processo de gestão de risco segundo a Norma
AS/NZS nº 4.360/2004.
Definir a política de gestão de riscos proposta pela Norma AS/NZS
nº 4.360/2004.
Introdução
A Norma AS/NZS nº 4.360/2004 foi a primeira norma em âmbito mundial
a abordar o tema gestão de riscos empresariais. Sua proposta principal
é de processo estruturado e contínuo para o gerenciamento dos mais
diversos tipos de riscos, podendo ser utilizada por qualquer tipo de
organização, independentemente de tamanho e setor de atividade. Dá
muita ênfase ao fato de que a cultura da gestão de riscos deve neces-
sariamente pertencer à filosofia da organização, e que a alta gerência
é a responsável pelo seu estabelecimento e disseminação entre toda
a organização. Menciona que a gestão de riscos será mais eficiente e
eficaz se for integrada a outras atividades de gestão, garantindo melhores
resultados à organização.
Neste capítulo, você irá estudar a Norma AS/NZS nº 4.360/2004, sua
estrutura e processo de gestão de riscos e, também, a política de gestão
de riscos proposta pela norma.
Norma AS/NZS nº 4.360/2004

A Norma AS/NZS nº 4.360/2004 surgiu em 1995, correspondendo à primeira
norma em âmbito mundial referente à gestão do risco. Por ter sido idealizada
128 Abordagens da Norma AS/NZS nº 4.360/2004
por entidades da Austrália e da Nova Zelândia, recebeu a denominação de

Australia/New Zealand Risk Management (AS/NZS). Houveram complemen-
tações em seu contexto e a norma foi reeditada duas vezes, em 1999 (AS/NZS
nº 4.360/1999) e em 2004 (AS/NZS nº 4.360/2004). É considerada referência
na gestão de risco e se tornou um guia para a implementação do processo. Em
2009, serviu de base para a implementação da NBR ISO 31000 (TRIBUNAL
DE CONTAS DA UNIÃO, c2018).
A Norma AS/NZS nº 4.360/1995 tinha em sua proposta um método es-
truturado para o gerenciamento dos mais diversos tipos de riscos, sejam
eles relacionados à segurança, ao meio ambiente e à qualidade de produtos e
serviços, financeiros, de seguros, de políticas públicas, entre outros. A norma
conceituava gestão de riscos como a cultura, os processos e as estruturas
dirigidas à consolidação de oportunidades de melhoria e à gerência dos efeitos
negativos dos riscos de uma organização (LEITE, 2012).
Já a Norma AS/NZS nº 4.360/1999 enfatizava a necessidade de estabelecer
os contextos de gestão estratégica organizacional e de risco, bem como o
desenvolvimento de um conjunto de critérios para a avaliação de risco e para
a definição da estrutura, separando a atividade ou projeto em um conjunto de
elementos para auxiliar nas melhores decisões (LEITE, 2012).
Essa norma reconhecia que a implementação de qualquer projeto deve
ser influenciada pelas necessidades das organizações, considerando seus
objetivos específicos, produtos e serviços oferecidos, e as atividades e práticas
que concentra em sua rotina. Devido ao grande número de fontes de riscos e
áreas de impacto que circundam o ambiente corporativo, também reconhecia
a necessidade de identificar essas fontes de risco e essas áreas de impacto,
desenvolvendo uma lista genérica de riscos, concentrada em atividades de
identificação para os eles (LEITE, 2012).
A reedição da norma em 2004 incorporou todas as lições aprendidas com
a utilização da edição de 1999 e, também, a visão atualizada sobre a gestão
de riscos. Entre as principais mudanças abordadas em relação à edição de
1999 estão:
maior ênfase na importância de incorporar as práticas de gestão de

riscos à cultura e aos processos da organização;
maior ênfase na gestão dos ganhos potenciais e também das perdas
potenciais;
expansão e transformação dos exemplos indicativos em um novo manual.
Abordagens da Norma AS/NZS nº 4.360/2004 129
Assim, a AS/NZS nº 4.360/2004 ressalta que a cultura da gestão de riscos

deve ser inserida na filosofia, nas práticas e nos processos de negócio da
organização, em vez de ser vista ou praticada como uma atividade em sepa-
rado, ou seja, deve ser parte integrante de todo o processo da organização.
Embora o conceito de risco seja frequentemente interpretado em termos de
perigo ou impacto negativo, a nova norma vê os riscos como a exposição às
consequências da incerteza ou como potenciais desvios do que foi planejado
ou do que é esperado. A norma revisada dá ênfase especial ao fato de que
a gestão de riscos é um elemento essencial da boa governança corporativa
(LEITE, 2012).
Estrutura e processo de gestão de riscos

segundo a Norma AS/NZS nº 4.360/2004
Uma estrutura para gestão de riscos constitui-se em um conjunto de compo-
nentes que fornecem as bases e os arranjos organizacionais para elaboração,
implantação, monitoramento, análise crítica e melhoria contínua da gestão
de riscos por meio de toda a organização. Muito necessária para que se possa
identificar as potenciais oportunidades e as possíveis ameaças do ambiente
corporativo.
As bases ou fundamentos incluem a política, os objetivos, os mandatos e
o comprometimento para o gerenciamento de riscos, bem como os arranjos
organizacionais incluem planos, relacionamentos, responsabilidades, recursos,
processos e atividades. A estrutura segue um modelo PDCA com um impor-
tante acréscimo que é o chamado mandato e comprometimento, conforme
demonstrado na Figura 1 (FRANCO, 2017).
PDCA, do inglês Plan – Do – Check – Act, é um método iterativo de gestão de quatro

passos, utilizado para o controle e a melhoria contínua de processos e produtos. É
também conhecido como o círculo/ciclo/roda de Deming, ciclo de Shewhart, círculo/
ciclo de controle, ou PDSA, do inglês, Plan-Do-Study-Act.
Figura 1. Estrutura da gestão de risco.

Fonte: Franco (2017).
Mandato e comprometimento, a introdução da gestão de riscos e a garantia

de sua contínua eficácia, requerem comprometimento forte e sustentado, a ser
assumido pela administração da organização, bem como um planejamento
rigoroso e estratégico para obter esse comprometimento em todos os níveis.
Para isso, é necessário:
definir e aprovar a política de gestão de riscos;

assegurar que a cultura da organização e a política de gestão de riscos
estejam alinhadas;
definir indicadores de desempenho para a gestão de riscos que estejam
alinhados com os indicadores de desempenho da organização;
alinhar os objetivos da gestão de riscos com os objetivos e as estratégias
da organização;
assegurar a conformidade legal e regulatória;
atribuir responsabilidades nos níveis apropriados dentro da organização;
assegurar que os recursos necessários sejam alocados para a gestão
de riscos;
comunicar os benefícios da gestão de riscos a todas as partes interessadas;
assegurar que a estrutura para gerenciar riscos continue a ser apropriada.
Concepção da estrutura para gerenciar riscos é importante para avaliar

e compreender todos os contextos, tanto interno como da organização, uma
vez que podem influenciar significativamente a concepção da estrutura.
Entendimento da organização e seu contexto: contextos externo e interno

da organização.
Estabelecimento da política de gestão de riscos: estabelecer claramente
os objetivos e o comprometimento da organização em relação à gestão
de riscos.
Responsabilização: assegurar que haja responsabilização, autoridade
e competência apropriadas para gerenciar riscos.
Integração nos processos organizacionais: incorporar em todas as práticas
e processos da organização, de forma que seja pertinente, eficaz e eficiente.
Recursos: alocar recursos apropriados para a gestão de riscos.
Estabelecimento de mecanismos de comunicação e reporte internos:
estabelecer mecanismos de comunicação interna e reporte a fim de
apoiar e incentivar a responsabilização e a propriedade dos riscos.
Estabelecimento de mecanismos de comunicação e reporte externos:
desenvolver e implementar um plano sobre como se comunicar com as
partes externas interessadas.
Implementação da gestão de riscos compreende a implementação da

estrutura e do processo de gestão de riscos:
Implementação da estrutura para gerenciar riscos: definição de estraté-

gia, aplicação da política e processo de gestão de riscos aos processos,
atendimento aos requisitos legais e regulatórios, com informação e
comunicação às partes interessadas.
Implementação do processo de gestão de riscos: aplicação de plano de
gestão de riscos em todos os níveis e funções pertinentes da organização,
como parte integrante do processo.
Monitoramento e análise crítica da estrutura para assegurar que a gestão de

riscos seja eficaz e continue a apoiar o desempenho organizacional, é necessário:
medir o desempenho da gestão de riscos utilizando indicadores, que

devem ser analisados criticamente e de forma periódica para garantir
sua adequação;
medir periodicamente o progresso obtido, ou o desvio, em relação ao
plano de gestão de riscos;
analisar criticamente e de forma periódica se a política, o plano e a
estrutura da gestão de riscos ainda são apropriados, dado o contexto
externo e interno das organizações;
reportar sobre os riscos, sobre o progresso do plano de gestão de riscos

e como a política de gestão de riscos está sendo seguida;
analisar criticamente a eficácia da estrutura da gestão de riscos.
Melhoria contínua da estrutura, as decisões, baseadas nos resultados do

monitoramento e das análises críticas, devem propor melhorias na capacidade
de gerenciar riscos da organização e em sua cultura de gestão de riscos.
Para ser efetiva, a gestão de riscos, precisa do comprometimento da alta
administração, que é a responsável pelo estabelecimento do mandato, e do
suporte de todos os níveis gerenciais para a implementação do processo de
gestão e da melhoria contínua.
O processo de gestão de riscos segundo a Norma AS/NZS nº 4.360 (LEITE,
2012) tem a representação da Figura 2.
Figura 2. Interação entre os processos da Norma AS/NZS nº 4.360.

Fonte: Aldenucci, Spinosa e Favaretto (2009).
A estrutura proposta possui a premissa de ser aplicável em qualquer situ-

ação de gerenciamento de riscos para qualquer tipo de organização. Envolve
a aplicação sistemática de políticas, procedimentos e práticas de gestão nas
atividades a seguir, sendo que algumas são compostas por subatividades:
Comunicar e consultar: consiste no desenvolvimento de planos para que
os envolvidos e responsáveis pelo processo de gestão de riscos compreendam
claramente os fundamentos sobre os quais as decisões são tomadas. Assegura o
interesse das partes interessadas de que os riscos sejam identificados de forma
adequada, que diferentes pontos de vistas sejam observados, apoio ao plano
de tratamento de riscos e uma gestão de riscos eficaz ao longo do processo.
Estabelecer o contexto: estabelecimento dos objetivos da organização,
considerando os ambientes interno e externo, estabelecer o escopo e os critérios
de risco para o processo, bem como metas, responsabilidades e metodologias
necessárias. As principais tarefas envolvem, estratégia, organização, gestão
de riscos, desenvolvimento de critérios e definição da estrutura.
Identificar o risco: a etapa de identificação de riscos compreende iden-
tificar a fonte, os eventos e suas causas e consequências potenciais. O que
pode acontecer e como pode acontecer.
Analisar o risco: envolve a apreciação das causas e das fontes de risco,
suas consequências positivas e negativas e a probabilidade com que possam
ocorrer. Deve ser mensurada, de forma quantitativa ou qualitativa. Para isso,
é importante determinar a probabilidade, as consequências e estimar o nível
de risco.
Avaliar o risco: busca auxiliar na tomada de decisão, baseada na análise
feita anteriormente. Nessa etapa se faz a comparação entre o nível de risco
encontrado durante a análise com o definido pela empresa na etapa de esta-
belecimento do contexto e se estabelecem as prioridades.
Tratar do risco: definem-se as opções para modificar os riscos da em-
presa. A norma destaca que se pode optar por evitar o risco (descontinuar uma
determinada atividade), remover a fonte de risco, alterar a probabilidade de
ocorrência, alterar suas consequências, compartilhar o risco ou, ainda, reter
o risco. A escolha da opção de tratamento de risco deve considerar o custo
envolvido em cada ação.
Monitorar e revisar (analisar criticamente): por fim, a etapa de monito-
ramento e análise crítica é a que fornece as respostas ao processo de gestão de
riscos como um todo. Visa garantir o controle sobre todo o processo, analisando
todas as informações, mudanças, acontecimentos e gerando conhecimento por
meio de suas verificações. Os resultados desse processo devem ser registrados e
reportados de forma apropriada, a todos os envolvidos, interna e externamente.
A Norma AS/NZS nº 4.360/2004 é um dos modelos para gestão de riscos

mais conhecidos e implementados atualmente, junto a outros, como COSO
(Committee of Sponsoring Organizations of the Treadway Commission, 2007),
PMI (Project Management Institute, 2014) e ISO 31000 (Associação Brasileira
de Normas Técnicas, 2009). Apesar de possuírem e demonstrarem em seu
contexto conjuntos de etapas diferentes, as atividades que compõem suas
estruturas são muito semelhantes, conforme evidenciado no Quadro 1.
Quadro 1. Comparativo dos processos de gestão de riscos.
AS/NZS 4360 COSO PMI ISO 31000
Comunicação Ambiente interno Planejamento do Comunicação

e consulta gerenciamento e consulta
de riscos
Estabelecimento Fixação de Identificação Estabelecimento
do contexto objetivos dos riscos do contexto
Identificação Identificação Análise qualitativa Identificação
do risco de eventos de riscos do risco
Análise do risco Avaliação Análise quantitativa Análise do risco
de riscos de riscos
Avaliação do risco Resposta ao risco Planejamento de Avaliação do risco
respostas a riscos
Tratamento Atividades de Monitoramento e Tratamento
do risco controle controle de riscos do risco
Monitoramento Informação e Monitoramento
e análise crítica comunicação e análise crítica
Monitoramento
Fonte: Adaptado de Associação Brasileira de Normas Técnicas (2009), Committee of Sponsoring

Organizations of the Treadway Commission (2007), Leite (2012), Project Management Institute (2014).
Entre os principais modelos de processos de gestão de riscos apresentados

no Quadro 1, o PMI tem um foco maior na gestão de riscos de projetos, e o
COSO e a ISO 31000, assim como a Norma AS/NZS nº 4.360, tem o foco mais
direcionado para a gestão de riscos corporativos. Contudo, todos incentivam
o controle sistematizado e contínuo dos riscos como forma de alavancar o
atingimento de objetivos e a sustentabilidade.
Política de gestão de riscos proposta pela

Norma AS/NZS nº 4.360/2004
Outro aspecto muito importante a ser considerado na gestão de riscos é a
definição de uma política de gestão de riscos que estabeleça aquilo que deve
ser feito. Estabelecer uma política de gestão de riscos é responsabilidade da
alta administração e deve sintetizar todas as intenções e diretrizes gerais
relacionadas à gestão de riscos (FRANCO, 2017).
A implementação de programas de gestão de riscos que sejam eficazes em
todos os níveis depende, muito, de como a direção executiva da organização
trabalha o envolvimento do pessoal das áreas operacionais nos objetivos da
organização. A cultura da gestão de riscos precisa realmente tornar-se parte da
filosofia, dos objetivos e das práticas de toda a organização, devendo ser parte
integrante dos planos de negócios e programas de treinamento da empresa.
A organização deve tratar a implementação da gestão de riscos como
uma oportunidade de mudança cultural, que traz benefícios a todos. Devem
encorajar seus colaboradores para que tenham um comportamento adequado
no sentido de gerenciar riscos e aceitarem o desafio de administrar os seus
próprios riscos, além de estabelecer responsabilidade e autoridade clara e
definida para:
integrar a gestão de riscos aos processos da organização e garantir que

haja uma cultura apropriada;
administrar o processo de gestão de riscos dentro da estrutura
organizacional;
gerenciar as ameaças e as oportunidades específicas identificadas, bem
como implementar as ações de tratamento que podem ser gerenciados
por pessoal externo à organização.
A Norma AS/NZS nº 4.360/2004 enfatiza que a cultura da gestão de riscos

deve necessariamente ser inserida na filosofia, nas práticas e nos processos
de negócio da organização, e a diretoria ou os executivos seniores devem ser
os responsáveis pela sua inserção (LEITE, 2012). O caminho para isso é o
estabelecimento de uma política de gestão de risco.
A política de gestão de risco é um documento que aprova de que forma
será feita a abordagem para a gestão de riscos, uma vez que ela deve criar
ligações com as outras estratégias da empresa e estar incorporada às demais
políticas de gestão da organização.
As informações que devem fazer parte da política de gestão de riscos

de uma organização devem ser claras e objetivas, de acordo com a Norma
AS/NZS nº 4.360/2004. Para implementar uma política de gestão de risco a
organização deve:
a) abordar os objetivos e a base para o gerenciamento dos riscos;

b) estabelecer as relações entre a política e os planos estratégico e opera-
cional da organização;
c) avaliar a extensão ou gama de riscos que precisam ser gerenciados;
d) estabelecer diretrizes sobre o que deve ser considerado risco aceitável;
e) identificar quem são os responsáveis pelo gerenciamento dos riscos;
f) dar o suporte e conhecimento disponíveis para auxiliar os responsáveis
pelo gerenciamento dos riscos;
g) informar qual é o nível de documentação requerido;
h) definir quais serão os requisitos para monitorar e analisar criticamente
o desempenho organizacional em relação à política.
Além disso, deve-se considerar que, para o gerenciamento eficaz dos riscos,
é necessário aprovar o nível de recursos e a infraestrutura que será utilizada,
necessários para:
a) dar suporte e conhecimento aos responsáveis pelo gerenciamento dos

riscos, mesmo quando forem necessários fornecedores externos;
b) adquirir o conhecimento e as habilidades necessárias para gerenciar
os riscos;
c) incorporar o treinamento em gestão de riscos nos programas de desen-
volvimento do pessoal interno;
d) integrar os princípios da gestão de riscos aos procedimentos e às prá-
ticas existentes;
e) comunicar e dialogar com toda a organização sobre a gestão de riscos
e sobre a filosofia da empresa;
f) garantir que os sistemas de recompensas, reconhecimento e penalidades
do pessoal incluam a gestão de riscos;
g) garantir que os programas de análise crítica interna e de avaliação,
como o de auditorias internas, considerem, ao avaliar o desempenho,
a filosofia da organização em relação à gestão de riscos;
h) incorporar as questões de gestão de riscos no planejamento dos negócios;
i) coordenar a interface entre a gestão de riscos e a garantia da qualidade.
A gestão de riscos será mais eficaz se for integrada a outras atividades de

gestão. Segundo Leite (2012) há maior eficiência se as atividades de gestão
de riscos forem integradas para diferentes tipos de riscos que estão intima-
mente relacionados, ou diferentes tipos de atividades de gestão de riscos que
abrangem o mesmo risco. Havendo essa integração, provavelmente haverá
uma redução de custos. Nesse sentido, riscos de danos a pessoas, proprie-
dades ou ao meio ambiente envolvem comportamento humano e ambiente
físico, há, então, superposições importantes nos controles necessários para
gerenciar esses riscos.
A política de gestão de riscos deve ser sustentada e estimulada dentro da
organização. É função dos gerentes ter papel ativo na organização, dar poder
de decisão aos colaboradores e incentivá-los a gerenciar eficazmente os riscos,
reconhecendo, premiando e divulgando a boa gestão de riscos. Também devem
estimular o debate e a análise de resultados e, caso estes sejam inesperados,
permitir que se aprendam com os erros, em vez de punir.
Para uma gestão eficaz, os gerentes devem estar sempre sinalizando que a
gestão de riscos é dever de todos; que é parte integrante dos negócios e não um
trabalho extra ou uma carga adicional; que é um processo lógico e sistemático
e que deve se tornar a prática habitual na organização (LEITE, 2012).
Leite (2012) menciona, ainda, que a Norma AS/NZS nº 4.360/2004 deixa
algumas mensagens que são peças-chave para ajudar na sua integração à
política da organização:
Há riscos a serem gerenciados em todas as atividades.

Todos são responsáveis e devem gerenciar os riscos de suas atividades.
As pessoas devem ser estimuladas e apoiadas pelos seus líderes a ge-
renciar riscos.
A Norma AS/NZS nº 4.360/2004 fornece uma estrutura ou abordagem
sistemática para a tomada de decisões sobre como melhor gerenciar
os riscos.
Devem ser considerados os requisitos legais e os ambientes político,
social e econômico ao gerenciar riscos.
As ações para gerenciar riscos devem estar conectadas aos planejamen-
tos e processos operacionais existentes em todos os níveis.
Uma gestão de riscos eficaz depende de informação com qualidade.
1. Marque a alternativa correta processo formado por algumas

com relação à Norma AS/ etapas. Uma delas é focada no
NZS nº 4.360/2004. estabelecimento dos objetivos
a) Sua primeira edição foi da organização, considerando
feita em 2004 e houveram os ambientes interno e externo,
mais duas edições. escopo e critérios de risco
b) A última versão foi para o processo, bem como
publicada em 1999. metas, responsabilidades e
c) Foi idealizada no metodologias necessárias. Qual
Brasil, pela ABNT. das seguintes é esta etapa?
d) Pioneira a nível mundial no que a) Análise dos riscos.
diz respeito à gestão de risco, b) Comunicação e consulta.
a norma se tornou referência c) Identificação dos riscos.
no processo e se tornou um d) Monitoramento e análise crítica.
guia para implementação e) Estabelecimento do contexto.
de outras normas. 4. A Norma AS/NZS nº 4.360/2004
e) A ISO 31000 serviu de deixa algumas mensagens que
base para a construção são peças-chave para ajudar na
da AS/NZS. integração da norma à política da
2. No contexto da Norma AS/NZS nº organização. Qual das opções a
4.360/2004, é correto afirmar que: seguir é uma mensagem da norma?
a) recomenda que a gestão de a) Os riscos existem apenas
riscos seja praticada como uma em algumas atividades
atividade em separado das demais. organizacionais, geralmente
b) aconselha que a gestão de aquelas relacionadas à
riscos deve ser segregada atividade produtiva em si.
e independente da b) As ações para gerenciar riscos
filosofia da empresa. devem estar conectadas aos
c) vê os riscos como exposição planejamentos e processos
às consequências da incerteza operacionais existentes
ou como potenciais desvios do em todos os níveis.
que foi planejado ou esperado. c) Existe apenas um responsável
d) enfatiza que gestão de riscos por gerenciar os riscos de
e a governança corporativa todas as atividades.
devem ser independentes. d) As pessoas devem ser
e) considera que os riscos sempre estimuladas e apoiadas pelos
resultam em impacto negativo seus líderes a criar riscos.
ao que foi planejado ou e) Não há necessidade de
esperado pela organização. considerar os requisitos legais e
3. A Norma AS/NZS nº 4.360/2004 os ambientes político, social e
considera a gestão de riscos um econômico ao gerenciar riscos.
5. As informações que devem fazer c) deve estabelecer as relações

parte da política de gestão de riscos entre a política e os planos
de uma organização devem ser estratégicos da organização,
claras e objetivas, de acordo com a deixando os planos operacionais
Norma AS/NZS nº 4.360/2004. Assim, fora desse contexto.
para implementar uma política de d) precisa considerar todos
gestão de riscos, a organização: os riscos inaceitáveis e que
a) deve estabelecer as relações entre a organização só atingirá
a política e os planos estratégico seus objetivos se eliminar
e operacional da organização. totalmente os riscos.
b) não precisa necessariamente e) deve focar apenas nos
conhecer a extensão ou riscos, sem se preocupar
gama de riscos que precisam com quem será responsável
ser gerenciados. pelo seu gerenciamento.
ALDENUCCI, M. G.; SPINOSA, L. M.; FAVARETTO, F. Mapeando a norma de gerencia-

mento de riscos AS/NZS 4360 no PMBOK. In: ENCONTRO NACIONAL DE ENGENHARIA
DE PRODUÇÃO, 29., 2009, Salvador. Anais... Salvador: ENEGEP, 2009. Disponível em:
<http://www.abepro.org.br/biblioteca/enegep2009_TN_STP_098_663_13545.pdf>.
Acesso em: 31 jan. 2018.
Bem-vindo ao COSO. [S.l.]: COSO, c1985-2018. Disponível em: <https://translate.google.
com.br/translate?hl=pt-BR&sl=en&u=https://www.coso.org/&prev=search>. Acesso
em: 12 jan. 2018.
[S.l.]: PwC, 2007.
FRANCO, F. Governança e gestão de riscos em organizações públicas. Brasília, DF:
Mackenzie, 2017. Disponível em: <http://brasilia.mackenzie.br/apps/files/fpmb_
governanca_e_gestao_de_riscos_em_organizacoes_publicas_apostila.pdf>. Acesso
em: 12 jan. 2018.
LEITE, T. A. S. Gestão de riscos: diretrizes para implementação da AS/NZS 4360:2004.
[S.l.]: Biblioteca de Segurança, 2012.
PROJECT MANAGEMENT INSTITUTE. Sobre o PMI. Newtown Square: PMI, c2018. Dis-
ponível em: <https://brasil.pmi.org/brazil/AboutUS.aspx>. Acesso em: 30 jan. 2018.
TRIBUNAL DE CONTAS DA UNIÃO. Gestão de riscos: breve histórico da gestão de riscos.
Brasília, DF: TCU, c2018. Disponível em: <http://portal.tcu.gov.br/gestao-e-governanca/
gestao-de-riscos/o-que-e-gestao-de-riscos/breve-historico-da-gestao-de-riscos.
htm>. Acesso em: 30 jan. 2018.
Conteúdo:
DICA DO PROFESSOR
A AS/NZS 4360:2004 enfatiza que a cultura da gestão de riscos deve necessariamente ser
inserida na filosofia, nas práticas e nos processos de negócio da organização, e a diretoria ou os
executivos seniores devem ser os responsáveis pela sua inserção, e o caminho para isso é o
estabelecimento de uma política de gestão de riscos.
A política de gestão de riscos é um documento que aprova de que forma será feita a abordagem
para a gestão de riscos, uma vez que ela deve criar ligações com as outras estratégias da empresa
e estar incorporada às demais políticas de gestão da organização. Ela deve ser sustentada e
estimulada dentro da organização. É função dos gerentes, tendo papel ativo na organização, dar
poder de decisão aos colaboradores e incentivá-los a gerenciar eficazmente os riscos,
reconhecendo, premiando e divulgando a boa gestão de riscos. Também, devem estimular o
debate e a análise de resultados e, caso estes sejam inesperados, permitir que se aprendam com
os erros, ao invés de punir.
Na Dica do Professor, você verá tópicos para uma política de gestão de riscos da norma
AS/ZNS 4360.
Assista.
EXERCÍCIOS
1) Marque a alternativa correta com relação à norma AS/NZS 4360:
A) Sua primeira edição foi feita em 2004, e houve ainda duas edições da norma.
B) A última versão foi publicada em 1999.
C) Foi idealizada no Brasil, pela ABNT.

D) Pioneira a nível mundial, no que diz respeito à gestão de riscos, a norma tornou-se
referência no processo e um guia para implementação de outras normas.
E) A ISO 31000 serviu de base para a construção da AS/NZS.
2) No contexto da norma AS/NZS 4360:2004, é correto afirmar que ela:
A) recomenda que a gestão de riscos seja praticada como uma atividade em separado das
demais.
B) aconselha que a gestão de riscos deve ser segregada e independente da filosofia da

empresa.
C) vê os riscos como exposição às consequências da incerteza ou como potenciais desvios do

que foi planejado ou esperado.
D) enfatiza que gestão de riscos e governança corporativa devem ser independentes.
E) considera que os riscos sempre resultam em impacto negativo ao que foi planejado ou
esperado pela organização.
3) A norma AS/NZS 4360:2004 considera a gestão de riscos como um processo formado

por algumas etapas. Uma delas é focada no estabelecimento dos objetivos da
organização, considerando os ambientes interno e externo, escopo e critérios de risco
para o processo, bem como metas, responsabilidades e metodologias necessárias.
Qual seria essa etapa?
A) Análise dos riscos
B) Comunicação e consulta
C) Identificação dos riscos
D) Monitoramento e análise crítica
E) Estabelecimento do contexto
4) AS/NZS 4360:2004 deixa algumas mensagens que são peças-chave para ajudar na
integração da norma à política da organização. Qual das opções a seguir é mensagem
da norma?
A) Os riscos existem apenas em algumas atividades organizacionais, geralmente aquelas

relacionadas à atividade produtiva em si.
B) As ações para gerenciar riscos devem estar conectadas aos planejamentos e processos
operacionais existentes em todos os níveis.
C) Existe apenas um responsável, que deve gerenciar os riscos de todas as atividades.
D) As pessoas devem ser estimuladas e apoiadas pelos seus líderes a criar riscos.
E) Não há necessidade de considerar os requisitos legais e os ambientes político, social e

econômico, ao gerenciar riscos.
5) As informações que devem fazer parte da política de gestão de riscos de uma

organização devem ser claras e objetivas, de acordo com a AS/NZS 4360/2004. Assim,
para implementar uma política de gestão de riscos, a organização:
A) deve estabelecer as relações entre sua política e seus planos estratégico e operacional.
B) não precisa necessariamente conhecer a extensão ou gama de riscos que precisam ser
gerenciados.
C) deve estabelecer as relações entre sua política e seus planos estratégicos, deixando os
planos operacionais fora desse contexto.
D) precisa considerar todos os riscos como inaceitáveis e que ela só atingirá seus objetivos se
eliminá-los totalmente.
E) deve focar apenas nos riscos, sem se preocupar com quem será responsável pelo
gerenciamento dos mesmos.
NA PRÁTICA
A AS/NZS 4360 (Australian Standard for Risk Management) é uma norma australiana e
neozelandesa para gerenciamento de riscos. Foi elaborada pela Standards Austrália e Standards
New Zealand, por meio do comitê de gestão de riscos (OB-007). É uma norma genérica que
fornece orientações para gerenciamento de riscos de qualquer natureza. Sua principal
característica é avaliar os riscos com resultados positivos (ganhos potenciais) e os riscos com
resultados negativos para, dessa forma, fornecer uma visão única no gerenciamento de riscos.
Na prática, vamos acompanhar o Júlio, que verificou os riscos na especificação de proteção

individual (EPI) em uma marmoraria.
Acompanhe.
SAIBA MAIS
professor:
CONTROLES DE GESTÃO ATRELADOS AO GERENCIAMENTO DE RISCO.
Veja uma pesquisa que verificou as características dos estudos sobre controles de gestão
atrelados ao gerenciamento de risco: principais autores; autores e obras mais citados; redes de
coautoria; temas estudados; e estruturas padrões empregadas.
Estabelecimento de uma gestão de riscos eficaz
Conheça as a diretrizes para a implementação da AS/NZS 4360:2004.
Mapeando a norma de gerenciamento de riscos AS/NZS 4360 no PMBOK
Leia, neste artigo, uma pesquisa onde os aspectos críticos da norma AS/NZS 4360 foram
identificados e mapeados no PMBOK.

Gestão de riscos na administração
pública
APRESENTAÇÃO
O gerenciamento de riscos no setor público funciona da mesma forma que no setor privado:
visando a agregar valor à instituição por meio da diminuição ou eliminação de fatores de risco
negativo e do aproveitamento das oportunidades que surgirem (risco positivo).
Nesta Unidade de Aprendizagem, você vai estudar a definição de gestão de riscos na

Administração Pública e a relação entre a gestão de riscos e a governança e saber quais os
benefícios da gestão de riscos na Administração Pública.
Bons estudos.
• Definir o que é gestão de riscos na Administração Pública.
• Relacionar gestão de riscos e governança.
• Enumerar os benefícios da gestão de riscos na Administração Pública.
DESAFIO
Muitas técnicas foram criadas com o intuito de facilitar o processo de gerenciamento de riscos,
na tentativa de unificar sua utilização no setor privado e no setor público. Nesse sentido, a
maioria dos processos de gerenciamento de riscos nas organizações passa por cinco etapas
básicas: identificação, avaliação, tratamento, monitoramento e comunicação.
Você é um consultor contratado por um banco público para auxiliar na implementação de

um programa de gerenciamento de riscos. Por algum motivo, a equipe do banco está tendo
problemas com a fase de tratamento e pediu a sua ajuda para explicar as seguintes atividades:
eliminação, exploração e aceitação. Explique, de forma concisa, quando se deve utilizar cada
uma dessas atividades.
INFOGRÁFICO
A governança corporativa está presente nas instituições públicas e privadas, sendo

importante para ambos os setores, mas principalmente para o setor público, em razão da
importância da gestão, que trabalha em prol do bem público e do bem-estar da sociedade.
O Infográfico a seguir ilustra a relação entre gestão de riscos e governança. Confira.

CONTEÚDO DO LIVRO
O gerenciamento de riscos no setor público é utilizado com o propósito de agregar valor à

instituição, na tentativa de diminuir – ou, se possível, eliminar – fatores de risco negativo e
aproveitar as oportunidades que surgirem em decorrência de fatores de risco positivo. Os riscos
precisam ser gerenciados, monitorados e tratados nas instituições de todas as áreas, sempre
visando aquilo que é a essência do serviço público: o bem-estar da sociedade.
Acompanhe um trecho da obra Gerenciamento de riscos. Leia o capítulo Gestão de riscos na
Administração Pública, base teórica para esta Unidade de Aprendizagem, que explica a relação
entre a gestão de riscos e governança e explicita quais são os benefícios da gestão de riscos na
Administração Pública.
Boa leitura.
GERENCIAMENTO
DE RISCOS
Jeanine dos Santos

Barreto
Revisão técnica:
Gisele Lozada

SAGAH, 2018.
166 p. ; 22,5 cm
ISBN 978-85-9502-334-5

II. Título.
CDU 658.88

Gestão de riscos na
administração pública
Definir a gestão de riscos na administração pública.

Relacionar gestão de riscos e governança.
Identificar os benefícios da gestão de riscos na administração pública.
Introdução
O gerenciamento de riscos funciona, no setor público, da mesma forma
como no setor privado: visando agregar valor à instituição, por meio da
diminuição ou da eliminação de fatores de risco negativos e do aprovei-
tamento das oportunidades que surgirem, em decorrência de fatores
de risco positivo.
Neste capítulo, você irá estudar a definição de gestão de riscos na
administração pública, a relação entre a gestão de riscos e a governança
e os benefícios da gestão de riscos na administração pública.
Gestão de riscos na administração pública

No setor público, a gestão precisa de ferramentas que possam auxiliar na tomada
de decisões, da mesma forma que no setor privado. Aspectos como riscos
ambientais, de saúde, econômicos, ergonômicos e outros tantos precisam ser
gerenciados e controlados nas instituições de todas as áreas da administração
pública, uma vez que o bem-estar da sociedade é a essência do serviço público.
É necessário, portanto tomar decisões e usar medidas corretas com relação às
políticas e programas públicos, sendo fundamental adotar estratégicas efetivas
de gestão de riscos (MIRANDA, 2017).
142 Gestão de riscos na administração pública
A humanidade vive, desde sempre, cercada de riscos. Os riscos são essenciais para o
desenvolvimento do homem, pois, sem assumir riscos, não haveria inovação tecnológica
e desenvolvimento social, por exemplo.
Atualmente, o setor público se preocupa em melhorar continuamente a

entrega de seus serviços para a sociedade e, também, com a forma como os
bens públicos são administrados. Por conta disso, no setor público, a gestão de
riscos se preocupa com a qualidade do serviço público oferecido e em oferecer
políticas públicas que sirvam para atender ao bem-estar de todos.
A imprevisibilidade está presente nos processos de todas as áreas das
instituições, envolvendo pessoas, materiais, entregas e recursos financei-
ros. Por isso, o gerenciamento de riscos é fundamental na tentativa de ser
proativo em relação aos imprevistos. Nesse sentido, saber como lidar com a
concretização de um risco torna-se o principal aspecto da gestão de riscos na
administração pública.
O setor público trabalha com os riscos iminentes por meio de deveres, que
se tornam direitos para os cidadãos, como a educação, a saúde, a moradia e a
segurança. A tentativa da administração pública é gerir os riscos de forma que
se consiga diminuir os custos com atividades incertas, aumentando benefícios
oferecidos para a sociedade (MIRANDA, 2017).
Em quase todas as situações que acontecem na administração pública,
uma outra dificuldade se apresenta, além dos aspectos vitais com os quais o
servidor público trabalha, pois quando a equipe de gestão de riscos se depara
com um risco, muitas vezes a estratégia escolhida para o caso tem muito mais
conexão com fatores políticos do que com fatores técnicos.
Gestão de riscos na administração pública 143
Exemplos, no gerenciamento de riscos no setor público, de fatores políticos que se

sobressaem a fatores técnicos:
Gestores não capacitados: quando um empregado é nomeado para uma função
de chefia não tendo capacidade para tal; ou quando um gestor demonstra não
ter capacidade para continuar exercendo a função de chefia e, mesmo assim, não
é retirado da função.
Contratos que não podem ser encerrados: quando uma empresa vencedora
de licitação demonstrou não poder ter capacidade para cumprir o contrato
em diversas ocasiões, mas mesmo assim permanece como parceira, pois o
relacionamento criado não possibilita seu desligamento antes do término do
contrato.
Um dos fundamentos para o gerenciamento de riscos é que seja um processo

contínuo e sistemático, porque a adoção de uma gestão de riscos permanente
tende a melhorar os processos de tomada de decisão frente aos riscos para se
obter, consequentemente, melhores resultados.
Outra ideia básica é que haja a participação de todos os empregados da
instituição no programa de gestão de riscos, pois a participação de pessoas
de diferentes áreas garante uma visão global dos fatores de risco existentes
em cada lugar de trabalho. O envolvimento de todos favorece a tomada
de decisões estratégicas e pode contribuir para a realização dos objetivos
organizacionais.
Muitas técnicas e ferramentas foram criadas para facilitar o processo de
gerenciamento de riscos como um todo, inclusive na tentativa de unificar a sua
utilização, tanto pelo setor privado como para o setor público. Nesse sentido,
a maioria dos processos de gerenciamento de riscos organizacionais passam
pelas cinco etapas seguintes (ESCOLA NACIONAL DE ADMINISTRAÇÃO
PÚBLICA, 2003):
1. Identificar: a primeira fase de todo gerenciamento de riscos é a

identificação e a definição dos fatores de risco, com um mínimo de
detalhamento que sirva para as etapas posteriores. Existem algumas
técnicas para a coleta de informações de fatores riscos que podem ser
utilizadas individualmente ou quando se reúnem várias pessoas. Entre
elas, as mais conhecidas são:
■■ Brainstorming: consiste em uma reunião, com todas as pessoas interes-

sadas, mediada por um facilitador, que vai gerar uma lista de todos os
fatores de riscos elencados pelos participantes. Depois disso, os riscos
anotados são reunidos em categorias e definidos com mais detalhes.
■■ Técnica Delphi: consiste em uma reunião, com todas as pessoas
interessadas, mediada por um facilitador, em que a meta é conseguir
um consenso entre os participantes com relação à lista final de fatores
de risco. O facilitador faz várias rodadas de questionários escritos
entre os participantes, fala os fatores de risco elencados para todos,
sem dizer quem identificou cada um deles, e todos têm a chance
de rever seu pensamento até responder novamente ao questionário.
■■ Entrevista: os integrantes da equipe de gestão de riscos entrevis-
tam, de forma individual, todas as pessoas que podem colaborar
identificando fatores de riscos.
2. Avaliar: cada fator de risco deve ser avaliado quanto à probabilidade
de se concretizar e também quanto ao impacto que pode causar, caso
venha a acontecer.
3. Tratar: deve ser definida uma resposta para cada fator de risco, o
que exige da equipe de gestão de riscos conhecer profundamente os
riscos elencados. As estratégias mais conhecidas de respostas a riscos,
principalmente quando se tratam de riscos negativos ou ameaças, são:
■■ Eliminar: consiste na eliminação do fator de risco.
■■ Transferir: não elimina o fator de risco, mas transfere para terceiros
a responsabilidade pelo gerenciamento dele.
■■ Mitigar: consiste na redução da probabilidade de concretização ou
no volume do impacto negativo gerado pelo risco, até que se atinja
um limite aceitável pela organização.
■■ Aceitar: é adotada porque raramente é possível eliminar todas as
ameaças ou todos os fatores de risco, então a equipe de gestão de riscos
decide não fazer nenhuma alteração nos processos e ficar aguardando
a concretização do risco. A aceitação pode ser passiva, quando não
requer nenhuma outra ação além de documentar o fator de risco, ou
ativa, que é a mais provável e acontece quando se estabelece alguma
medida de contingência que será adotada caso o risco se concretize.
Já para os riscos positivos, as principais respostas são:
Explorar: procura eliminar a incerteza de a oportunidade não acontecer,

garantindo que ela aconteça;
Compartilhar: consiste em envolver um terceiro que tenha mais ca-

pacidade de explorar a oportunidade;
Melhorar: consiste em aumentar a probabilidade de concretização e/ou
os impactos positivos de uma oportunidade, identificando os principais
impulsionadores dela.
4. Monitorar: é fundamental que exista um processo de monitoramento
contínuo, reavaliando os fatores de risco e monitorando as respostas
dadas.
5. Comunicar: essa etapa não existe sozinha, ela deve acontecer em
conjunto com cada uma das etapas anteriores, pois é fundamental para o
processo de tomada de decisões que resulta da gestão efetiva de riscos.
Na Figura 1, você pode observar uma ilustração sobre este ciclo da gestão
de riscos.
Figura 1. Ciclo básico da gestão de riscos.

Fonte: Escola Nacional de Administração Pública (2003, p. 19).
O risco não significa necessariamente um prejuízo, um perigo ou algo ruim,

mas, certamente, significa incerteza, não saber o que acontecerá ao certo.
Essa percepção da incerteza e a vontade de entender como agir no momento

em que algo incerto se concretiza é o grande propósito do gerenciamento de
riscos atualmente, principalmente no setor público.
Quanto mais uma instituição souber responder à concretização dos riscos,
mais madura ela pode ser considerada. Nem sempre um risco se torna uma
ameaça, por vezes, ele pode ser uma oportunidade. Mesmo assim, sem saber o
que fazer diante da possibilidade de algo positivo, a chance será desperdiçada
e nada de bom acontecerá.
Gestão de riscos x governança

A governança está presente em organizações públicas e privadas, mas se mostra
ainda mais necessária no setor público, devido as suas características. No
setor privado, a pressão por resultados e o poder dos clientes fomentam a boa
gestão das organizações, ou seja, as empresas precisam ser competitivas para
lidar com concorrentes e atrair ou manter os clientes. Já no setor público, essas
questões são mais indiretas e a governança se constitui como um importante
mecanismo de incentivo à boa gestão. Dessa forma, como uma gestão efetiva
envolve o gerenciamento de riscos, você pode considerar que a governança
colabora para que a gestão de riscos seja mais eficiente e eficaz.
Acesse o link ou código a seguir para saber mais sobre

governança corporativa.
https://goo.gl/cDwgM5
O gerenciamento de riscos é parte fundamental da governança, e faz parte

das responsabilidades da alta administração das instituições. É o instrumento
de apoio à tomada de decisão que tem o propósito de melhorar o desempe-
nho da organização por meio da identificação de oportunidade de ganhos e
também da diminuição da probabilidade de concretização e do impacto de
riscos negativos, ultrapassando as barreiras das atividades desempenhadas de

forma regular pela administração pública (INSTITUTO BRASILEIRO DE
GOVERNANÇA CORPORATIVA, 2007).
As atividades da equipe de gestão de riscos devem favorecer a longevidade
da organização, que é um dos principais propósitos da governança e que
pretende atender aos objetivos estratégicos e estatutários. Para isso, é muito
importante que as instituições mantenham uma estrutura de governança
atuante, que ultrapasse as barreiras da formalidade e seja composta de pelo
menos um conselho administrativo, um conselho deliberativo e um conselho
consultivo, ou outra nomenclatura para os órgãos que a organização prefira
adotar.
Com relação ao gerenciamento de riscos, é fundamental que o conselho
administrativo tenha em mãos uma identificação prévia dos principais fa-
tores de risco aos quais a sociedade está exposta, a sua probabilidade de se
concretizar, o tamanho do impacto que vão gerar e, também, quais serão as
medidas e as ações adotadas para sua prevenção ou mitigação. De posse da
listagem de fatores de riscos que podem afetar o negócio da organização, é
essencial que se adote uma atitude proativa com relação aos fatores de risco e
à sua concretização iminente (ESCOLA NACIONAL DE ADMINISTRAÇÃO
PÚBLICA, 2003).
As diretrizes do modelo de gerenciamento de riscos devem ser estabele-
cidas pelo conselho administrativo, mas as ações devem ser tomadas pelos
gestores, a fim de possibilitar, da forma mais segura possível, o atingimento
das metas organizacionais.
É importante lembrar que a atividade de identificação de fatores de riscos
pode resultar também na identificação de oportunidades. Por esse motivo,
é preciso envolver nessa atividade pessoas capacitadas e com visão global
dos negócios institucionais, para que possam reconhecer, entre uma série
de fatores de riscos, aquelas ameaças que terão impacto negativo e poderão
acarretar prejuízos ou, também, as oportunidades, que terão impacto positivo
e poderão agregar valor, melhorar a imagem e beneficiar a instituição de
alguma forma.
Em vista disso, entende-se que a expressão que define o gerenciamento
de riscos é a antecipação. Uma das ferramentas mais conhecidas de auxílio à
gestão institucional para antever os problemas é o ciclo PDCA, palavra formada
pela inicial das palavras em inglês Plan, Do, Check e Act, que significam
Planejar, Fazer, Verificar e Agir, em português (PROJECT MANAGEMENT
INSTITUTE, 2014).
O ciclo PDCA, como você pode observar na Figura 2, é um método de

gestão iterativo, formado por quatro passos que são executados em forma de
ciclo. É utilizado para o controle e a melhoria dos processos institucionais,
mas também é largamente usado para o controle de riscos. Ele é iterativo,
porque se baseia na repetição que é aplicada de forma sucessiva nos processos,
buscando, a cada ciclo, uma melhoria continuada que garanta o alcance das
metas estipuladas e a sobrevivência da instituição.
Figura 2. Etapas do ciclo PDCA.

Fonte: TIME Consultoria (2017).
O PDCA pode ser utilizado em qualquer ramo de atividade, para qualquer

porte de instituição, desde que o desejo seja de melhorar a gestão dia após
dia. Com a sua aplicação, os processos da instituição tendem a se tornar mais
ágeis, mais claros e objetivos, e a entregar resultados de mais qualidade, mas
ele exige planejamento, padronização de procedimentos e documentação para
que funcione efetivamente. As etapas do PDCA são as apresentadas a seguir
(PROJECT MANAGEMENT INSTITUTE, 2014).
Planejar: é a etapa que traduz o gerenciamento de riscos. O planeja-

mento deve sempre vir antes de qualquer tipo de atividade de execução
para que seja possível se antecipar a erros, prevenir cenários negativos,
preparar-se para aproveitar oportunidades e elaborar respostas aos

fatores de risco que se concretizarem. O planejamento deve ser revisto
sempre que for identificada a concretização de um fator de risco, visando
analisar o cenário atual para poder antever situações novas.
Fazer: tomando como referência o planejamento que foi feito e as
possíveis consequências da execução de cada processo, nessa etapa as
atividades são executadas. Caso algum fator de risco se concretize, é
o momento de colocar em prática as respostas aos riscos, elaboradas
na fase do planejamento.
Verificar: um bom planejamento e uma execução perfeita de atividades
não garante o sucesso de um processo. Por isso, a ação de verificar é
muito importante, pois consiste no monitoramento das atividades, com
o objetivo de verificar sua conformidade com o que foi planejado e
executado. É nesse momento que se verifica se o resultado estipulado
conseguiu ser entregue, e se a resposta ao risco funcionou de forma
efetiva depois de aplicada.
Agir: envolve postura de proatividade e prevenção com relação às neces-
sidades de mudança quanto à forma de encarar os riscos concretizados,
para que se possa iniciar outro ciclo pelo planejamento.
Somente pela antecipação aos fatores de risco e o estabelecimento de

respostas para cada um deles é que será possível ter um gerenciamento de
riscos efetivo. O gerenciamento de riscos deve identificar e ter uma resposta
para cada evento que possa acontecer e que venha a afetar de alguma forma
os objetivos estratégicos ou a imagem da instituição.
Não há um padrão para a forma de implementar o gerenciamento de riscos
na administração pública, pois isso depende da área de atuação, do porte, das
especificidades e das características de cada instituição, cabendo à gestão
decidir a melhor maneira de efetivar a gestão de riscos. Essa liberalidade
precisa existir por não ser possível, por exemplo, obrigar uma instituição
de pequeno porte a gerir seus fatores de riscos da mesma forma que uma
instituição de grande porte.
O importante é que a instituição decida introduzir a prática de tratar seus
fatores de risco de forma crítica, aberta e transparente, fazendo a identificação,
o tratamento e estimando os impactos de maneira integrada entre todos os
componentes da instituição. O gerenciamento de riscos configura um processo
de implantação demorada, cujos resultados mais significativos demoram a
parecer, sendo necessário um esforço de aperfeiçoamento contínuo. Mesmo
assim, certamente ele trará muitos benefícios para a instituição depois de

efetivado.
Benefícios da gestão de riscos na administração

pública
O gerenciamento de riscos é parte integrante das boas práticas administrativas,
seja no setor privado, ou no setor público. Aprender a gerenciar os riscos de
forma eficiente e eficaz vai permitir que a instituição melhore os resultados
que apresenta, por meio da identificação, da análise e do monitoramento de
uma infinidade de fatores de riscos que podem trazer impactos negativos.
Para isso, os impactos negativos precisam ser evitados, controlados, ou até
mesmo transformados em oportunidades, o que vai favorecer o atingimento
dos objetivos e das metas institucionais.
A coragem de assumir e enfrentar os riscos é o que diferencia as organi-
zações, podendo levá-las ao sucesso ou, ao fracasso, dependendo do tipo de
resposta dada aos riscos concretizados. Os riscos podem e devem ser geridos
de forma a facilitar a tomada de decisão, com o propósito de cumprir prazos,
entregar resultados e alcançar os objetivos organizacionais (ESCOLA NA-
CIONAL DE ADMINISTRAÇÃO PÚBLICA, 2014).
A aplicação do gerenciamento de riscos nas instituições necessita da adoção
de um modelo de gerenciamento de riscos corporativos, possibilitando aos
gestores da instituição que trabalhem com a incerteza de modo eficiente e
eficaz, na tentativa de alinhar o desempenho esperado, o retorno obtido, e os
riscos associados a cada processo.
Executar o gerenciamento de riscos de maneira organizada e estruturada
servirá para motivar e envolver as pessoas, além de fornecer estímulo para
a identificação das melhores oportunidades para a melhoria contínua dos
processos, por meio da inovação, conseguida muitas vezes quando se enfrenta
um risco.
Além disso, servirá de auxílio para esclarecer incertezas pela utilização
de métodos sistêmicos para a identificação, avaliação, tratamento e moni-
toramento dos fatores de risco, sempre mantendo uma comunicação efetiva
entre todos os envolvidos.
A implantação de um modelo de gestão de riscos bem estruturado e sistema-
tizado vai trazer, como principais benefícios para a instituição, independente-
mente de seu porte, estrutura ou área de atuação (INSTITUTO BRASILEIRO
DE GOVERNANÇA CORPORATIVA, 2007):
preservação do valor atual e/ou aumento do valor da instituição, pela

redução da probabilidade de concretização e do impacto resultante de
eventos negativos, combinada com a diminuição dos custos resultantes
da falta da percepção de riscos;
promoção de maior transparência nas relações, por meio da comuni-
cação e da informação, a todos os interessados e, principalmente, à
sociedade, sobre os riscos aos quais a instituição está sujeita, quais as
medidas adotadas para a sua mitigação ou eliminação, e quais foram
os resultados da aplicação delas;
melhoria nos padrões de governança, por meio da divulgação do método
de gestão de riscos adotado, combinada com a cultura institucional;
uniformidade de conceitos em todos os níveis institucionais, da alta
gestão, passando pelos servidores administrativos, até os servidores
da operação.
Além dos benefícios diretos elencados, com a implantação de um geren-

ciamento de riscos institucionais é possível perceber vários outros aspectos
positivos para a organização como um todo (INSTITUTO BRASILEIRO DE
GOVERNANÇA CORPORATIVA, 2007):
desenho claro e objetivo dos processos que serão utilizados para fazer a
identificação, o monitoramento e a mitigação ou eliminação dos fatores
de riscos mais relevantes;
aperfeiçoamento das ferramentas ou controles internos utilizados para
fazer a medição, o monitoramento e a gestão dos fatores de riscos;
economia de recursos financeiros;
redução de surpresas vindas dos acontecimentos internos e externos
à instituição;
melhoria da comunicação e da relação entre todas as partes interessadas,
internas ou externas;
identificação e priorização dos riscos considerados mais relevantes;
definição de uma metodologia consistente para fazer a mensuração e
a priorização de todos os fatores de riscos identificados;
definição e implantação de um modelo de governança capaz de fazer
a gestão da exposição aos fatores de riscos, traçando processos ou
políticas internas e definindo responsáveis;
identificação das pessoas competentes para fazer a antecipação dos
riscos mais relevantes, com capacidade para executar a sua mitigação
depois de uma análise de custo-benefício;
melhoria do entendimento da posição da instituição em comparação

com as suas concorrentes do mesmo setor;
melhoria da imagem dos gestores perante os empregados;
aproveitamento das oportunidades decorrentes de riscos positivos;
melhoria em planejamento, desempenho, eficiência e eficácia dos re-
sultados apresentados pela instituição;
bem-estar de todos os envolvidos, desde os empregados até as pessoas
da sociedade, que vão usufruir dos bons serviços públicos prestados;
tomada de decisão baseada em informações consistentes e verdadeiras;
melhoria da imagem da instituição perante a sociedade;
promoção da transparência, para todas as partes interessadas, de todo
e qualquer fator de risco que possa valorizar ou prejudicar a instituição
de alguma forma.
O gerenciamento de riscos aumenta de forma considerável o controle de uma

instituição, o que aumenta a possibilidade de os objetivos institucionais serem
atingidos, de haver uma melhoria na execução das atividades dos processos
e na qualidade dos resultados oferecidos, e de existirem formas predefinidas
de mitigação de imprevistos e consequente prejuízo à sociedade, principal
cliente do setor público.
Apesar de todos os benefícios apresentados, como toda e qualquer atividade
de gestão que é adotada, pode haver aumento na carga laboral de servidores
que, porventura, já estejam sobrecarregados. A partir do momento em que
a instituição toma a gestão de riscos como uma obrigatoriedade, pode haver
também a necessidade de novas funções, novos cargos, novos departamentos,
novos níveis de hierarquia, gratificações por desempenho, divisão do trabalho
existente, redesenho de processos e muitos outros aspectos. Mesmo que o
gerenciamento de riscos traga alguns problemas por um lado, por outro, ele
trará benefícios que certamente terão um grande potencial para superar os
aspectos ruins.
Portanto, o gerenciamento de riscos institucionais é o processo que pre-
tende preservar e agregar valor a uma instituição. Ele contribui de maneira
fundamental para a realização dos seus objetivos estratégicos e, também,
para que as metas de desempenho sejam atingidas, indo além de um conjunto
de atividades, procedimentos ou políticas que devem simplesmente ser
executadas por obediência à legislação, prática comum das instituições do
setor público. Na verdade, é um instrumento que favorece a adaptação da
instituição aos preceitos legislativos e de regulação, que são fatores críticos
para a sua continuidade.
1. Quais as principais etapas 4. Assinale a alternativa que melhor

do gerenciamento de preenche a frase abaixo:
riscos organizacionais? Somente por meio _____ aos fatores
a) Identificação, avaliação, de risco e estabelecendo _____ para
tratamento, monitoramento, cada um deles é que será possível
probabilidade. ter _____ efetivo(a).
b) Identificação, avaliação, tratamento, a) da resposta; fatores; uma
monitoramento, comunicação. governança corporativa.
c) Identificação, avaliação, b) do tratamento; comunicações;
treinamento, monitoramento, um recrutamento de pessoal.
comunicação. c) da antecipação; respostas; um
d) Identificação, avaliação, gerenciamento de riscos.
tratamento, nivelamento, d) da identificação; matrizes;
comunicação. um ciclo PDCA.
e) Identificação, eliminação, e) da proatividade; governança;
tratamento, monitoramento, um monitoramento
comunicação. probabilidade versus risco.
2. Assinale a alternativa que contém os 5. Assinale a alternativa que
tipos mais conhecidos e utilizados contém benefícios da gestão
de respostas aos riscos negativos: de riscos no setor público:
a) Compartilhamento, a) Conceitos sobre riscos
transferência, mitigação. diferenciados por área; tomada
b) Aceitação, melhoria, eliminação. de decisão mais elaborada e,
c) Exploração, compartilhamento, por isso, mais demorada.
melhoria. b) Eliminação da necessidade de
d) Eliminação, compartilhamento, comunicação entre as áreas;
exploração. todos sabem os conceitos de
e) Eliminação, transferência, risco de maneira uniforme.
mitigação, aceitação. c) Desaparecimento da
3. Quais são as etapas do ciclo PDCA, probabilidade de riscos
uma das ferramentas mais conhecidas negativos; tomada de decisão
no auxílio da gestão institucional no rápida, por ter que decidir
sentido de antever os problemas? o que fazer quando o risco
a) Planejar, fazer, verificar, agir. ocorre, sem planejamento.
b) Prevenir, elaborar, d) Aumento da transparência e
monitorar, reagir. da comunicação entre todos;
c) Planejar, refazer, controlar, tomada de decisão mais assertiva.
comunicar. e) Desaparecimento do impacto
d) Preparar, entender, negativo das ameaças; diminuição
responder, motivar. da comunicação entre os
e) Identificar, planejar, níveis hierárquicos; redução
tratar, comunicar. do nível de comunicação.
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Gerência de projetos: teoria e

prática. Brasília, DF: ENAP, 2014.
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA. Uma base para o desenvolvimento
de estratégias de aprendizagem para a gestão de riscos no serviço público. Brasília, DF:
ENAP, 2003.
MIRANDA, R. F. Implementando a gestão de riscos no setor público. Belo Horizonte:
Fórum, 2017.
TIME CONSULTORIA. Conceito do ciclo PDCA. [S.l.], 2017. Disponível em: <http://www.
timerh.com.br/blog/conceito-do-ciclo-pdca/>. Acesso em: 17 jan. 2018.
Conteúdo:
DICA DO PROFESSOR
Um gerenciamento efetivo de riscos permite que a instituição melhore os seus resultados e

preserve o seu valor e a sua imagem, além de ter muitos outros benefícios. Assim, ela
diminui os prejuízos à sociedade, que é o cliente do serviço público.
No vídeo a seguir, você vai conhecer os benefícios da gestão de riscos na Administração

Pública. Assista.
EXERCÍCIOS
1) Quais as principais etapas do gerenciamento de riscos organizacionais?
A) Identificação, avaliação, tratamento, monitoramento e probabilidade.
B) Identificação, avaliação, tratamento, monitoramento e comunicação.
C) Identificação, avaliação, treinamento, monitoramento e comunicação.
D) Identificação, avaliação, tratamento, nivelamento e comunicação.
E) Identificação, eliminação, tratamento, monitoramento e comunicação.
2) Assinale a alternativa que contém os tipos mais conhecidos e utilizados de respostas

aos riscos negativos.
A) Compartilhamento, transferência e mitigação.

B) Aceitação, melhoria e eliminação.
C) Exploração, compartilhamento e melhoria.
D) Eliminação, compartilhamento e exploração.
E) Eliminação, transferência, mitigação e aceitação.
3) Quais são as etapas do ciclo PDCA, uma das ferramentas mais conhecidas no auxílio
da gestão institucional no sentido de antever os problemas?
A) Planejar, fazer, verificar e agir.
B) Prevenir, elaborar, monitorar e reagir.
C) Planejar, refazer, controlar e comunicar.
D) Preparar, entender, responder e motivar.
E) Identificar, planejar, tratar e comunicar.
4) Assinale a alternativa que melhor completa as lacunas: "Somente por meio _____ aos
fatores de risco e estabelecendo _____ para cada um deles é que será possível ter um
gerenciamento de riscos efetivo".
A) da resposta; fatores.
B) do tratamento; comunicações.
C) da antecipação; respostas.
D) da identificação; matrizes.
E) da proatividade; governança.
5) Assinale a alternativa que contém um benefício da gestão de riscos no setor público.
A) Tomada de decisão mais elaborada e, por isso, mais demorada.
B) Eliminação da necessidade de comunicação entre as áreas.
C) Desaparecimento da probabilidade de riscos negativos.
D) Aumento da transparência e da comunicação entre todos.
E) Desaparecimento do impacto negativo das ameaças.
NA PRÁTICA
Pode-se pensar, erroneamente, que um município pequeno não tem necessidade de

gerenciamento de riscos. Errado. O porte do município não é motivo para não colocar a
gestão de riscos em prática, pois qualquer prefeitura, grande ou pequena, pode se beneficiar
dela.
Veja a seguir uma situação prática dos benefícios da gestão de riscos na Administração Pública.
SAIBA MAIS
professor:
CGU e Planejamento destacam avanços da Gestão de Riscos no Governo Federal
Leia a notícia a seguir para saber mais sobre a gestão de riscos no governo federal brasileiro.
Ministério da Transparência institui Política de Gestão de Riscos
Leia a matéria a seguir para saber mais sobre a política de gestão de riscos implementada pelo
Ministério da Transparência.
Governança, Gestão de Riscos e Conformidade: PETROBRAS e ELETROBRAS, antes e

depois da operação lava jato
Leia a tese de mestrado a seguir para conhecer as mudanças ocorridas na gestão de riscos da
Petrobras e da Eletrobras após a Operação Lava Jato.

ISO 31000
APRESENTAÇÃO
A Norma Brasileira ABNT NBR ISO 31000, publicada em 2009, veio para fornecer princípios
e diretrizes genéricas para auxiliar as organizações na gestão de riscos. Ao contrário de
outras normas, essa é uma norma de gestão, não sendo destinada a nenhum tipo de certificação.
A NBR ISO 31000 segue a mesma lógica da AS/NZS 4360, não definindo um modelo de
sistema de gestão de riscos, e sim os elementos do processo de gerenciamento de riscos. A ISO
31000 não é específica para nenhum ramo ou atividade, podendo ser utilizada por qualquer tipo
de organização, aplicada para qualquer tipo de risco e servir de base de consulta ao longo da
vida da organização, norteando a estruturação de estratégias, decisões, processos, entre outras
atividades, que devem ser elaboradas de acordo com as particularidades de cada organização.
Nesta Unidade de Aprendizagem, você irá estudar os termos, definições, princípios e estrutura
do processo de gestão de riscos, segundo a ISO 31000.
Bons estudos.
• Enumerar os termos e definições da ISO 31000.
• Listar os princípios da ISO 31000.

• Discutir a estrutura do processo de gestão de riscos segundo a ISO 31000.
DESAFIO
A ISO 31000 oferece orientações genéricas para a gestão de riscos, determinando princípios, um
framework de trabalho e um processo para a gestão dos diversos tipos de risco, em todas as
organizações. Ela não obriga a utilização de uma abordagem única e rígida, mas enfatiza a
aplicação dos princípios e instruções dentro da estrutura e as necessidades específicas da
organização.
Todas as atividades de uma organização envolvem riscos, e todas as organizações estão
enfrentando uma série de riscos que podem afetar o alcance dos seus objetivos. A gestão de
riscos auxilia a tomada de decisão, identificando as incertezas e seus efeitos frente aos objetivos,
avaliando a necessidade de ações de mitigação e tratamento.
Imagine que você é o gerente de uma empresa e deseja implementar a gestão de riscos, mas para
isso precisa convencer o dono da empresa, por meio de um relatório elencando os seguintes
pontos:
A. Liste os princípios propostos pela ISO 31000 e explique rapidamente cada um deles.
B. Sinalize aqueles que julga o(s) mais apropriado(s) para utilizar como argumento(s) de
convencimento para o dono da empresa. Justifique a sua escolha.
INFOGRÁFICO
A NBR ISO 31000 define a estrutura da gestão de riscos como um conjunto de componentes
que fornece os fundamentos e os arranjos organizacionais para a concepção, implementação,
monitoramento, análise crítica e melhoria contínua da gestão de riscos em toda a organização.
Os fundamentos incluem a política, os objetivos, os mandatos e o comprometimento para o
gerenciamento de riscos. Os arranjos organizacionais incluem os planos, relacionamentos,
responsabilidades, recursos, processos e atividades. A estrutura segue um modelo PDCA
(método iterativo de gestão de quatro passos), com um importante acréscimo: o chamado
mandato e comprometimento. No Infográfico a seguir, você verá a estrutura da gestão de riscos
proposta na Norma NBR ISO 31000. Confira!
CONTEÚDO DO LIVRO
A ISO 31000 foi elaborada a partir da necessidade de aprimorar e estabelecer uma padronização
na terminologia e conceitos utilizados em gestão de riscos pelas organizações, sendo baseada na
primeira norma mundial que abordou o tema gestão de riscos empresariais, a norma AS/NZS
4360:2004. O intuito da norma é atender às necessidades de uma ampla gama de partes
interessadas, com a finalidade de assegurar o correto gerenciamento dos riscos. Sendo assim,
vamos começar relacionando os principais termos e definições utilizados na norma.
Acompanhe mais sobre essa abordagem no capítulo ISO 31000, do livro Gerenciamento de
Riscos.
Boa leitura.
GERENCIAMENTO
DE RISCOS
Simone Fraporti
Revisão técnica:
Gisele Lozada

SAGAH, 2018.
166 p. ; 22,5 cm
ISBN 978-85-9502-334-5

II. Título.
CDU 658.88

ISO 31000
Identificar os termos e as definições da ISO 31000.

Listar os princípios da ISO 31000.
Discutir a estrutura do processo de gestão de riscos segundo a ISO
31000.
Introdução
A Norma Brasileira da Associação Brasileira de Normas Técnicas
(NBR-ABNT) da Organização Internacional de Normalização (ISO) 31000,
publicada em 2009, veio para fornecer princípios e diretrizes genéricas
para auxiliar as organizações na gestão de riscos.
Ao contrário de muitas outras normas, a ISO 31000 não é específica
para nenhum ramo ou atividade, podendo ser utilizada por qualquer
tipo de organização, aplicada para qualquer tipo de risco e servir de
base de consulta ao longo da vida da organização, norteando a es-
truturação de estratégias, decisões, processos, entre outras atividades
que devem ser elaboradas de acordo com as particularidades de cada
organização.
Neste capítulo, você irá estudar termos, definições, princípios e estru-
tura do processo de gestão de riscos segundo a ISO 31000.
ISO 31000 – termos e definições

A ABNT, órgão privado e sem fins-lucrativos que se destina a padronizar as
técnicas de produção feitas no país, publicou a ABNT NBR ISO 31000 em
2009, com orientações genéricas sobre a gestão formal de risco, de forma que
possa ser adequada aos mais variados contextos organizacionais e aplicada
para qualquer tipo de risco. Seu principal objetivo é servir de base de consulta
ao longo da vida da organização, norteando a estruturação de estratégias,
156 ISO 31000
decisões, processos, entre outras atividades, que devem ser elaboradas sempre
observando as particularidades de cada organização (ASSOCIAÇÃO BRA-
SILEIRA DE NORMAS TÉCNICAS, 2009).
A ISO 31000 foi elaborada a partir da necessidade de aprimorar e estabelecer
uma padronização na terminologia e nos conceitos utilizados em gestão de
riscos pelas organizações, foi baseada na primeira norma mundial que abordou
o tema gestão de riscos empresariais, a Norma AS NZS nº 4.360/2004.
O intuito da norma é atender às necessidades de uma ampla variedade de
partes interessadas, com a finalidade de assegurar o correto gerenciamento dos
riscos. Assim, vamos começar relacionando os principais termos e definições
utilizados na norma. A ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NOR-
MAS TÉCNICAS, 2009) faz referência a vários termos que são pertinentes à
gestão de riscos e traz suas definições, como você pode acompanhar a seguir.
Risco: efeito da incerteza nos objetivos.
Gestão de riscos: atividades coordenadas para dirigir e controlar uma
organização no que se refere ao risco.
Estrutura da gestão de riscos: conjunto de componentes que fornecem os
fundamentos e os arranjos organizacionais para concepção, implementação,
monitoramento, análise crítica e melhoria contínua da gestão de riscos por
toda a organização.
Política de gestão de riscos: declaração das intenções e diretrizes gerais
de uma organização relacionadas à gestão de riscos.
Atitude perante o risco: abordagem da organização para avaliar e even-
tualmente buscar, manter, assumir ou afastar-se do risco.
Apetite pelo risco: quantidade e tipo de riscos que uma organização está
preparada para buscar, manter ou assumir.
Aversão ao risco: atitude de se afastar dos riscos.
Plano de gestão de riscos: plano da estrutura da gestão de riscos, es-
pecificando a abordagem, os componentes de gestão e os recursos a serem
aplicados para gerenciá-los.
Proprietário do risco: pessoa ou entidade com a responsabilidade e a
autoridade para gerenciar o risco.
Processo de gestão de riscos: aplicação sistemática de políticas, proce-
dimentos e práticas de gestão para as atividades de comunicação, consulta,
estabelecimento do contexto, identificação, análise, avaliação, tratamento,
monitoramento e análise crítica dos riscos.
Estabelecimento do contexto: definição dos parâmetros externos e internos
a serem considerados ao se efetuar o gerenciamento de riscos, e estabelecimento
do escopo e dos critérios de risco para a política de sua gestão.
ISO 31000 157
Contexto externo: ambiente fora da organização, no qual fatores externos

impactam os objetivos da organização.
Contexto interno: ambiente interno no qual a organização busca atingir
seus objetivos.
Comunicação e consulta: processos contínuos e interativos que uma
organização conduz para fornecer, compartilhar ou obter informações, com
relação ao gerenciamento de riscos.
Parte interessada: pessoa ou organização que pode afetar, ser afetada,
ou perceber-se afetada por uma decisão ou atividade.
Processo de avaliação de riscos: processo global de identificação de
riscos, análise de riscos e avaliação dos riscos.
Identificação dos riscos: processo de busca, reconhecimento e descrição
de riscos.
Fonte de risco: elemento que, individualmente ou combinado, tem o po-
tencial intrínseco para dar origem ao risco, pode ser tangível ou intangível.
Evento: ocorrência ou alteração em um conjunto específico de circunstâncias.
Consequência: resultado de um evento que afeta os objetivos.
Probabilidade: chance de algo acontecer.
Perfil de risco: descrição de um conjunto qualquer de riscos.
Análise de riscos: processo pelo qual se busca compreender a natureza
do risco e determinar o seu nível.
Critérios de risco: termos de referência contra a qual o significado de
um risco é avaliado.
Nível de risco: magnitude de um risco, expressa em termos da combinação
das consequências e de suas probabilidades.
Avaliação de riscos: processo de comparação dos resultados da análise de
riscos com os critérios de risco, para determinar se o risco e/ou sua magnitude
é aceitável ou tolerável.
Tratamento de riscos: processo para modificar o risco.
Controle: medida que está modificando o risco.
Risco residual: risco remanescente após o tratamento do risco.
Monitoramento: verificação, supervisão, observação crítica ou identifica-
ção da situação, executadas de forma contínua, a fim de identificar mudanças
no nível de desempenho requerido ou esperado.
Análise crítica: atividade realizada para determinar adequação, suficiência
e eficácia do assunto em questão para atingir os objetivos estabelecidos.
O propósito fundamental da ISO 31000 foi consolidar diferentes conceitos
e terminologias e apresentação de diretrizes e princípios para a implementação
de estruturas de gerenciamento de riscos aplicáveis às organizações, inde-
158 ISO 31000
pendentemente de seu tamanho, segmento ou área de atuação (INSTITUTO

BRASILEIRO DE GOVERNANÇA CORPORATIVA, 2017).
Princípios da ISO 31000

Princípios, além de terem o significado de origem, também podem ser consi-
derados a base de sustentação de uma norma. São ideias genéricas, das quais
podem ser extraídas concepções e intenções para a criação de outras normas.
A ISO 31000/2009 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNI-
CAS, 2009) apresenta alguns princípios importantes para a gestão de riscos
que julga convenientes de serem adotados ou adaptados em todos os níveis
da organização, para uma gestão eficaz, observe os itens a seguir.
a) Gestão de riscos cria e protege valor: a gestão de riscos contribui

para a realização demonstrável dos objetivos e para a melhoria do
desempenho referente, por exemplo, à segurança e saúde das pessoas,
à conformidade legal e regulatória, à aceitação pública, à proteção do
meio ambiente, à qualidade do produto, ao gerenciamento de projetos,
à eficiência nas operações, à governança e à reputação.
b) Gestão de riscos é parte integrante de todos os processos orga-
nizacionais: faz parte das responsabilidades da administração e é
parte integrante de todos os processos organizacionais, incluindo o
planejamento estratégico e todos os processos de gestão de projetos e
gestão de mudanças.
c) Gestão de riscos é parte da tomada de decisões: auxilia os tomadores
de decisão a fazer escolhas conscientes, priorizar ações e distinguir
entre formas alternativas de ação.
d) Gestão de riscos aborda explicitamente a incerteza: considera a
incerteza, a natureza dessa incerteza e como ela pode ser tratada.
e) Gestão de riscos é sistemática, estruturada e oportuna: contribui
para a eficiência e para os resultados consistentes, comparáveis e
confiáveis.
f) Gestão de riscos baseia-se nas melhores informações disponíveis:
as entradas para o processo de gerenciar riscos são baseadas em
fontes de informação, como dados históricos, experiências, retroali-
mentação das partes interessadas, observações, previsões e opiniões
de especialistas.
ISO 31000 159
g) Gestão de riscos é feita sob medida: está alinhada com o contexto
interno e externo da organização e com o perfil do risco.
h) Gestão de riscos considera fatores humanos e culturais: reco-
nhece capacidades, percepções e intenções do pessoal interno e
externo que podem facilitar ou dificultar a realização dos objetivos
da organização.
i) Gestão de riscos é transparente e inclusiva: o envolvimento apropriado
e oportuno de partes interessadas e, em particular, dos tomadores de
decisão em todos os níveis da organização assegura que a gestão de
riscos permaneça pertinente e atualizada.
j) Gestão de riscos é dinâmica, iterativa e capaz de reagir a mudan-
ças: o envolvimento também permite que as partes interessadas sejam
devidamente representadas e tenham suas opiniões consideradas na
determinação dos critérios de risco.
k) Gestão de riscos facilita a melhoria contínua da organização: con-
vém que as organizações desenvolvam e implementem estratégias para
melhorar a sua maturidade na gestão de riscos juntamente a todos os
demais aspectos da sua organização.
O objetivo principal da ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE

NORMAS TÉCNICAS, 2009), ao descrever esses princípios e orientações
genéricas sobre gestão de riscos, é proporcionar subsídios concretos às or-
ganizações, facilitando o desenvolvimento de planos de gestão de riscos,
adaptados a sua realidade.
Estrutura do processo de gestão de riscos

segundo a ISO 31000
O processo de gestão de riscos deve ser considerado e tratado como parte
integrante da gestão, incorporado na cultura e nas práticas em todos os
níveis e funções pertinentes da organização, como parte de suas práticas
e processos.
A estrutura do processo de gestão de riscos conforme a ISO 31000 (AS-
SOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) é baseado nas
atividades de descritas nos itens 5.2 a 5.6 da norma, conforme apresentadas
na Figura 1.
160 ISO 31000
Figura 1. Processo de gestão de risco.

Fonte: Associação Brasileira de Normas Técnicas (2009).
Comunicação e consulta
Tanto a intenção de comunicar e consultar de maneira eficaz como os recursos
disponíveis para tal, requerem que isso seja considerado e expresso de maneira
explícita, quando a estrutura for projetada.
Consultar as partes interessadas, tanto externas como internas é funda-

mental e deverá ocorrer em todas as fases (estabelecimento dos critérios
de risco, identificação, avaliação e tratamento de riscos) ou em ocorrências
de sinistros.
É necessário que a organização tenha técnicas e ferramentas adequadas
para comunicação e consulta. Softwares podem ser uma ótima plataforma
de comunicação e gestão do conhecimento. Tanto a intenção de comunicar e
consultar de maneira eficaz como os recursos disponíveis para tal requerem
que isso seja considerado e expresso de maneira explícita, quando a estrutura
for projetada.
ISO 31000 161
Estabelecimento do contexto
A definição dos critérios para gestão de riscos, o escopo da gestão, as áreas e
os setores envolvidos, devem ser divididos em contexto interno e externo. No
contexto interno, serão consideradas estrutura organizacional, responsabilida-
des, processos, sistemas de informação internos e diálogo e relações com as
partes interessadas internas. No contexto externo, questões como o ambiente
legal, social, cultural, político, financeiro, tecnológico, econômico, entre
outros devem ser avaliados, assim como a relação com as partes interessadas
externas, a sua percepção e seus valores.
Avaliação de riscos
O processo de avaliação de riscos é o processo que engloba a identificação, a
análise e a avaliação de riscos.
Identificação de riscos
A organização deve identificar fontes de risco, áreas de impactos, eventos e suas
causas e consequências potenciais. O objetivo é gerar uma lista de riscos que
possam impactar de alguma forma a realização dos objetivos. É importante total
atenção e esforço nessa análise para que todos os riscos sejam identificados.
A tendência é que as organizações, com o tempo, passem a incrementar essa
lista com novas fontes de risco, e o processo deve melhorar continuamente.
Contudo, é conveniente que pessoas com um conhecimento adequado sejam
envolvidas na fase de identificação dos riscos.
Análise de riscos
A análise de riscos fornece uma compreensão sobre os riscos da organização.
Envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e também a probabilidade de que essas consequências
possam ocorrer. São analisados todos os riscos identificados na etapa anterior,
constatando quais são as consequências e probabilidade dos riscos.
Avaliação de riscos
A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base
nos resultados da análise de riscos, quais riscos necessitam de tratamento e
162 ISO 31000
a prioridade para a implementação do tratamento. É nesta fase que se define

se um risco deve ou não ser tratado e como será a prioridade.
Tratamento de riscos
O tratamento de riscos envolve a seleção de uma ou mais opções para modi-
ficar os riscos e a implementação dessas opções. Uma vez implementado, o
tratamento fornece novos controles ou modifica os existentes. São opções de
tratamento de riscos:
evitar o risco – não iniciando ou descontinuar a atividade que dá origem

ao risco;
remover a fonte de risco;
alterar a probabilidade;
alterar as consequências;
compartilhar o risco com outra parte ou partes; e
reter o risco por uma decisão consciente e bem embasada.
Monitoramento e análise crítica

A melhoria contínua deve acontecer sempre, ao longo de todo o processo
de gestão de riscos, pois os critérios de riscos poderão ser alterados, novas
ocorrências poderão incrementar as listas de riscos e oportunidades poderão
ser consideradas. O contexto interno e externo também pode sofrer alterações,
e a organização precisa aprender com seus sucessos e falhas.
Os elementos “comunicação e consulta” e “monitoramento e análise crí-
tica” são considerados de ação contínua do processo de gestão de riscos. A
comunicação e consulta implica no envolvimento das partes interessadas,
internas e externas, considerando seus pontos de vista e conhecendo seus
objetivos por meio de envolvimento planejado. Já o monitoramento e análise
crítica preveem a tomada de ação no momento em que surgirem novos riscos
que mudem os riscos existentes, ameaçando os objetivos organizacionais ou
os ambientes interno e externo (PURDY, 2010 apud ROSA; TOLEDO, 2015).
O objetivo da estrutura do processo de gestão de risco apresentado na ISO
31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2009) não
é propriamente estabelecer ou fixar um fluxograma da gestão de riscos, mas
é o de mostrar o relacionamento que existe entre as atividades da norma que
definem esse processo.
ISO 31000 163
Preda (2013 apud ROSA; TOLEDO, 2015), recomenda observar alguns

passos importantes para implementar a ISO 31000:
conquistar o apoio e a adesão da direção para que a norma seja imple-

mentada, com todos os recursos necessários;
formar um comitê para trabalhar na implementação, com o responsável
sendo alguém indicado pela alta direção, e com pessoas com bom
conhecimento sobre processos organizacionais e boa comunicação
oral e escrita;
estabelecer e descrever o plano de implementação, com as especialidades
e funções necessárias;
prover treinamento e suporte técnico;
organizar atividades de conscientização, divulgando o objetivo da
implementação da norma, suas vantagens, seu funcionamento, funções
e responsabilidades;
garantir que o processo baseado na norma esteja alinhado aos processos
da organização;
desenvolver documentos de gestão de riscos (política, plano, processo,
instruções de trabalho);
obter aprovação da diretoria para toda documentação implementada;
publicar, informar e obter feedback dos envolvidos;
implementar o processo de gestão de riscos (podendo realizar período
de teste);
realizar auditoria interna;
realizar análise crítica pela diretoria.
Diante de todo o contexto apresentado, você pode compreender que estamos

diante de uma crescente indissociabilidade entre a gestão de riscos e as ativida-
des organizacionais, pois, cada vez mais, se confirma que as organizações que
possuem processos de gerenciamento de riscos eficazes têm mais possibilidades
de ter sucesso nos objetivos traçados e garantir a sua sobrevivência no mercado.
A ISO 31000 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS,
2009) traz recomendações que podem ser seguidas na sua totalidade ou em
parte, dependendo das características da organização. A aplicação dos seus
princípios e diretrizes apresenta passos que direcionam as atividades para a
eficiência operacional, que melhoram a governança corporativa e aumentam
a confiança das partes interessadas. Integrar as boas práticas aos projetos e
operações diárias, estabelecendo uma estrutura baseada nas orientações da
ISO 31000 é o grande desafio das organizações (ROSA; TOLEDO, 2015).
164 ISO 31000
1. A ISO 31000 (ASSOCIAÇÃO priorizar ações e distinguir entre

BRASILEIRA DE NORMAS TÉCNICAS, formas alternativas de ação.
2009) faz referência a vários e) Considera a incerteza, a
termos que são pertinentes à natureza dessa incerteza e
gestão de riscos. A abordagem como ela pode ser tratada.
da organização para avaliar 3. O conjunto de componentes
e eventualmente buscar, que fornecem os fundamentos e
manter, assumir ou afastar o os arranjos organizacionais para
risco é a definição de: a concepção, implementação,
a) gestão de riscos. monitoramento, análise
b) fonte de riscos. crítica e melhoria contínua
c) aversão ao risco. da gestão de riscos por a
d) atitude perante o risco. organização, segundo a ISO
e) apetite pelo risco. 31000 (ASSOCIAÇÃO BRASILEIRA
2. Os princípios podem ser DE NORMAS TÉCNICAS,
considerados como base de 2009), corresponde a(o)?
sustentação de uma norma. A ISO a) Estrutura e gestão de riscos.
31000 (ASSOCIAÇÃO BRASILEIRA b) Política de gestão de riscos.
DE NORMAS TÉCNICAS, 2009) c) Plano de gestão de riscos.
apresenta alguns princípios d) Processo de gestão de riscos.
importantes para a gestão de e) Processo de avaliação de riscos.
riscos. Quais das definições a 4. Segundo a ISO 31000
seguir diz respeito ao princípio de (ASSOCIAÇÃO BRASILEIRA DE
“criar e proteger valor”? NORMAS TÉCNICAS, 2009),
a) Está alinhada com o contexto convém que o processo de gestão
interno e externo da organização de riscos seja considerado e
e com o perfil do risco. tratado como ______________
b) A gestão de riscos contribui da gestão, ___________ na
para a realização demonstrável cultura e nas práticas em _______
dos objetivos e para a níveis e funções da organização.
melhoria do desempenho. Qual das alternativas a seguir
c) As organizações devem completa corretamente a frase?
desenvolver e implementar a) Algo à parte; sem interferir; todos.
estratégias para melhorar a sua b) Algo à parte; incorporado; todos.
maturidade na gestão de riscos, c) Parte integrante; apartado; todos.
juntamente a todos os demais d) Parte integrante;
aspectos da sua organização. incorporado; alguns.
d) Auxilia os tomadores de decisão e) Parte integrante;
a fazer escolhas conscientes, incorporado; todos.
ISO 31000 165
5. No que diz respeito ao processo para a implementação do

de gestão de riscos proposto tratamento, é denominada:
pela ISO 31000 (ASSOCIAÇÃO a) identificação dos riscos.
BRASILEIRA DE NORMAS TÉCNICAS, b) tratamento de riscos.
2009), a etapa específica para c) avaliação de riscos.
auxiliar na tomada de decisões d) análise de riscos.
sobre quais riscos necessitam e) estabelecimento do
de tratamento e a prioridade contexto interno.

ROSA, G. M.; TOLEDO, J. C. Gestão de riscos e a norma ISO 31000: importância e
impasses rumo a um consenso. In: CONGRESSO BRASILEIRO DE ENGENHARIA DE
PRODUÇÃO, 5., 2015, Ponta Grossa. Anais... Ponta Grossa: CONBREPRO, 2015.
Conteúdo:
DICA DO PROFESSOR
A Norma ISO 31000 recomenda às organizações a desenvolver, programar e melhorar

continuamente um sistema de gestão de risco como uma componente integral do seu sistema de
gestão. Nesse sentido, a norma pode ser adaptada por todo tipo de organização, qualquer que
seja o setor de atividade em que está inserida, e pode ser aplicada a uma ampla gama de
atividades, processos, funções, projetos, produtos, serviços, ativos, operações e decisões. Trata-
se, portanto, de uma norma abrangente, que tem como principal objetivo ajudar os responsáveis
no desenvolvimento de políticas de gestão de riscos das organizações a assegurar que os riscos
sejam eficazmente geridos. Nesta Dica do Professor você verá algumas abordagens da Norma
ISO 31000. Assista!
EXERCÍCIOS
1) A Norma ISO 31000 faz referência a vários termos que são pertinentes à gestão de
riscos. A abordagem da organização para avaliar e, eventualmente buscar, manter,
assumir ou afastar-se do risco é a definição de:
A) Gestão de riscos.
B) Fonte de riscos.
C) Aversão ao risco.
D) Atitude perante o risco.

E) Apetite pelo risco.
2) Os princípios podem ser considerados como sendo base de sustentação de uma

norma. A Norma ISO 31000 apresenta alguns princípios importantes para a gestão
de riscos. Quais das definições abaixo diz respeito ao princípio de "criar e proteger
valor"?
A) Está alinhada com o contexto interno e externo da organização e com o perfil do risco.
B) A gestão de riscos contribui para a realização demonstrável dos objetivos e para a melhoria
do desempenho.
C) Convém que as organizações desenvolvam e implementem estratégias para melhorar a sua

maturidade na gestão de riscos, junto com os demais aspectos da sua organização.
D) Auxilia os tomadores de decisão a fazer escolhas conscientes, priorizar ações e distinguir

entre formas alternativas de ação.
E) Leva em consideração a incerteza, a natureza dessa incerteza e como ela pode ser tratada.
3) É o conjunto de componentes que fornecem os fundamentos e os arranjos

organizacionais para a concepção, implementação, monitoramento, análise crítica e
melhoria contínua da gestão de riscos por meio de toda a organização. Segundo a ISO
31000, essa definição corresponde a qual alternativa?
A) Estrutura de gestão de riscos.
B) Política de gestão de riscos.
C) Plano de gestão de riscos.

D) Processo de gestão de riscos.
E) Processo de avaliação de riscos.
4) Segundo a ISO 31000, convém que o processo de gestão de riscos seja considerado e
tratado como ______________ da gestão, ___________ na cultura e nas práticas em
_______ níveis e funções da organização. Qual das alternativas abaixo completa
corretamente a frase?
A) algo à parte - sem interferir - todos.
B) algo à parte - incorporado - todos.
C) parte integrante - apartado - todos.
D) parte integrante - incorporado - alguns.
E) parte integrante - incorporado - todos.
5) No que diz respeito ao processo de gestão de riscos proposto pela ISO 31000, a etapa
específica de auxiliar na tomada de decisões, sobre quais riscos necessitam de
tratamento e a prioridade para a implementação do tratamento, denomina-se:
A) Identificação dos riscos.
B) Tratamento de riscos.
C) Avaliação de riscos.
D) Análise de riscos.
E) Estabelecimento do contexto interno.
NA PRÁTICA
A Norma ISO 31000 recomenda às organizações a desenvolver, implementar e melhorar

continuamente um sistema de gestão de risco com a finalidade de integrar o processo de gestão
de riscos no governo, na estratégia, na gestão, nos processos e na cultura de toda a organização.
Como todas as atividades de uma organização envolvem algum nível de risco, a organização
precisa manter uma gestão que analise adequadamente aqueles riscos relacionados ao seu
negócio e que são relevantes. Essa análise deve ser feita de forma sistemática e com base nos
contextos externo e interno, com princípios bem estabelecidos.
A partir desses princípios, a organização monta uma estrutura para implementar a gestão de
riscos, definindo um processo que identifique riscos, analise riscos, avalie riscos e trate riscos. O
processo deve prever ainda o monitoramento e análise crítica, bem como estabelecer uma
comunicação adequada em todas as direções.
Neste Na Prática, você verá um exemplo das atividades integrantes do processo de gestão de
riscos - ISO 31000. Acompanhe!
- Jaime e sua equipe puderam repetir a travessia ao longo de vários dias e em diferentes épocas.
Esses dados lhes auxiliariam a entender que a mudança de contexto (tempo, quantidade de
carros) afeta diretamente a eficácia da melhoria e aumenta a probabilidade de que eles não
alcançassem seus objetivos (evitar acidentes/assaltos).
- A experiência lhes ensinou que atravessar a avenida em determinados momentos do dia é
muito difícil, pois há muitos carros.
- Para limitar o risco devem rever e melhorar o seu processo contínuo, usando a passarela nos
momentos de grande movimento.
- Jaime e sua equipe continuam a analisar a eficácia dos processos contínuos.
SAIBA MAIS
professor:
Análise da implantação do processo de gestão de riscos com base na ISO 31000: aplicação
em uma empresa de energia
O artigo a seguir apresenta os resultados de uma pesquisa que teve como objetivo analisar a
implantação do processo de gestão de riscos com base na ISO 31000.
Gerenciar Riscos com a Norma NBR ISO 31000
No site a seguir você verá como gerenciar riscos por meio da Norma ISO 31000.
Interpretação da ISO 31000:2009 - Gestão de Riscos
O vídeo dá uma abrangência geral sobre a interpretação da ISO 31000:2009, mais

especificamente na gestão de riscos.

Gerenciamento de Riscos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gerenciamento de Riscos

Enviado por

Direitos autorais:

Formatos disponíveis

E-BOOK

Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:

• Definir conceitos básicos de riscos.

O gerenciamento de riscos trata, basicamente, de como as organizações enfrentam as incertezas

Você trabalha como responsável no departamento de projetos de uma organização. O trabalho,

- Risco restante após uma resposta a riscos ser aplicada.

O gerenciamento de riscos é uma forma organizada de identificar e medir os riscos e de

Conheça, no Infográfico a seguir, as seis etapas a serem desenvolvidas no gerenciamento de

Acompanhe um trecho da obra Gerenciamento de riscos. Leia o capítulo Definição de

Conceitos básicos de riscos

aos objetivos da organização, sendo que um afeta negativamente e o outro,

NÍVEL DO RISCO = PROBABILIDADE VS. IMPACTO

Atualmente, as organizações estão expostas a uma grande quantidade e

 Evento: ocorrência ou mudança em um conjunto específico de circuns-

 Critério de risco: são os valores de referência em que o impacto e a

História do gerenciamento de riscos

casos de espionagem corporativa, negociações fraudulentas em bolsas de

Value at Risk (VaR) é um método que avalia o risco em operações financeiras,

Entretanto, o processo de identificação e tratamento de riscos não finan-

Para conhecer mais sobre o modelo COSO, acesse o

Seguindo essa linha, o Financial Accounting Standards Board (FASB),

Em 2001, o colapso da empresa Enron revela um esquema gigantesco

Em 2004, o COSO publicou o ERM – integrated framework COSO-ERM

incentivos de denúncia de irregularidades que devem ser adotados pela empresa

Definição do gerenciamento de riscos

1. Planejamento do gerenciamento de riscos: como abordar, planejar e

Para se planejar um bom gerenciamento de riscos em cada uma dessas

 o registro de todos os riscos identificados, juntamente as suas causas-

 o plano de gerenciamento de riscos propriamente dito, que contempla

Nas técnicas e ferramentas para planejar respostas aos riscos, o PMBOK

 Estratégias para riscos negativos ou ameaças:

Nas saídas temos (VARGAS, 2007):

 Atualizações no plano de gerenciamento do projeto: podem haver mu-

■■ Riscos secundários: a resposta a um risco pode gerar outros riscos,

1. O gerenciamento de riscos pode ser a) Evento e probabilidade.

Conteúdo interativo disponível na plataforma de ensino!

Qual das alternativas abaixo completa corretamente a frase?

A) Identificar, monitorar, controlar.

B) Identificar, avaliar, verificar.

C) Identificar, avaliar, controlar.

D) Verificar, identificar, controlar.

E) Avaliar, identificar, monitorar.

B) Nível de risco e impacto.

C) Nível de risco e probabilidade.

4) "É uma forma organizada de identificar e medir os riscos e de desenvolver,

D) seleção de opções de controle de riscos.

5) No planejamento de respostas aos riscos, são planejadas diferentes estratégias,

A) eliminar, mitigar, transferir e aceitar.

B) mitigar, transferir, compartilhar e aceitar.

C) eliminar, transferir, melhorar e aceitar.

D) aceitar, transferir, eliminar e explorar.

E) explorar, mitigar, transferir e compartilhar.

A análise de risco ajuda na tomada de decisão dentro de projetos. No caso da incorporação de

Assista ao vídeo a seguir para saber sobre a origem da palavra risco.

Conteúdo interativo disponível na plataforma de ensino!

Conteúdo interativo disponível na plataforma de ensino!

Leia a matéria a seguir e verifique alguns conceitos básicos da gestão de riscos.

Conteúdo interativo disponível na plataforma de ensino!

Leia a seguir e veja a função e como surgiu a gestão de riscos.

Conteúdo interativo disponível na plataforma de ensino!

Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:

• Definir estratégia organizacional.

O planejamento atua nos diferentes níveis da organização, no estratégico (empresa como um

Confira no Infográfico os três níveis organizacionais de uma empresa, e como ocorre o

Evento: ocorrência ou mudança em um conjunto específico de circuns-

Critério de risco: são os valores de referência em que o impacto e a

o registro de todos os riscos identificados, juntamente as suas causas-

o plano de gerenciamento de riscos propriamente dito, que contempla

Estratégias para riscos negativos ou ameaças:

Atualizações no plano de gerenciamento do projeto: podem haver mu-

Definir estratégia organizacional.

Planejamento estratégico: neste plano são definidas as estratégias

todos recursos necessários para sua implantação;

Reconhecer o valor do gerenciamento de riscos: maximiza o retorno

planejamento do gerenciamento de riscos;

Análise qualitativa: é a priorização dos riscos, dar atenção aos que

1) A ___ organizacional refere-se ao conjunto de _ relacionadas