Escolar Documentos
Profissional Documentos
Cultura Documentos
Assim como no Módulo 1, o curso seguirá o Manual de Gestão de Riscos, porém, será utilizada
a técnica Bow-tie (Gravata Borboleta) e a matriz FMEA (Análise de Modos de Falhas e Efeitos), que
são duas ferramentas que não estão na versão atual do manual, mas que serão incluídas na próxima
versão. Estas ferramentas já estão sendo aplicadas em reuniões e projetos-piloto de análise de riscos
no TRT8.
Para fins didáticos, a Metodologia da Gestão de Riscos deste curso foi dividida em duas partes,
abrangendo todas as etapas da Gestão de Riscos. Assim, neste Módulo 2 serão abordados os assuntos
Contextualização, Identificação e Análise de Riscos. No Módulo 3 serão estudadas as etapas de Ava-
liação, Tratamento, Comunicação e Consultas, e realização de Monitoramento e Análise Crítica.
Além da explicação teórica, dos resumos e dos questionários de cada módulo, ao final do curso
será mostrado um exemplo de realização de todas as etapas estudadas da gestão de riscos, com base
nos anexos do Manual de Gestão de Riscos.
1. Estabelecimento do Contexto
2. Identificação de Riscos
3. Análise de Riscos
4. Avaliação de Riscos
5. Tratamento de Riscos
6. Comunicação e Consulta
7. Monitoramento e Análise Crítica
O Contexto de risco é a circunstância onde aparecem os eventos de riscos. Deste modo, a gestão
de riscos deverá considerar o ambiente ou a situação delimitada nesta fase, que pode ser um processo de
negócio, um ambiente específico ou um ativo da organização, conforme vimos quando estudamos onde
podemos identificar riscos no TRT8, no Módulo 1.
São necessários dois passos para se estabelecer o contexto, que são o Estabelecimento do Contexto
Interno e Externo e o Estabelecimento do Contexto do Processo de Gestão de Riscos.
Aqui avaliamos o impacto que o processo ou a situação escolhida para identificação de riscos tem
para o TRT8 alcançar seus objetivos organizacionais estratégicos.
Um exemplo é o processo de pagamento de pessoal (unidade responsável: SEGEP). Por ser um pro-
cesso que impacta diretamente todos os recursos humanos do TRT8, tem papel fundamental na estratégia
institucional.
As boas práticas de gestão estratégica recomendam conhecer os ambientes Interno e Externo que
interagem com a estrutura escolhida para identificação de riscos. Uma das ferramentas indicadas para a
análise destes ambientes, é a Matriz SWOT, conforme apresentada no Manual de Gestão de Riscos.
Conforme vimos no Módulo 1, “Partes Interessadas – são os atores internos e externos que possuem
expectativas em relação ao processo, mas não estão diretamente envolvidos em sua execução – e as Partes
Envolvidas – são atores internos responsáveis pela execução do processo e que também serão responsáveis
pelo gerenciamento dos riscos e pela execução das respostas aos riscos identificados e tratados”.
4 2016 - Tribunal Regional do Trabalho da 8ª Região
Veja o quadro exemplificativo abaixo:
PARTES INTERESSADAS
• Presidência do Tribunal
INTERNAS • Comissão de Informática do Tribunal
• Tribunal de Contas da União
EXTERNAS • Conselho Nacional de Justiça
• Conselho Superior da Justiça do Trabalho
• Associação dos Magistrados da Justiça do Trabalho da 8ª Região
• Sindicato dos Trabalhadores do Poder Judiciário Federal no Pará e Amapá
PARTES ENVOLVIDAS (INTERNAS)
• Diretoria-Geral
• Secretaria Administrativa
• Secretaria de Tecnologia da Informação
• Coordenadoria de Auditoria e Controle Interno
• Coordenadoria de Governança Institucional
• Coordenadoria de Gestão Estratégica
• ...
Deste modo, se, por exemplo, determinarmos que o processo ou a situação a ser analisada
quanto aos riscos é o processo de transporte de bens alienados, então o escopo do levantamento e da
avaliação de riscos ficará restrita a essa situação, isto é, ao processo de transporte de bens alienados.
2. Identificação de Riscos
3. Análise de Riscos
4. Avaliação de Riscos
5. Tratamento de Riscos
6. Comunicação e Consulta
7. Monitoramento e Análise Crítica
Após termos determinado nosso alvo (um processo de negócios, um ambiente específico ou um
ativo) e termos delimitado o alcance das nossas ações (o escopo) da gestão de riscos, passaremos agora
a questionar como um evento de risco pode se manifestar, quais suas possíveis causas e quais seus efeitos
potenciais.
Precisamos relembrar que, como definido na Norma ISO 31.000:2009, “Um risco é formalmente
definido como o efeito da incerteza nos objetivos organizacionais”; em outras palavras, “riscos são possíveis
acontecimentos que podem ou não ocorrer (incerteza), e que se ocorrerem podem impedir ou atrapalhar o
alcance dos objetivos de uma organização ou de um processo de negócio específico.”
Veja por estas definições que um acontecimento de risco é a materialização de um evento de risco,
que teve uma causa e por conseguinte terá uma consequência. Logo abaixo temos um diagrama represen-
tativo do sistema de risco para ilustrar como um evento de risco pode se manifestar.
CATEGORIAS DE RISCOS
Para identificar riscos, precisamos conhecer em quais categorias os riscos podem aparecer na
organização do TRT8.
CATEGORIA DESCRIÇÃO
Os riscos estratégicos estão associados à tomada de decisão que pode
Riscos Estratégicos afetar negativamente o alcance dos objetivos da organização. Têm for-
te orientação externa e foco no longo prazo e planos genéricos de ris-
cos.
Os riscos táticos têm foco nos eventos de médio prazo identificados
Riscos Táticos nos processos e ações em unidades de negócio ou departamentos (se-
ções, divisões etc).
Os riscos operacionais estão associados à ocorrência de perdas (pro-
dutividade, ativos, financeiras etc.) resultantes de falhas, deficiências
Riscos Operacionais ou inadequação de processos internos, estrutura, pessoas, sistemas,
tecnologia, assim como de eventos externos (catástrofes naturais,
greves, fraudes). Têm foco no curto prazo e na definição de objetivos
e resultados bem específicos.
Os riscos de comunicação estão associados a eventos que podem
Riscos de Comunicação impedir ou dificultar a disponibilidade de informações para a tomada
de decisões e para cumprimento das obrigações de accountability
(prestação de contas às instâncias controladoras e à sociedade).
Os riscos de conformidade estão associados ao não cumprimento de
Riscos de Conformidade princípios constitucionais, legislações específicas ou regulamentações
externas aplicáveis ao negócio, bem como de políticas, normas e pro-
cedimentos internos.
Fonte: Coordenadoria de Governança Institucional/TRT8
Veja que os responsáveis pela gestão de riscos são os próprios Magistrados e Servidores do Tribu-
nal. Então, analisando estas categorias e identificando possíveis causas e consequências de riscos, os Ma-
gistrados e Servidores poderão ser organizados em quatro possíveis arranjos, conforme abaixo:
1. Abordagem individual analítica: realizada somente por um analista com conhecimentos e habili-
dades em gestão de riscos e conhecimento no processo de negócios analisado. Um exemplo de abordagem
individual analítica, seria um analista de riscos, com conhecimentos na área de engenharia civil, conduzir,
sozinho, todo o processo de gestão de riscos da obra de construção do novo prédio do TRT8;
2. Abordagem individual consultiva: realizada por um analista de riscos mediante consulta a equi-
pes especializadas. Um exemplo de abordagem individual consultiva, seria um analista de riscos realizar a
gestão de riscos no contexto da portaria de acesso ao prédio-sede via Senador Lemos, por meio de reuni-
ões e entrevistas com os analistas da CODSE (Coordenadoria de Segurança Institucional);
3. Abordagem coletiva: realizada por equipes especializadas, lideradas pelo analista de riscos. Um
exemplo de abordagem coletiva, seria um analista de riscos conduzir grupos de trabalho de determinada
vara trabalhista visando realizar o processo de gestão de riscos na utilização do sistema PJE (Processo Judi-
cial Eletrônico);
Após a escolha de uma das abordagens acima descritas, montamos o sistema de identificação de
riscos específico para o processo ou ambiente de risco que contextualizamos, considerando Entradas, Fer-
ramentas e Técnicas e Saídas, conforme abaixo:
• Fatores ambientais corporativos: aqui descrevemos o que, dentro do contexto que escolhemos,
impacta para a execução de processos, projetos, sistemas e outras atividades. Podemos colocar aqui a
estrutura e cultura organizacional, sistemas internos de trabalho, regulamentação interna e externa, influ-
ência de interessados, etc. Por exemplo, a variação do dólar para aquisição de produtos importados.
• Relatórios de auditoria interna e externa: aqui colocamos o que impacta nosso contexto
com relação a resultados de auditoria interna, da Coordenadoria de Auditoria e Controle Interno
- COAUD ou resultados de auditoria externa, do Tribunal de Contas da União (TCU). Por exemplo,
o relatório da COAUD para o contrato de aquisição de sistema de alarme para a sala-cofre do Site
Backup.
• Técnicas de diagramação: são técnicas visuais para levantar causas, consequências e possí-
veis eventos de riscos. Por exemplo, o diagrama Bow-Tie (gravata borboleta), mostrado no exemplo
prático ao final do curso.
E por último, veja a descrição da Matriz de Identificação de Riscos (FMEA), que é o elemen-
to que agrupa os resultados de “Saída” do sistema de identificação de riscos:
Ao final do curso vamos apresentar um exemplo completo de gestão de riscos, com base em
um processo de pagamento de pessoal.
¹Matriz SWOT: do inglês Strenghts, Weakenesses, Oportunities and Threats, ou Matriz FOFA (Forças, Fraquezas, Oportu-
nidades e Ameaças) é utilizada para análise do ambiente interno e externo que envolvem determinada organização ou
atividade organizacional no intuito de se identificar, avaliar e corrigir situações-chave que podem influenciar nos proces-
sos de gestão e na execução de atividades dentro de uma organização.
Alberto Allan da Silva Rodrigues 9
FERRAMENTAS PARA IDENTIFICAÇÃO DE RISCOS
TÉCNICA DESCRIÇÃO
Em inglês significa “tempestade de ideias” e corresponde a uma técnica
de geração de ideias em grupo dividida em duas fases: fase criativa,
onde os participantes apresentam o maior número possível de ideias
e fase crítica, onde cada participante defende sua ideia com o objetivo
Brainstorming de convencer os demais membros do grupo. Na segunda fase são fil-
tradas as melhores ideias, permanecendo somente aquelas aprovadas
pelo grupo. A técnica é composta de quatro regras básicas: as críticas
devem ser banidas (a avaliação das ideias deve ser guardada para mo-
mentos posteriores); a geração livre de ideias deve ser encorajada; foco
na quantidade (quanto maior o número de ideias, maiores as chances
de se ter ideias válidas); combinação e aperfeiçoamento de ideias gera-
das pelo grupo.
Entrevistas livres, semiestruturadas ou estruturadas conduzidas indivi-
Entrevista/ dualmente ou em grupo com pessoas com experiência no processo ou
Julgamento de Especialistas no projeto, demais envolvidos ou especialistas (que podem ser externos
à organização).
Consiste em uma lista de itens, que vão sendo marcados como sim ou
Lista de Verificação (checklist) não, podendo ser utilizada por um membro da equipe, em grupo ou em
uma entrevista.
É um diagrama assim denominado por parecer com uma gravata borbo-
BOW-TIE leta (bow-tie), com as causas prováveis do risco aparecendo primeiro,
o efeito no meio e as consequências ao final. Pode ser utilizado, por
exemplo, na Identificação e no Monitoramento do risco.
Representação gráfica que apresenta os passos de um processo. Esta
Fluxograma técnica é aplicada para compreender como os riscos ou os elementos
de um sistema se inter-relacionam.
3. Análise de Riscos
4. Avaliação de Riscos
5. Tratamento de Riscos
6. Comunicação e Consulta
7. Monitoramento e Análise Crítica
A etapa de análise de riscos será conduzida por equipes do TRT8 organizadas por meio de
uma das abordagens tratadas no tópico “COMO FAZER A IDENTIFICAÇÃO DOS RISCOS” em “TIPOS DE
ABORDAGENS PARA GESTÃO DE RISCOS”. Estas equipes farão análises e julgamentos de informações e
os resultados serão anotados na Matriz FMEA que estudamos no tópico “O SISTEMA DE IDENTIFICA-
ÇÃO DE RISCOS”.
ANÁLISE DE CONTROLES
Vamos definir controles como ferramentas utilizadas na atenuação (ou mitigação) de riscos.
Para ilustrar, podemos citar detectores de incêndio como controles para reduzir o risco de incêndio
no TRT8. É fundamental que os gestores e os responsáveis pelos controles executem identificação,
verificação e avaliação dos controles para garantir a eficácia do processo. Pode acontecer de já existi-
rem controles quando o processo de análise de riscos iniciar. Neste caso, os níveis de probabilidade e
do impacto da materialização de eventos de riscos são menores do que se não existisse controle ne-
nhum. Por isso, os controles preexistentes devem ser devidamente registrados pela equipe de gestão
de riscos. Estes controles ajudarão tanto no processo de análise quanto no de avaliação de riscos.
Para explicar o que são os riscos residuais, é necessário que você observe o diagrama acima. Note
que, após aplicarmos controles, o risco potencial ou risco inerente é reduzido e dá lugar ao risco residual.
Este é o princípio do controle de riscos. Os riscos residuais são riscos remanescentes depois que aplicamos
controles sobre os riscos potenciais. Assim, os controles atenuam a Probabilidade da ocorrência e o Impacto
das consequências.
Segundo a norma ABNT ISO 31.000:2009, os parâmetros utilizados para calcular, analisar e avaliar
os riscos, são a Probabilidade e o Impacto. Estes parâmetros definem como os riscos serão demonstrados
e como os riscos devem ser vistos para a correta tomada de decisão quanto ao tratamento, dentro do pro-
cesso de negócio contextualizado.
Relembrando que risco é o efeito da incerteza nos objetivos da instituição, a probabilidade de ocor-
rência é definida como uma estimativa da incerteza se materializar. A probabilidade pode ser estimada a
partir de relatórios e registros de ocorrências já existentes ou pela avaliação de controles internos preexis-
tentes relacionados ao processo, ativo ou ambiente específico contextualizado.
Veja abaixo o quadro com a medida, o nível e a descrição da probabilidade, conforme o padrão es-
tabelecido no Manual de Gestão de Riscos.
PROBABILIDADE DA OCORRÊNCIA
MEDIDA NÍVEL PROBABILIDADE
5 Muito Alta Espera-se que ocorra na maioria das circunstâncias.
4 Alta Provavelmente ocorrerá na maioria das circunstâncias.
3 Média Pode ocorrer em algum momento.
2 Baixa Não se espera que ocorra.
1 Muito Baixa Poderia ocorrer em circunstâncias excepcionais.
Fonte: Coordenadoria de Governança Institucional/TRT8
A probabilidade pode ser estimada com base em ocorrência repetida do mesmo evento. Ou seja, se
ocorreu uma vez e não foram implantados controles para atenuação ou mitigação do risco, muito provavel-
mente ocorrerá novamente, pois não foi reduzido o risco inerente.
Segundo o Manual de Gestão de Riscos, “Se um risco ocorrer na maioria das circunstâncias, então
a probabilidade é classificada como “Muito Alta”. Um risco com probabilidade “Alta” é aquele que possivel-
mente ocorrerá na maioria das vezes. Quando o risco ocorrer em algum momento, mas não na maioria das
vezes, ele é classificado como de probabilidade “Média”. Riscos que não se espera que ocorram ou que só
ocorreriam em circunstâncias excepcionais são classificados como de probabilidade “Baixa” e “Muito Bai-
xa”, respectivamente”.
Veja por exemplo o trecho da matriz FMEA para as estimativas de probabilidade dos riscos envolvi-
dos na segurança de prédio do Tribunal:
Por outro lado, definimos o impacto da ocorrência do risco como a consequência da ocorrên-
cia do risco para o processo, ativo ou ambiente específico contextualizado.
Veja abaixo o quadro com a medida, o nível e a descrição do impacto, conforme o padrão pre-
estabelecido pelo Manual de Gestão de Riscos.
IMPACTO DA OCORRÊNCIA
O impacto pode ser avaliado, por exemplo, no alcance de objetivos organizacionais e em desvio de
conformidade com a legislação e as normas vigentes.
Considere, por exemplo, a seguinte situação de risco: a falta de energia elétrica causando a parada
dos elevadores com pessoas dentro, provocando situação de pânico e necessidade de socorro. Analisando as
tabelas, um analista de riscos pode concluir que a Probabilidade de ocorrência seria Média (valor 3), enquanto
o Impacto seria Alto (valor 4).
Veja abaixo um outro exemplo com o impacto, em um trecho de matriz FMEA, para a fase de licitação
de contratação pública:
Pregão Eletrôni- Pouca redução dos pre- Licitantes ofertam Contratação por
co ços durante a fase com- lances muito pró- valor maior que o 3 - Médio
petitiva que ocorre após ximos do menor que poderia ter sido
o disparo do tempo ale- lance contratado
atório
Vista de forma estruturada, a gestão de riscos estabelecida por meio do Manual de Gestão
de Riscos, define que o produto entre a Probabilidade da ocorrência e o Impacto das consequências
resulta na Medida de Risco. A Medida de Risco está presente em cada processo ou instrumento de
gestão avaliado.
A Medida de Risco assim definida será fundamental para o processo de análise e avaliação dos
riscos contextualizados e identificados. Com estas medidas, os riscos serão classificados conforme
seus parâmetros de probabilidade e impacto.
Procuramos evidenciar riscos potenciais existentes, por exemplo, no processo de pagamento de pes-
soal (Processo de Negócio SEGEP); em ambientes específicos, como o hall de entrada do TRT8; em ativos,
como o sistema PJE (Processo Judicial Eletrônico); e em estruturas mistas, onde você combina situações de
levantamento de eventos de riscos em mais de uma das estruturas analisadas.
Na etapa de análise dos riscos, vimos que nosso principal objetivo é determinar a Medida do Risco,
que é dada pelo produto de probabilidade por impacto. Mostramos que os riscos podem se materializar em
eventos (incidentes, acidentes), quando alguma causa (fontes, perigos) não teve um controle adequado e
provocou uma consequência (ganho ou perda). Concluímos que o risco remanescente depois que aplicamos
controle a um risco inerente, é o risco residual.
Após ter realizado a leitura do texto-base do módulo, você deverá responder ao questionário do
Módulo 2.
Lembre-se também que, ao final do curso, apresentaremos um exemplo prático aplicando as ferra-
mentas e técnicas da metodologia em um processo de pagamento de pessoal.
Sucesso!