04

PREVENÇÃO E CONTROLE

C
omo prevenir e controlar o risco? Esta é uma pergunta que os
administradores cada vez mais buscam responder. A dinâmica do
mundo moderno, a globalização e a necessidade de rápidas res-
postas potencializam o risco e exigem maiores cuidados, preven-
TÓPICOS ção e controle.
DESTA UNIDADE Nesta unidade, você será apresentado ao conteúdo que ajudará a encon-
trar respostas para essa e outras perguntas.
4.1 INTRODUÇÃO
Bom estudo!
4.2 PROGRAMA DE RETENÇÃO E
TRANSFERÊNCIA DE RISCOS
OBJETIVOS DA UNIDADE
4.3 PROGRAMA DE PREVENÇÃO ! Apresentar as principais práticas de prevenção e controle de riscos.
E CONTROLE DE PERDAS

4.4 PLANOS DE EMERGÊNCIA

4.5 ESTUDOS DE CASO

RESUMO

REFERÊNCIAS BIBLIOGRÁFICAS

Gestão de Risco 1
 UNIDADE 4

4.1 INTRODUÇÃO
Em um passado não muito remoto, pouca importância se dava aos mé-
todos científicos de administração e, consequentemente, à questão dos
riscos e controles internos.

Com o crescimento econômico e o desenvolvimento tecnológico, ficou impos-

sível para as empresas de porte sobreviverem sem mecanismos para garantir
a consecução de seus objetivos empresariais e a continuidade de seus negó-
cios e atividades.

Jules Fayol (1916) reconheceu, há algumas décadas, que:

[...] num empreendimento, o controle consiste em verificar se tudo cor-

re em conformidade com o plano adotado, as instruções emitidas e
os princípios estabelecidos. Tem por objetivo apontar as falhas e os
erros para retificá-los e evitar sua reincidência. Aplica-se a tudo: coisas,
pessoas, atos.

Pode-se medir a necessidade de controles analisando-se o ciclo vital de uma

empresa. Em sua fase inicial, o dono é o ponto principal e dele emanam os
comandos e as verificações, ou seja, os controles. À medida que a empresa
cresce e se diversifica, sua estrutura organizacional se torna maior e mais com-
plexa e, consequentemente, fica inviável para o empresário controlar sozinho
todas as fases e atividades, e o número de riscos torna-se cada vez maior. As-
sim, funções são delegadas a outras pessoas dentro da estrutura empresarial.

Gestão de Risco 2
 UNIDADE 4

Nossa intenção é apresentar uma visão integrada de gerenciamento de riscos,

de oportunidades e de controles para agregar valor às empresas.

Nesta unidade, você vai conhecer algumas técnicas e mecanismos usuais para
a prevenção e o controle de riscos.

4.2 PROGRAMA DE RETENÇÃO

E TRANSFERÊNCIA DE RISCOS
As formas de tratamento de risco, como já vimos anteriormente, são: evi-
tar, reter, prevenir, mitigar e transferir.

O seguro compõe o processo de tratamento do risco por transferência. Já o

autosseguro e a autoadoção fazem parte da retenção (RUPPENTHAL, 2013).

ESQUEMA 2 PROCESSO DE TRATAMENTO DO RISCO

IDENTIFICAÇÃO
DOS RISCOS
IDENTIFICAÇÃO

ANÁLISE

AVALIAÇÃO
ANÁLISE ANÁLISE DAS PROBABILIDADES E CAUSAS E
TRATAMENTO DOS RISCOS CONSEQUÊNCIAS DOS ACIDENTES

ANÁLISE DE RISCOS

FINANCIAMENTO
DE RISCOS AVALIAÇÃO
DOS RISCOS
MUDANÇAS
TÉCNICAS-OPERATIVAS

PREVENÇÃO
FINANCIAMENTO
E CONTROLE

REDUÇÃO ELIMINAÇÃO DOS RETENÇÃO TRANSFERÊNCIA

DOS RISCOS RISCOS

POR MEIO
AUTOSSEGURO
DE SEGURO

AUTOADOÇÃO SEM SEGURO

Fonte: De Cicco e Fantazzini (2003)

Gestão de Risco 3
 UNIDADE 4

As alternativas de retenção e transferência de riscos constituem a etapa

de financiamento de riscos e podem ser divididas em retenção de riscos
(autoadoção ou autosseguro) e transferência de riscos a terceiros (sem
seguro ou por meio de seguro). Geralmente, somente os riscos com bai-
xa frequência e alta gravidade devem ser transferidos, os demais devem
ser retidos.

QUADRO 2 ALTERNATIVAS DE RETENÇÃO E TRANSFERÊNCIA

ALTA

RETENÇÃO RETENÇÃO
FREQUÊNCIA
BAIXA

RETENÇÃO TRANSFERÊNCIA

BAIXA ALTA
GRAVIDADE
Fonte: De Cicco e Fantazzini (2003)

Quando a empresa assume as possíveis perdas financeiras acidentais

decorrentes dos riscos do processo há retenção de riscos. Essa atitude
corresponde a um plano financeiro da própria empresa para enfrentar
perdas acidentais.

As formas de retenção de riscos podem ser classificadas em: autoado-

ção (intencional e não intencional) e autosseguro (parcial e total). O au-
tosseguro pode ser diferenciado da autoadoção pelo fato de que esta
última não exige ou não prevê um planejamento formal.

A adoção da retenção pode ser feita de várias maneiras diferentes:

Gestão de Risco 4
 UNIDADE 4

! Assumindo todas as perdas de um determinado tipo;

! Assumindo perdas até certo limite, transferindo ao seguro
o excedente;
! Estabelecendo fundos de reserva antes ou depois das perdas.
Não é recomendada a adoção de apenas um tipo de financiamento. De
acordo com o potencial danoso, com a frequência de ocorrência, com a
dinâmica e a imprevisibilidade dos acidentes e com o custo do seguro, a
empresa estabelece sua estratégia de financiamento dos riscos. Deve-
-se buscar a melhor relação custo-benefício entre a reserva de capital e
o pagamento de prêmios de seguro, levando em conta o binômio risco
segurado/risco não segurado. Um exemplo é a adoção do autosseguro
para perdas físicas e transferência do risco de responsabilidade civil.

A previsão de um percentual de perdas consideradas inerentes e inevi-

táveis ao sistema, que são suportáveis pelo capital de giro da empresa,
representa uma autoadoção de
riscos intencional. Já quando a
empresa desconsidera a influên-
cia das perdas no seu ativo finan-
ceiro a adoção é não intencional
(RUPPENTHAL, 2013):

! Autoadoção intencional: acar-

reta a aceitação de perdas consi-
deradas inevitáveis e suportáveis
em seu contexto econômico e
Fonte: Shutterstock

financeiro. Pode-se incluir nesse

contexto os pequenos furtos, per-
das resultantes do uso e desgas-
te de prédios, máquinas e equipa-
mentos, e perdas decorrentes de não pagamentos até certo
limite. A transferência desses riscos para a seguradora resulta-
ria em um prêmio excessivo que possivelmente seria superior
às perdas;
! Autoadoção não intencional: acarreta a aceitação de perdas que
não foram planejadas e que representam o inesperado, conse-
quência da não identificação dos riscos, da ignorância, ou até
mesmo do resultado de uma gestão ineficiente. A autoadoção
não intencional pode resultar em situações catastróficas, uma
vez que riscos graves podem passar despercebidos.
O autosseguro envolve um planejamento formal e o estabelecimento de
um capital de reserva para perdas. A empresa pode assumir os riscos de
forma total ou parcial, em circunstâncias similares em que ocorre o seguro:

Gestão de Risco 5
 UNIDADE 4

! Autosseguro parcial: parte dos riscos é assumida pela empre-

sa e o restante é transferido a terceiros;
! Autosseguro total: a empresa assume integralmente os riscos.
As razões principais que podem levar a empresa a adotar o
autosseguro, de acordo com De Chico e Fantazzini (2003), são:
! Redução de despesas na transferência de riscos com base
em seguros;
! Incentivo a ações de prevenção e de controle de perdas como
forma de reduzir os custos em autosseguro e em seguro;
! Soluções mais práticas e rápidas de sinistros que venham a
ocorrer sem a necessidade de perícia externa que ocorre em
casos de seguros;
! Atuação em riscos não segurados pelo mercado.
Para a adoção de autosseguro, alguns aspectos devem ser considerados:

! Os riscos a serem cobertos devem ser agrupados de forma

homogênea, que permita estabelecer valores médios. Os
bens protegidos devem estar afastados de forma a não permi-
tir a destruição simultânea;
! A situação financeira da empresa deve permitir a criação des-
ses fundos de seguro sem comprometer a operacionalidade;
! A adoção de autosseguros deve estar atrelada a um esforço
na implementação e manutenção de uma política de gerencia-
mento de risco, além de estudos estatísticos e adoção de
medidas concretas de segurança e prevenção.
A transferência de riscos a terceiros pode ser realizada sem seguro, ou
seja, por meio de contratos, acordos ou outras ações, ou por meio de
seguro convencional.

Quando acontece a transferência de riscos sem seguro, as responsa-

bilidades, garantias e obrigações de ambas as partes envolvidas ficam
devidamente explicitadas com base em contratos específicos. Esse tipo
de transferência é usual em serviços de construção, montagem, projetos,
transportes e outros, devendo haver consulta ao gerente de risco ou de
projetos com relação a termos contratuais.

A transferência de riscos a terceiros por meio de seguro realiza-se em

circunstâncias similares às do autosseguro. Porém, nesse caso, a empre-
sa seguradora assume a responsabilidade pelas perdas mediante o
pagamento de determinado prêmio. Como já definido, seguro é a opera-
ção pela qual o segurado, mediante o pagamento de um prêmio e obser-
vância de cláusulas de um contrato, obriga o segurador a responder por

Gestão de Risco 6
 UNIDADE 4

prejuízos ocorridos no objeto do seguro, consequentes dos riscos previs-

tos no contrato, desde que a ocorrência de tais riscos tenha sido fortuita
ou independentemente de sua vontade. Os contratos de seguro são
constituídos de cláusulas gerais e particulares, que definem as obriga-
ções e os direitos tanto do segurado como do segurador.
FIQUE LIGADO
O controle dos riscos é um
assunto cada vez mais relevante
nas empresas, principalmente
no cenário econômico
atual. Pesquise a respeito e
4.3 PROGRAMA DE
mantenha-se atualizado.
PREVENÇÃO E CONTROLE
DE PERDAS
Para um efetivo gerenciamento de riscos e controle de perdas é preciso
conhecer bem a que riscos a empresa está exposta.

O preenchimento de um questionário de riscos, por exemplo, que busca

relacionar os riscos expostos e os possíveis controles associados para
mitigação de perdas, é uma importante ferramenta inicial desse processo.

A mensuração qualitativa de riscos pode ser gerada por meio de uma

matriz de riscos, em que o nível de risco é definido pela composição
das variáveis frequência (probabilidade) e impacto financeiro (severida-
de), associadas aos eventos de perda (fatores de risco) inerentes ao pro-
cesso avaliado.

A matriz de riscos é uma ferramenta que pode ser empregada na análise

de riscos de processos de várias naturezas.

A tabulação dos riscos em uma matriz permite a clara e ordenada iden-

tificação dos riscos que podem afetar a empresa, tanto em termos de
frequência quanto de impactos organizacionais. Em geral, adota-se uma
classificação qualitativa para os níveis de frequência e de impacto, que
poderá variar em função do processo avaliado, da cultura da empresa ou
do segmento de mercado de atuação da empresa, entre outros fatores.

A matriz de risco é construída pela composição das variáveis severidade

e frequência, podendo ser dividida em regiões que caracterizam os ní-
veis de risco avaliados.

Gestão de Risco 7
 UNIDADE 4

A definição dos níveis pode variar em função do perfil de risco do gestor,

dos processos avaliados e dos produtos e serviços operacionalizados. É
importante ressaltar que as escalas de níveis de impacto de um risco po-
dem ser representadas não somente por impactos financeiros, mas tam-
bém por outras dimensões de impacto, como desempenho, imagem etc.

Uma primeira definição, crucial para o bom andamento do processo, é a

formalização do dicionário de riscos (ou universo de riscos). Ele deve des-
crever todas as categorias de risco às quais a organização está exposta.

Exemplos de categorias de risco comuns: riscos operacionais, riscos de

mercado, riscos de crédito, riscos de underwriting, riscos de liquidez, ris-
co estratégico etc.

Em muitos casos, faz-se neces-

sário um detalhamento maior
dessas categorias, o que pode
ser feito usando-se categorias
e subcategorias de riscos. Por
exemplo: a categoria de riscos
operacionais poderia ser detalha-
da em subcategorias como riscos
ambientais, riscos de continuida-
de dos negócios, riscos de capa-
Fonte: Shutterstock

cidade etc. Alguns exemplos de

classificação de riscos bastante
usadas são as categorias de frau-
des, demandas trabalhistas, para
a Basileia, as categorias relacionadas às assertivas das contas materiais
existentes nos relatórios financeiros (existência e ocorrência, comple-
tude/integração, avaliação e alocação, direitos e obrigações, apresen-
tação e divulgação para SOX) e as categorias de risco da diretiva de
solvência da comunidade europeia (subscrição, mercado, crédito, ope-
racional, liquidez e concentração).

A definição de um dicionário de risco é importante por duas razões. Por

um lado, a definição do dicionário garante a robustez no levantamento
de riscos, assegurando que todos os riscos pertinentes à empresa serão
mapeados e, por outro, se bem aplicada, ela ajuda a gerenciar o esforço
da organização ao garantir que a construção das matrizes de risco esteja
focada nos problemas centrais da empresa.

Outra questão-chave para a criação da estrutura de controles internos

é a definição dos atributos a serem avaliados para cada um dos riscos.
Já foi discutido como certos atributos podem ser avaliados em relação a
escalas (como alto, médio e baixo). Pode-se, também, avaliar riscos por

Gestão de Risco 8
 UNIDADE 4

meio de classificação em diferentes categorias (como pessoa, processo

ou sistema). Entretanto, as classificações mais utilizadas para risco são:

Risco inerente × risco residual

Uma decisão importante é optar por uma avaliação separada dos ris-
cos em relação a “risco inerente” e “risco residual”. De maneira prática,
avaliar o risco inerente significa avaliar a probabilidade e a severidade
da ocorrência de um risco, desconsiderando-se a estrutura de controles
atual (ASSAD, 2010). A avaliação de risco residual é análoga, exceto por
considerar a existência da estrutura de controles atual.

A realização de ambas as avaliações é indicada quando se deseja medir

a efetividade da estrutura de controles, já que essa é exatamente a di-
ferença entre o risco inerente e residual. Além disso, a análise do risco
inerente e residual promove uma compreensão da eficiência da estrutu-
ra de controles, permitindo a identificação de possíveis excessos na es-
trutura de controles internos — por exemplo: se existem muitos controles
para mitigar um risco que inerentemente já é baixo.

Vale ressaltar, entretanto, que essa distinção não é um consenso entre as

normas e muitas organizações possuem grande dificuldade em avaliar
o que seria risco inerente, pois não conseguem visualizar sua operação
sem os controles existentes.

Código de referência

Outro insight prático importante é a criação de códigos de referência para

os riscos identificados. A criação desses códigos, associados ao dicionário
de risco, permite a realização de consultas e queries por risco nas matrizes
de risco. Isso se mostra particularmente relevante porque as matrizes de
risco são normalmente feitas por processo e muitos riscos aparecem em
mais de um processo (constituindo, portanto, mais de uma matriz).

De forma análoga ao que foi comentado para o risco, deve-se definir

quais atributos serão utilizados para classificar os controles e como essa
caracterização será feita (em escalas, qualificações etc.). Na prática, es-
sas classificações auxiliam no entendimento de diversas propriedades
de controle, apoiando discussões de priorização de ações de melhoria e
análises de gaps. As classificações mais utilizadas de controle são:

! Controle manual × controle automático: uma operação supor-

tada por sistemas mais robustos de TI (como pacotes prontos
ou ERPs) está sujeita a falhas nos sistemas, falta de disponibi-
lidade ou erros lógicos dentro deles. Já uma operação mais
manual é exposta a erros de informações, falta de disponibili-
dade de dados etc.;

Gestão de Risco 9
 UNIDADE 4

Dessa forma, a classificação do controle em manual e automático facilita

o entendimento de como as deficiências de controle podem impactar a
operação, apoiando, assim, o projeto de testes de controles e a avalia-
ção de possíveis gaps da operação.

! Detectivo, preventivo, corretivo e compensatório: um controle

preventivo tende a agir sobre a probabilidade de ocorrência
de um determinado evento, impedindo que esse aconteça. Já
um controle detectivo visa detectar um evento no momento
em que ele ocorre, de forma a mitigar a sua severidade. Um
controle corretivo é projetado para detectar eventos após a
sua ocorrência e leva a ações que diminuam a severidade do
problema. Um controle compensatório tende a existir para con-
trabalancear uma falha em estrutura de controles, impedindo
que eventos de risco ocorram ou diminuindo sua severidade;
Essa classificação facilita distinguir em que momento um controle atua e
se essa atuação acontece sobre a probabilidade de ocorrência de evento
ou sobre a sua severidade. O uso de controles compensatórios também
se mostra uma opção interessante para organizações menores que dese-
jam diminuir o custo de estrutura de controles. Dessa maneira, uma análise
interessante de estrutura de controles pode ser realizada com base em
categorização de controles associada à avaliação de riscos existentes.

! Compliance interno e externo:

muitas vezes, no ambiente de rápida
mudança em que as empresas se in-
serem, o risco de inadequação com
normas reguladoras está associado
à não aderência a políticas, proce-
dimentos e manuais internos de
operação ou a padrões técnicos de
referência (como ISO; British Stan-
dards etc.). Com isso, pode-se repli-
car o conceito de compliance com
Fonte: Shutterstock

normas e órgãos reguladores para

entender que o compliance deve
acontecer também internamente;
Dessa forma, os registros de riscos
e controles devem apontar os itens de compliance externo (regulações, nor-
mas e leis) e compliance interno (procedimentos, manuais, políticas e nor-
mas técnicas) relacionados a cada item identificado. Isso permite o enten-
dimento de como cada evento de risco pode implicar, também, um evento
de não compliance. Em alguns casos, podem surgir dúvidas técnicas como:
“Um procedimento deve ser considerado um controle ou um documento
que agrupa um conjunto de controles a serem realizados?” Para saná-las, é
fundamental a associação de procedimento a risco envolvido, podendo-se,
assim, entender o grau de granularidade/detalhamento necessário;

Gestão de Risco 10
 UNIDADE 4

! Primário e secundário: um controle primário é aquele que é

constituído de atividades ou tarefas realizadas que são particu-
larmente críticas para a mitigação de risco associado (ASSAD,
2010). Controles primários proveem garantia razoável de que
os objetivos da operação serão atingidos por meio da redução
do risco de um resultado indesejado a um nível aceitável. Além
disso, esses controles são confiáveis do ponto de vista de seu
design e efetividade. Já controles secundários são controles
que não são considerados tão importantes em relação à sua
contribuição para a mitigação do risco em questão.
Muitas vezes, esses controles não são totalmente confiáveis do ponto de
vista de seu design e efetividade, sendo frequentemente associados a
controles compensatórios.

A identificação dos controles que melhor mitigam cada risco é importante

para a priorização de gaps, deficiências e melhorias da estrutura de contro-
le, assim como para agilizar processos de testes e de auditoria de controles.
Em uma ação de melhoria da estrutura de controles internos, por exemplo,
filtrar a análise da população de controles para uma amostra de controles
críticos é essencial para garantir resultados rápidos e de baixo custo.

Bases de perdas internas são bases de dados para o registro de informa-

ções a respeito das perdas sofridas pela organização (ASSAD, 2010). De
acordo com a publicação Risk Management Toolkit da Lloyd’s, bases de
perdas internas são ferramentas de grande importância para:

! Medir a exposição a risco de forma apurada;

! Avaliar a eficácia e a eficiência de controles existentes e justi-
ficar o investimento em novos controles;
! Identificar padrões e lições a serem aprendidos;
! Usar os dados sobre perdas para alimentar modelos matemá-
ticos para cálculo de capital.
A mesma fonte também define três categorias de eventos de perdas internas:

! Perdas ocorridas: um incidente que resultou em um impacto

financeiro negativo para o negócio;
! Perda potencial: um incidente que foi descoberto podendo ou
não resultar efetivamente em uma perda financeira;
! Quase-perda: um incidente com potencial de perda para a or-
ganização, descoberto por meios diferentes de seus padrões
normais de operação, e que, por sorte ou por uma ação espe-
cífica e não programada da gerência, teve um impacto nulo ou
mesmo positivo.

Gestão de Risco 11
 UNIDADE 4

Embora seja uma fonte valiosíssima de informação, o histórico de perdas

de uma organização não é capaz de representar toda a sua real exposi-
ção. Isso porque a informação nela contida diz respeito apenas às per-
das que a organização experimentou ou, no máximo, foi capaz de detec-
tar. Uma prática muito utilizada para contornar essa limitação é o uso de
informações de perdas de outras empresas: a base de perdas externas.

As bases de perdas externas podem trazer benefícios à organização por

meio de três formas principais:

! Testar a capacidade de resposta do ambiente de controle contra

eventos de perdas externas, com o objetivo de averiguar a efe-
tividade dos controles em ajudar a evitar ou mitigar tais eventos;
! Ajudar na criação de análises de cenários mais robustos, com
o propósito de averiguar requerimentos de capital;
! Prover dados adicionais com potencial para apoiar a modela-
gem de requerimentos de capital. No entanto, um julgamento
cuidadoso é necessário a respeito da relevância desses da-
dos, tendo em vista diferenças relativas a nichos de mercado,
ramos explorados, escalas operacionais, sistemas de controle,
culturas e à provável completude dos dados.
Além disso, com uma base de perdas externas, o conjunto de dados for-
mado por eventos de perda torna-se mais universal, ou seja, representa
a realidade e as experiências sofridas por outras empresas, tornando
esse conjunto de dados mais aderente e mais condizente com o ambien-
te em que a organização se encontra.

4.4 PLANOS DE EMERGÊNCIA

Atualmente conhecida como “gestão de continuidade de negócios”, essa
é uma abordagem integrada que envolve a mobilização de toda a organi-
zação para gerenciar crises e recuperar as operações após a ocorrência
de qualquer evento que cause uma ruptura operacional.

Um plano de continuidade (PCN) descreve as ações e os processos ne-

cessários para recuperar as operações em caso de ruptura. Um plano
de recuperação de desastres em TI (PRD) descreve os procedimentos
para recuperar os sistemas e componentes de infraestrutura em casos
de desastre. Já o plano de gestão de crises (PGC) endereça todos os ele-
mentos necessários à atuação coordenada durante a crise e à tomada

Gestão de Risco 12
 UNIDADE 4

de decisão de contingência e acionamento das equipes. Juntos, esses

planos são o mecanismo necessário para garantir que uma organização
possa se recuperar de forma eficaz após um desastre.

As organizações que não possuem planos de contingência estão sujeitas

a impactos significativos e a atrasos no processo de recuperação após
um evento de catástrofe. Muitas dessas organizações podem nunca se
recuperar. As organizações, portanto, precisam assegurar a existência
de planos adequados, testados, para facilitar a recuperação. Essa é uma
questão relevante para todas as organizações.

O Esquema a seguir explicita, de forma sucinta, a implantação de uma

GCN (Gestão da Continuidade de Negócio) ou BCM (Business Continuity
Management) em uma organização e sua continuidade.

ESQUEMA 3 IMPLANTAÇÃO DE UM BCM

BCM na Cultura da O
r rga
enta niz
m a
le
p

çã
Im

Entender a

o
organização

PROGRAMA DE Determinar as
Exercitar, GERENCIAMENTO DO estratégias do
manter e BCM − BUSINESS BCM − Business
rever CONTINUITY Continuity
MANAGEMENT Managemennt

Desenvolver e implementar
as respostas do
BCM − Business Continuity
Management

Fonte: O autor (2018)

É fundamental que as organizações entendam o nível de maturidade de

seus processos de negócio e definam os níveis de gestão e de controle

Gestão de Risco 13
 UNIDADE 4

que desejam. É importante ter o senso crítico e desapegado, de forma a

refletir adequadamente a real situação dos processos na empresa.

Os níveis de maturidade podem ser descritos como:

! Inexistente: não há processos mapeados e descritos na empresa.

Os colaboradores e a alta gestão desconhecem o tema GCN;
! Inicial: a organização admite e reconhece minimamente a neces-
sidade de se preocupar com o tema continuidade de negócio;
! Repetitivo: a alta administração reconhece a necessidade de
se preocupar com continuidade de negócio. As responsabili-
dades, contudo, ainda não estão
definidas. Em uma contingência
real, não há processo estruturado
de administração;
! Definido: os processos críticos
estão mapeados e apontados,
além de atualizados. É efetuado
treinamento regular de pessoas
sobre o tema, com a finalidade
de minimizar as perdas. Existem
Fonte: Shutterstock

testes periódicos com o objetivo

de testar o plano de continuidade
– PCN;
! Administrado: os mapeamentos de processos estão atualiza-
dos e são assim mantidos. São realizados testes periódicos
do PCN, com a respectiva documentação e incorporadas as
melhorias. Os incidentes são classificados e reconhecidos por
todos os participantes do PCN;
! Otimizado: é o nível mais alto de maturidade de um PCN. Os
processos críticos estão atualizados e são mantidos assim, com
revisões regulares e programadas. São adotadas melhores prá-
ticas de mercado de PCN, com a realização de benchmarking
com empresas do mesmo ramo de negócio. A alta administra-
ção dá total apoio ao tema PCN e reconhece seu valor. O ge-
renciamento de risco faz parte da cultura de todas as áreas da
organização. Todos os planos inerentes ao PCN são mantidos
atualizados e são constantemente aprimorados. Nessa etapa,
a organização deverá elaborar um organograma de responsa-
bilidade, como o exemplificado no quadro a seguir:

Gestão de Risco 14
 UNIDADE 4

QUADRO 3 ORGANOGRAMA DE RESPONSABILIDADE

COMITÊ DE CONTINGÊNCIA DO NEGÓCIO

DIRETORIA

ASSESSOR DE ASSESSOR
COMUNICAÇÃO JURÍDICO

INFRAESTRUTURA TECNOLOGIA

CONTROLES
SECRETARIA
INTERNOS

COMITÊ DE
CONTINGÊNCIA GRUPO DE
DO NEGÓCIO AVALIAÇÃO DO IMPACTO

INFRAESTRUTURA
GRUPO DE
ADMINISTRAÇÃO DA
CONTIGÊNCIA ASSESSORIA
INSTITUCIONAL SECRETARIA

GESTÃO DE
FINANCEIRO PESSOAS

PRODUTOS INFRAESTRUTURA

CONTABILIDADE TECNOLOGIA

CONTROLADORIA OPERAÇÃO

Fonte: O autor (2018)

Um dos documentos mais relevantes de um PCN é a análise de impacto

de negócios (BIA – Business Impact Analysis). Ela deve ser elaborada
com todo poder crítico possível, pois refletirá as fraquezas da organiza-
ção diante de uma contingência. Entre os itens fundamentais que esse
documento deve possuir, destacamos:

Gestão de Risco 15
 UNIDADE 4

! Apuração da forma mais precisa possível sobre os impactos

financeiros, operacionais e de imagem que uma contingência
pode trazer para o negócio;
! Identificação dos processos fundamentais (críticos) para
o negócio;
! Identificação das dependências internas (pessoas, recursos) e
externas (fornecedores);
! Identificação dos recursos fundamentais, críticos para o funcio-
namento do negócio;
! Levantamento de prazos e momentos em que os processos
são mais afetados em um determinado período de tempo;
! Estimativa de impacto e severidade nos processos classifica-
dos como críticos;
! Estimativa de tempo de tolerância para o retorno de funciona-
mento do processo crítico mapeado.
Não menos importante, há que se destacar o papel da execução de tes-
SAIBA MAIS tes regulares reais, em ambientes controlados, com acompanhamento
Para mais informações e de órgãos independentes tais como auditorias e a difusão da cultura de
curiosidades, consulte o site PCN por toda a organização.
www.abnt.org.br. Acesso
Como forma de aferir a efetividade de um PCN, pode-se elaborar, após
em: 02 de jul. 2018.
os testes, questionários para todos os participantes, com abertura a críti-
cas e sugestões de melhorias.

4.5 ESTUDOS DE CASO

A seguir, vamos analisar os casos da empresa Metallgesellschaft e do
banco inglês Barings, relatados em Alcantara (2010), na perspectiva da
gestão de risco.

Caso 1

No início de 1993, a Metallgesellschaft era o décimo-quarto maior con-

glomerado industrial alemão. Contava então com 58 mil empregados.
Suas dificuldades começaram quando sua subsidiária norte-americana,
a Metallgesellschaft Refining & Marketing, decidiu vender contratos de
longo prazo (até 10 anos de duração) para distribuição de combustíveis
no montante de 180 milhões de barris. Essa decisão da subsidiária

Gestão de Risco 16
 UNIDADE 4

norte-americana foi tomada sem consulta à matriz alemã. Identifica-se

já aqui o risco operacional presente.

A estratégia de hedge da subsidiária norte-americana era utilizar o mer-

cado de contratos futuros para reduzir sua exposição a variações dos
preços de petróleo. A grande dificuldade para a Metallgesellschaft Refi-
ning & Marketing é que os contratos futuros sobre petróleo disponíveis
em bolsas de derivativos mundiais são todos de curto prazo. Surgia o
chamado basis risk, oriundo do fato de contratos futuros de curto prazo
sobre petróleo estarem sendo utilizados para gerenciar a exposição de
contratos de longo prazo. Identifica-se aqui a necessidade de cuidado
máximo com o gerenciamento do risco de mercado da exposição aos
preços do petróleo.

O problema ficou aparente para a matriz alemã quando o preço do pe-

tróleo caiu de $ 20/barril para $ 15/barril em 1993. Quase $ 1 bilhão em
ativos líquidos foram solicitados pelas bolsas de derivativos como mar-
gens para as posições em futuros da subsidiária norte-americana. Uma
dimensão do risco de mercado, o risco de liquidez, estava presente no
problema da Metallgesellschaft. A decisão da matriz alemã foi demitir a
cúpula de sua subsidiária norte-americana e liquidar todas as posições
em futuros e contratos de longo prazo para entrega de combustíveis. As
perdas foram da ordem de grandeza de $ 1.3 bilhões. O Deutsche Bank
financiou a Metallgesellschaft em $ 2.4 bilhões, salvando o então gigante
alemão. O preço da ação da Metallgesellschaft caiu de 64 marcos para
24 marcos, levando a perdas de mais de 50% do seu valor de mercado.

Caso 2

No dia 26 de fevereiro de 1995, as notícias sobre o colapso do Barings

chegaram à imprensa britânica. Um operador de derivativos baseado em
Cingapura, Nicholas Leeson, havia causado perdas da ordem de gran-
deza de $ 1.3 bilhões. O valor das ações do Barings, fiel depositário de
parte da riqueza pessoal da monarquia britânica, com 233 anos de exis-
tência, havia desaparecido.

A história do colapso do Barings inicia-se alguns anos antes, quando

Leeson era visto como o mais promissor operador da instituição. Em
1994, Leeson obteve pessoalmente quase 20% dos ganhos do Barings.
Isso tornou-o muito poderoso no escritório do Barings em Cingapura,
sem qualquer supervisão no que se refere aos seus limites operacionais.
Por exemplo: pedidos seus para depósito de margens no valor de $ 1 bi-
lhão foram feitos e aceitos pela matriz londrina.

A falta de controles operacionais é clara nesse ponto. Leeson posicionou

o Barings em vários derivativos no mercado asiático. A posição principal era
de $ 7 bilhões em contratos futuros sobre o índice do mercado acionário

Gestão de Risco 17
 UNIDADE 4

japonês Nikkei 225. Essas posições foram tomadas nas bolsas de deriva-
tivos de Osaka (Japão) e Cingapura. Durante os dois primeiros meses de
1995, o mercado acionário japonês (medido pelo índice spot Nikkei 225)
caiu 15%. As posições do Barings, sob a responsabilidade de Leeson,
sofreram perdas enormes. Pior ainda, Leeson achou que estava corre-
to (e o mercado errado!), e tomou posições ainda maiores nos mesmos
contratos futuros, esperando que o Nikkei 225 revertesse sua tendência
de queda. Diante do volume de perdas, Leeson abandonou seu posto
no Barings de Cingapura, mandando um fax para seus superiores em
Londres com um pedido de desculpas.

A próxima queda observada foi a do próprio Barings, comprado pelo

grupo holandês Internationale Nederlanden Group (ING) por uma única
libra esterlina. Leeson foi condenado a seis anos e meio de prisão pela
justiça britânica.

Gestão de Risco 18
 UNIDADE 4

RESUMO
Nesta unidade, você conheceu as principais práticas de prevenção e
de controle de riscos. Foram apresentados conceitos e práticas sobre
o tema, dando a você mais de um enfoque sobre o assunto. Os itens
abordados visam oferecer um contato mais aprofundado com o tema e
provocar a curiosidade de pesquisa e busca de novos conhecimentos.

Você conheceu temas como programa de retenção e transferência de

riscos, de prevenção e controle de perdas e planos de emergência.

Viu ainda dois estudos de caso em que o risco se materializou de forma

bastante significativa nas organizações citadas.

Gestão de Risco 19
 REFERÊNCIAS BIBLIOGRÁFICAS

REFERÊNCIAS BIBLIOGRÁFICAS
ABNT, Associação Brasileira de Normas Técnicas. ABNT NBR ISO 31000.
Gestão de Riscos – princípios e diretrizes. Rio de Janeiro, 2009. Disponí-
vel em: <https://gestravp.files.wordpress.com/2013/06/iso31000-gest-
c3a3o-de-riscos.pdf>. Acesso em: 13 mar. 2018.

AIKEN, M.; KROSP J.; SHIRANI, A.; MARTIN J. Electronic Brainstorming in

small and large group. Information & Management. v. 27, p. 141-149. 1994.

ALCANTARA, A. A Importância do Gerenciamento de Riscos Corpora-

tivos das Finanças à Segurança. Brasília: CONFAI – Conselho Nacional
dos Agentes de Investigações, 2010.

ALVIM, P. O contrato de seguro. Rio de Janeiro: Forense, 2001.

ANDRADE, J. Gerenciamento de Riscos Operacionais. São Paulo:

2º Global Risk Meeting, 2007.

ASSAD, A. et al. Controles Internos Supervisão. Rio de Janeiro: Funen-

seg, 2010.

AUSTRALIAN/NEW ZEALAND STANDARD. Risk Management. AS/NZS

4360:2009. Disponível em: <https://www.ucop.edu/enterprise-risk-
management/_files/as_stdrds4360_2004.pdf>. Acesso em: 13 mar.
2018.

BERNSTEIN, P. L. Desafio dos deuses, a fascinante história do risco. Rio

de Janeiro: Campus, 1997.

BRASIL, Banco Central do Brasil. Resolução nº 3380, de 29 de junho de

2006. Dispõe sobre a implementação de estrutura de gerenciamento do
risco operacional. Disponível em: <http://www.bcb.gov.br/pre/normativos/
res/2006/pdf/res_3380_v2_L.pdf>. Acesso em 13 mar. 2018.

Gestão de Risco 20
 REFERÊNCIAS BIBLIOGRÁFICAS

BRASILIANO, A. C. R. Manual de planejamento: gestão de riscos corpo-

rativos. São Paulo: Sicurezza, 2003.

BRITO, O. S. Gestão de riscos: uma abordagem orientada a riscos opera-

cionais. São Paulo: Saraiva, 2007.

CHAPMAN C.; WARD. S. Project Risk Management. New York-USA: John

Wiley, 2002.

CHAPMAN, R. J. The role of system dynamics in understanding the im-

pact of changes to key personnel on design production within construc-
tion projects. International Journal of Project Management, v. 16, n. 4,
p. 235-247, 1998.

COAF. Conselho de Controle de Atividades Financeiras. Disponível em:

<www.coaf.fazenda.gov.br>. Acesso em: 12 mai. 2018.

COCURULLO, A. Gestão de riscos corporativos: riscos alinhados com

algumas ferramentas de gestão: um estudo de caso no setor de celulose
e papel. São Paulo: Scortecci, 2002.

COSO, Committee of Sponsoring Organizations of The Treadway Commis-

sion. Enterprise Risk Management – Integrated Framework, 2004. Dispo-
nível em: <https://www.coso.org/Pages/erm-integratedframework.aspx>.
Acesso em 13 mar. 2018.

DE CICCO, F.M.A.F.; FANTAZZINI, M.L. Tecnologias consagradas de

gestão de riscos: riscos e probabilidades. São Paulo: Séries Risk Mana-
gement, 2003.

DORFMAN, M. S. Introduction to risk management and insurance. New

Jersey: Pearson Prentice Hall, 2007.

ELOGROUP.BoasPráticasparaoUsoEstratégicodeControlesInternos.2007.
Disponível em: <http://docplayer.com.br/13840979-Boas-praticas-para-o-
uso-estrategico-de-controles-internos.html>. Acesso em: 13 mar. 2018.

FAYOL, J. H. Administration industrielle et générale; prévoyance, orga-

nisation, commandement, coordination, controle. Paris: H. Dunod et E.
Pinat OCLC, 1916.

FRANK, W. Certificação Técnica Seguradoras – Controles Internos. Rio

de Janeiro: Funenseg, 2011.

Global Risk Meeting 2007. Gerenciamento de Riscos Operacionais.

11/09/2007. Disponível em: http://www.globalriskmeeting.com.br/pdf/glo-
bal%20meeting%202007.pdf. Acesso em: 30 ago. 2018

GUIMARÃES, L. S. Gerenciamento de Riscos e Segurança de Sistemas.

Rio de Janeiro: Casa da Palavra-LeYa, 2003.

Gestão de Risco 21
 REFERÊNCIAS BIBLIOGRÁFICAS

HOPE, W. T. Introdução ao gerenciamento de riscos. Tradução de Gus-

tavo Adolfo Araújo Caldas. Rio de Janeiro: Funenseg, 2002.

KELLY, B. Fundamentos básicos de gerenciamento de riscos. Rio de

Janeiro: Funenseg, 2011.

KERZNER, H. Project Management: a systems approach to planning,

scheduling, and controlling. New York, USA: John Wiley & Sons, 2001.

MORANO, C. A. R. Aplicação das Técnicas de Análise de Risco em

Projetos de Construção. 206 f. Dissertação (Mestrado em Engenharia
Civil) – Universidade Federal Fluminense – UFF, Niterói, 2003.

NAVARRO, A. F. Gerenciamento de riscos industriais. Rio de Janeiro:

Funenseg, 1996.

PASSEINAFUVEST.COM. A pré-história e as origens do homem americano.

Disponível em: <https://passeinafuvest.wordpress.com/2015/06/26/a-
pre-historia-e-as-origens-do-homem-americano/>. Acesso em: 12 mar. 2018.

PROJECT MANAGEMENT INSTITUTE (PMI). A Guide to the Project

Management Body of Knowledge: PMBOK guide. 3. ed. Pennsylvania,
USA: 2004, 388 p.

RUPPENTHAL, J. E. Gerenciamento de Riscos. Santa Maria: CTISM Co-

légio Técnico Industrial da Universidade Federal de Santa Maria, 2013.

SALLES JR., C. A. C. et al. Gerenciamento de riscos em projetos. Rio de

Janeiro: FGV, 2006.

SUSEP, Superintendência de Seguros Privados. Circular SUSEP nº 249,

de 20 de fevereiro de 2004. Dispõe sobre a implantação e implementa-
ção de sistema de controles internos nas sociedades seguradoras, nas
sociedades de capitalização e nas entidades abertas de previdência
complementar. Disponível em: <http://www2.susep.gov.br/biblioteca-
web/docOriginal.aspx?tipo=1&codigo=14777>. Acesso em: 13 mar. 2018.

UHER, Thomas E. Toakley, RAY, A. Risk management in the conceptual

phase of a project. International Journal of Project Management, v. 17,
n. 3, p. 161- 169, 1999.

Gestão de Risco 22