Escolar Documentos
Profissional Documentos
Cultura Documentos
GESTÃO DE
RISCOS
Fevereiro/2024
Sumário
1. Conceitos Gerais .................................................................................................................... 3
2. Relação entre Gestão de Riscos e Governança coorporativa ................................................ 3
3. Como fazer gestão de riscos .................................................................................................. 3
4. O que é risco e como calcular risco ........................................................................................... 4
4. Classificação de Risco ............................................................................................................ 6
5. Níveis de risco: Impacto e Probabilidade dos Riscos............................................................. 7
6. Definição da probabilidade do risco ...................................................................................... 7
1. Conceitos Gerais
Cada vez mais eventos considerados improváveis acontecem e gerem impactos consideráveis no
dia a dia, advindo de desdobramentos inesperados. As guerras na Europa (Ucrânia e Russia)
mostram que o efeito não é apenas social e humano, no local onde o conflito ocorre, as
interações nas cadeias de suprimentos, mas também desdobramentos inimaginados, como
impactos econômicos globais, por conta das macro economias estarem muito interligadas.
A obstrução do canal de Suez, ocasionado impactos a nível global dos prazos e custos logísticos
entre os mercados orientais e ocidentais, entre outros.
O ente central da organização, que é seu conselho administrativo define os objetivos baseados
nos inventários de risco, em todos os aspectos do negócio.
A transparência é outro ponto fundamental para a governança, para evitar a todo custo
problemas oriundos de descumprimento consciente ou por inobservância de regulações, que
pode provocar multas e a depender do diâmetro, causar sérios danos a reputação da
organização.
Como a governança atua sobre as questões relacionadas a ESG, também são forte relações
deste ente ao gerenciamento de riscos.
Riscos externos são mais difíceis de prever e portanto de assinalar como riscos, diferente dos
riscos internos, como por exemplo falta de fluxo de caixa oriundo de projetos de expansão da
organização (sem provisionamento, sem payback, sem estratégia de retorno, etc.).
Também podem ocorrer fraudes, geradas pelos próprios colaboradores, onde a fiscalização é
frágil, como por exemplo na gestão de estoques ou na gestão contábil, construindo relatórios
falsos, etc (CASO AMERICANAS).
Ficar atento as discussões políticas e governamentais, que podem gerar impactos externos caso
avancem, apesar de serem mais difíceis de prever. Sendo assim é mais simples e mais efetivo
olhar primeiro para os processos internos.
FASES
1) Entender a operação: Cada organização atua sobre uma regulamentação diferente, então
conhecer o negócio é o primeiro passo.
2) Identificação de riscos: Quais os riscos que atuam sobre a organização, dado a regulação do
negócio e a maturidade dos processos.
4) Análise de risco: Aqui o risco chega classificado (operacional, estratégica, etc) e analisar o risco
sobre duas variáveis impacto e probabilidade baseados em parâmetros pré-definidos pelas
métricas estabelecidas desde a governança.
5) Tratamento dos riscos: Aqui são tomadas as decisões para atuar, com planos de ação efetivos,
nos riscos de maior impacto, probabilidade e que afetem regras de negócio mais específicas.
Lembrando que podem haver incertezas que causam danos, mas também incertezas que
geram benefícios.
Risco possui duas variáveis importantes que são IMPACTO e PROBABILIDADE, com menos
relevância também existem VELOCIDADE e ASSERTIVIDADE, mas que são usadas para
modelagem de maior complexidade.
Exemplo:
O risco A pode gerar um impacto de R$50K e muito maior do que o risco B, que é de R$20K,
porém o Risco B possui probabilidade de 50%, enquanto o risco A possui apenas 5% de
probabilidade.
NR = Impacto x Probabilidade
Probabilidade pode ser percentual, mas também pode ser descritiva (alta, média, baixa), etc.
Exemplo:
Sua loja está localizada em uma região com histórico de inundação, o que pode fazer com que
parte do seu estoque seja perdido.
Cenário A
Probabilidade: Alta
Cenário B
Probabilidade: média
Probabilidade média: 3
Probabilidade alta: 5
Apesar dos cenários serem diferentes a pontuação é a mesma, sob o mesmo contexto. Uma
ação de mitigação deste risco, tende a gerar redução do NR para ambos.
4. Classificação de Risco
Riscos sempre tem um nível de incerteza, e possuem inerentemente classificações. Para isso
dois elementos são fundamentais ORIGEM e OBJETIVO AFETADO. Existem também outras
classificações para Nivel de Risco, que são o NÍVEL DE RISCO INERENTE e NÍVEL DE RISCO
RESIDUAL.
• Risco de origem Interna: Ocorrem dentro dos processos da organização. Por exemplo
um erro de calculo de tributos, que acaba gerando multas por erros de recolhimento.
Ou erro de custeio do produto, acidente de produto, vazamento de dados, etc. Para
estes riscos a abordagem é mais direta, pois temos atuação direta sobre eles. Se as
pessoas ou os processos tem probabilidade de desvio seja por conduta, falha de
sistema, falha de equipamento, etc.
• Risco de origem: São aqueles que ocorrem fora dos limites da organização e não estão
sobre seu controle, por exemplo elevação da taxa de juros, flutuação da taxa de
câmbio, mudança nas regras tributárias, vigência de regulações para seu negócio, etc.
Nível de Risco ou “NR” é um produto do Impacto (I) multiplicado pela Probabilidade (P).
𝑁𝑅 = 𝐼 ∗ 𝑃
Porém o Nível de risco pode ser dividido também entre Nível de Risco Inerente (NRI) e Nível de
Risco Residual (NRR).
• Nível de Risco Inerente (NRI): São aqueles que ocorrem dentro dos processos da
organização onde não há controle de riscos para mitigação, atenuação ou eliminação
do risco. Por exemplo, em um processo de contas a pagar, não haver uma aprovação
antes dos lançamentos serem realizados ou um “check” para verificar se não há
pagamentos em duplicidade. Ou em um processo de compras, haver uma auditoria
periódica das políticas de relacionamento com determinados fornecedores (preços
praticados, prazos de pagamento, qualidade do fornecimento, etc.)
• Nível de Risco Residual (NRR): É o risco que permanece, mesmo após uma medida de
controle ser instalada no processo. Um exemplo para descrever o risco residual é a
ação de contratar um seguro para o veículo. O seguro é uma forma de controle que
mitiga e atenua o risco, porém a probabilidade de o risco ocorrer não é afetada. Um
outro exemplo é em um processo de compras, pagar preços acima do valor de
mercado, para atenuar vou estabelecer uma política de haver 3 cotações para atenuar
a ausência de controle, porém podem ainda haver problemas para solicitar 3 cotações
que mostrem um panorama correto da amplitude de preços praticados para aquele
produto ou serviço que se quer controlar, neste caso a Probabilidade diminui, mas o
impacto não foi afetado. Portanto a fórmula para calcular o risco residual é a seguinte:
𝑁𝑅𝑅 = 𝑁𝑅𝐼 − 𝑁𝐶
Onde NRI é o Nível de Risco Inerente e NC é o Nível de controle.
Existem variáveis para calcular adequadamente a probabilidade, alguns deles são Sazonalidade,
Certeza e Volatilidade.
Um exemplo neste termo são situações de segurança em um local público que recebe
periodicamente eventos ou manifestações, como a Avenida Paulista. Em dias úteis
existe um determinado tipo de público, diferente dos dias em que eventos ocorrem ou
que manifestações começam a se formar. Portanto o risco não é estável neste contexto
e é extremamente volátil.
7. Auditoria Interna
A Auditoria interna funciona como uma ferramenta para servir a governança que não tem
tempo e recursos para observar e gerir todas as áreas do negócio do detalhe. Quanto maior a
estrutura da empresa, mais difícil passa a ser de a governança monitorar adequadamente
processos de alto risco. Vimos estes problemas no escândalo do “Petrolão” na Petrobrás por
exemplo.
Quando o processo é de alto risco, precisa haver uma auditoria para verificar se existem novas
variáveis naquele processo, por mais que ele esteja sendo executado de maneira correta uma
auditoria pode verificar por exemplo, que a área não atualizou a ultima versão de uma norma
reguladora por exemplo.
8. Matriz de Risco
Após isso, é possível criar formatação condicional para que fique mais visual, quais são os
riscos de maior impacto, quanto ao seu valor.
Um gráfico de dispersão pode ser criado, para que seja mais automática a plotagem destes
dados, que podem ser diversos.
Após isso, pode ser incluída uma matriz de cores, para apresentar a dispersão destes dados de
risco neste plano cartesiano.
Por fim, para tomada de decisão, basta que o valor do risco seja comparada a escala de
“APETITE DE RISCO” da organização, que define dentro da escala, que riscos são considerados
baixos, moderados, elevados e extremos, segundo sua pontuação, para que assim uma
DECISÃO possa ser tomada para elaboração de planos de ação para Mitigar, atenuar ou
eliminar o risco.