APOSTILA DE

GESTÃO DE
RISCOS

Fevereiro/2024
Sumário
1. Conceitos Gerais .................................................................................................................... 3
2. Relação entre Gestão de Riscos e Governança coorporativa ................................................ 3
3. Como fazer gestão de riscos .................................................................................................. 3
4. O que é risco e como calcular risco ........................................................................................... 4
4. Classificação de Risco ............................................................................................................ 6
5. Níveis de risco: Impacto e Probabilidade dos Riscos............................................................. 7
6. Definição da probabilidade do risco ...................................................................................... 7
 1. Conceitos Gerais

Cada vez mais eventos considerados improváveis acontecem e gerem impactos consideráveis no
dia a dia, advindo de desdobramentos inesperados. As guerras na Europa (Ucrânia e Russia)
mostram que o efeito não é apenas social e humano, no local onde o conflito ocorre, as
interações nas cadeias de suprimentos, mas também desdobramentos inimaginados, como
impactos econômicos globais, por conta das macro economias estarem muito interligadas.

A obstrução do canal de Suez, ocasionado impactos a nível global dos prazos e custos logísticos
entre os mercados orientais e ocidentais, entre outros.

É fundamental neste novo momento, pós escândalos de corrupção, onde investidores e

consumidores, começam a olhar com mais cuidado para o mercado em que participam, que as
empresas adotem nos seus planos estratégicos as questões voltadas a compliance e gestão de
riscos.

2. Relação entre Gestão de Riscos e Governança coorporativa

O ente central da organização, que é seu conselho administrativo define os objetivos baseados
nos inventários de risco, em todos os aspectos do negócio.

A prestação de contas é um ponto focal de geração de riscos, onde mesmo as pequenas

empresas, podem não compreender seus riscos e reportar informações equivocadas, seja para
obrigações fiscais, tributárias, recursos humanos, operações, etc. Não atentar para estes temas
pode provocar pagamentos indevidos, pode desconhecimento técnico das regulações
envolvidas no processo.

A transparência é outro ponto fundamental para a governança, para evitar a todo custo
problemas oriundos de descumprimento consciente ou por inobservância de regulações, que
pode provocar multas e a depender do diâmetro, causar sérios danos a reputação da
organização.

Equidade na governança, que desdobra para todos os ramos da organização, mas

principalmente nas altas administrações e no corpo societário.

Como a governança atua sobre as questões relacionadas a ESG, também são forte relações
deste ente ao gerenciamento de riscos.

Quem elabora a agenda de compromissos da organização em relação as métricas de gestão de

riscos é a área de governança.

3. Como fazer gestão de riscos

Riscos externos são mais difíceis de prever e portanto de assinalar como riscos, diferente dos
riscos internos, como por exemplo falta de fluxo de caixa oriundo de projetos de expansão da
organização (sem provisionamento, sem payback, sem estratégia de retorno, etc.).
Também podem ocorrer fraudes, geradas pelos próprios colaboradores, onde a fiscalização é
frágil, como por exemplo na gestão de estoques ou na gestão contábil, construindo relatórios
falsos, etc (CASO AMERICANAS).

Ficar atento as discussões políticas e governamentais, que podem gerar impactos externos caso
avancem, apesar de serem mais difíceis de prever. Sendo assim é mais simples e mais efetivo
olhar primeiro para os processos internos.

FASES

1) Entender a operação: Cada organização atua sobre uma regulamentação diferente, então
conhecer o negócio é o primeiro passo.

2) Identificação de riscos: Quais os riscos que atuam sobre a organização, dado a regulação do
negócio e a maturidade dos processos.

3) Classificação do risco: Utilizar metodologia para compreender a classificação do risco, quanto

a ocorrência, impacto, etc.

4) Análise de risco: Aqui o risco chega classificado (operacional, estratégica, etc) e analisar o risco
sobre duas variáveis impacto e probabilidade baseados em parâmetros pré-definidos pelas
métricas estabelecidas desde a governança.

5) Tratamento dos riscos: Aqui são tomadas as decisões para atuar, com planos de ação efetivos,
nos riscos de maior impacto, probabilidade e que afetem regras de negócio mais específicas.

6) Monitoramento: Avaliação periódica sobre os riscos e atualizar os reportes para os

stakeholders definidos.

4. O que é risco e como calcular risco

Risco = É um evento com certo nível de incerteza.

Lembrando que podem haver incertezas que causam danos, mas também incertezas que
geram benefícios.

Risco possui duas variáveis importantes que são IMPACTO e PROBABILIDADE, com menos
relevância também existem VELOCIDADE e ASSERTIVIDADE, mas que são usadas para
modelagem de maior complexidade.

Exemplo:

O risco A pode gerar um impacto de R$50K e muito maior do que o risco B, que é de R$20K,
porém o Risco B possui probabilidade de 50%, enquanto o risco A possui apenas 5% de
probabilidade.

O produto destes dois parâmetros é o Nível de Risco NR

NR = Impacto x Probabilidade

O parâmetro de impacto e probabilidade é definido pela organização.

Impacto pode ser financeiro, mas pode ser de reputação, de perda de mercado, de ganho de
mercado, etc.

Probabilidade pode ser percentual, mas também pode ser descritiva (alta, média, baixa), etc.

Exemplo:

Sua loja está localizada em uma região com histórico de inundação, o que pode fazer com que
parte do seu estoque seja perdido.

Cenário A

Impacto: Perder parte do estoque

Probabilidade: Alta

Cenário B

Impacto: Perder todo estoque

Probabilidade: média

Após a definição do parâmetro, é preciso pontuá-los.

Perder parte do estoque: 3

Perder todo estoque: 5

Probabilidade média: 3

Probabilidade alta: 5

Nível de risco do cenário A

NR = Perder parte do estoque x Probabilidade alta > NR x = 15

Nível de risco do cenário B

NR = Perder todo estoque x Probabilidade média > NR = 5 x 3 = 15

Apesar dos cenários serem diferentes a pontuação é a mesma, sob o mesmo contexto. Uma
ação de mitigação deste risco, tende a gerar redução do NR para ambos.
 4. Classificação de Risco

Riscos sempre tem um nível de incerteza, e possuem inerentemente classificações. Para isso
dois elementos são fundamentais ORIGEM e OBJETIVO AFETADO. Existem também outras
classificações para Nivel de Risco, que são o NÍVEL DE RISCO INERENTE e NÍVEL DE RISCO
RESIDUAL.

Exemplos de Origem do risco

• Risco de origem Interna: Ocorrem dentro dos processos da organização. Por exemplo
um erro de calculo de tributos, que acaba gerando multas por erros de recolhimento.
Ou erro de custeio do produto, acidente de produto, vazamento de dados, etc. Para
estes riscos a abordagem é mais direta, pois temos atuação direta sobre eles. Se as
pessoas ou os processos tem probabilidade de desvio seja por conduta, falha de
sistema, falha de equipamento, etc.
• Risco de origem: São aqueles que ocorrem fora dos limites da organização e não estão
sobre seu controle, por exemplo elevação da taxa de juros, flutuação da taxa de
câmbio, mudança nas regras tributárias, vigência de regulações para seu negócio, etc.

Exemplos de Objetivos afetado

• Conformidade (Compliance): São riscos que afetam as regulações internas e externas

inerentes ao negócio, como corrupção que causa problemas de reputação, imagem,
atração de investidores, etc.
Existem no Brasil 10 agências reguladoras, que elaboram regulamentações para
determinados setores e além disso existem as legislações aplicáveis a todas as
organizações.
• Estratégicos: O planejamento estratégico é elaborado pela governação da organização
para que o negócio siga os rumos esperados em diversos sentidos. Porém é comum,
que após a apresentação do planejamento estratégico, as organizações percam o foco.
Em pouco tempo por exemplo, um concorrente ganha mercado, por uma
inobservância de um tema discutido e alinhado no planejamento estratégico, como o
atraso no lançamento de um produto fundamental para organização.
• Operacional: Compreender o funcionamento do negócio por falta de treinamento,
gestão de pessoas, gestão de fornecedores, desenvolvimento de produto, fabricação,
comercialização, estoques, fluxo de caixa, etc.
• Comunicação: Falhas no reporte de informações sobre o negócio, por inobservância,
falta de competência ou até mesmo fraudes. Por exemplo, uma área de controladoria,
fraudar os dados de lucratividade, para que valorização do negócio nas bolsas de
valores.
 5. Níveis de risco: Impacto e Probabilidade dos Riscos

Nível de Risco ou “NR” é um produto do Impacto (I) multiplicado pela Probabilidade (P).

𝑁𝑅 = 𝐼 ∗ 𝑃
Porém o Nível de risco pode ser dividido também entre Nível de Risco Inerente (NRI) e Nível de
Risco Residual (NRR).

• Nível de Risco Inerente (NRI): São aqueles que ocorrem dentro dos processos da
organização onde não há controle de riscos para mitigação, atenuação ou eliminação
do risco. Por exemplo, em um processo de contas a pagar, não haver uma aprovação
antes dos lançamentos serem realizados ou um “check” para verificar se não há
pagamentos em duplicidade. Ou em um processo de compras, haver uma auditoria
periódica das políticas de relacionamento com determinados fornecedores (preços
praticados, prazos de pagamento, qualidade do fornecimento, etc.)
• Nível de Risco Residual (NRR): É o risco que permanece, mesmo após uma medida de
controle ser instalada no processo. Um exemplo para descrever o risco residual é a
ação de contratar um seguro para o veículo. O seguro é uma forma de controle que
mitiga e atenua o risco, porém a probabilidade de o risco ocorrer não é afetada. Um
outro exemplo é em um processo de compras, pagar preços acima do valor de
mercado, para atenuar vou estabelecer uma política de haver 3 cotações para atenuar
a ausência de controle, porém podem ainda haver problemas para solicitar 3 cotações
que mostrem um panorama correto da amplitude de preços praticados para aquele
produto ou serviço que se quer controlar, neste caso a Probabilidade diminui, mas o
impacto não foi afetado. Portanto a fórmula para calcular o risco residual é a seguinte:

𝑁𝑅𝑅 = 𝑁𝑅𝐼 − 𝑁𝐶
Onde NRI é o Nível de Risco Inerente e NC é o Nível de controle.

6. Definição da probabilidade do risco

Existem variáveis para calcular adequadamente a probabilidade, alguns deles são Sazonalidade,
Certeza e Volatilidade.

• Sazonalidade: Qual a periodicidade do risco ocorrer no seu negócio, como por

exemplo uma fiscalização da agência reguladora do seu negócio (origem externa), que
ocorre a cada trimestre. Também existe problemas de temporais (origem externa)
causarem danos durante a época das chuvas, ou um cálculo de dados de fechamento
anual (origem interna) equivocados.
• Certeza: Existe um grande nível de subjetividade neste termo, porém existem algumas
ferramentas para criar modelos e padrões para calculo de certeza. Por exemplo, em
uma definição de valores de plano de saúde por faixa etária, existem cálculos que
demonstram por dados estatísticos que pessoas mais novas tem menos probabilidade
de ficar doente, o que da mais “certeza” de valores menores para esta faixa.
 • Volatilidade: Existem riscos que durante o tempo são mais estáveis e outros menos
estáveis. Em uma escala de riscos que vai de Sem Volatilidade, levemente volátil,
volátil, muito Volátil e Extremamente volátil, um determinado risco pode transitar
nessa escala em função do tempo.

Um exemplo neste termo são situações de segurança em um local público que recebe
periodicamente eventos ou manifestações, como a Avenida Paulista. Em dias úteis
existe um determinado tipo de público, diferente dos dias em que eventos ocorrem ou
que manifestações começam a se formar. Portanto o risco não é estável neste contexto
e é extremamente volátil.

7. Auditoria Interna

Existe uma grande preocupação na governação das empresas de que, os processos da

organização estão sendo devidamente realizados.

A Auditoria interna funciona como uma ferramenta para servir a governança que não tem
tempo e recursos para observar e gerir todas as áreas do negócio do detalhe. Quanto maior a
estrutura da empresa, mais difícil passa a ser de a governança monitorar adequadamente
processos de alto risco. Vimos estes problemas no escândalo do “Petrolão” na Petrobrás por
exemplo.

Quando o processo é de alto risco, precisa haver uma auditoria para verificar se existem novas
variáveis naquele processo, por mais que ele esteja sendo executado de maneira correta uma
auditoria pode verificar por exemplo, que a área não atualizou a ultima versão de uma norma
reguladora por exemplo.

8. Matriz de Risco

Após calcular o risco de determinados processos, é possível demonstrar de maneira gráfica

como estes riscos estão interrelacionados entre si, quanto a sua dimensão de Nível.
Em cada célula é realizado uma multiplicação cruzada entre a linha e a coluna, para se criar
uma escala de grandeza

Após isso, é possível criar formatação condicional para que fique mais visual, quais são os
riscos de maior impacto, quanto ao seu valor.

Um gráfico de dispersão pode ser criado, para que seja mais automática a plotagem destes
dados, que podem ser diversos.
Após isso, pode ser incluída uma matriz de cores, para apresentar a dispersão destes dados de
risco neste plano cartesiano.

Por fim, para tomada de decisão, basta que o valor do risco seja comparada a escala de
“APETITE DE RISCO” da organização, que define dentro da escala, que riscos são considerados
baixos, moderados, elevados e extremos, segundo sua pontuação, para que assim uma
DECISÃO possa ser tomada para elaboração de planos de ação para Mitigar, atenuar ou
eliminar o risco.