Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
91068
http://goo.gl/EUKHHs
Sumário
Gestão de Riscos ................................................................................................................ 3
Gestão de riscos baseada na ISO 31000 ........................................................................................... 5
Princípios .......................................................................................................................................................................... 6
Estrutura ........................................................................................................................................................................... 8
Processo de gestão de riscos .......................................................................................................................................... 11
Comunicação e consulta ................................................................................................................................................. 12
Estabelecimento do contexto ......................................................................................................................................... 13
Processo de avaliação de riscos ...................................................................................................................................... 16
Tratamento de riscos ...................................................................................................................................................... 19
Monitoramento e análise crítica .................................................................................................................................... 22
GESTÃO DE RISCOS
A gestão dos riscos de um projeto é parte fundamental do trabalho de um gestor. E o que afinal
podemos chamar de riscos? Um risco é um aspecto futuro que apresenta algum grau de incerteza
e que pode afetar positiva ou negativamente a organização.
De acordo com o TCU1,
“Risco é o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de ocorrência de
eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto dessa
ocorrência sobre os resultados pretendidos. ”
Naturalmente, não sabemos como será o futuro, não é mesmo? Muitas coisas podem não sair do
jeito que imaginamos.
Os riscos existem em qualquer atividade humana, independentemente se sabemos da sua existência
ou se tomamos alguma atitude para nos prepararmos para eles ou para aproveitar alguma
oportunidade.
Um bom gerente deve mapear os principais riscos inerentes ao seu trabalho e gerenciá-los.
Um risco pode ser, por exemplo, a possibilidade de chover em algum evento que iremos realizar ao
ar livre, bem como a demora de algum órgão governamental em autorizar o início de uma obra em
uma hidrelétrica.
Se pensarmos bem, a causa do risco de chover é a realização de um evento ao ar livre, não é mesmo?
Como sabemos que existe a possibilidade de chuva, este é um risco que deve ser monitorado. Se
você estiver realizando o evento no deserto, o risco é baixo. Mas se estiver realizando em uma cidade
chuvosa, o risco é considerável.
Portanto, teríamos de avaliar a probabilidade de que este evento aconteça e qual seria nossa
resposta para o caso de o risco ocorrer. A reserva de um local coberto ou de coberturas (tendas)
para a chuva seriam respostas possíveis para este caso.
1
(Tribunal de Contas da União - TCU, 2018)
Figure 1 - processo de gestão dos riscos. Fonte: (Tribunal de Contas da União, 2018)
Fases Descrição
Consiste em compreender o ambiente externo e interno no qual o objeto de gestão de riscos
Estabelecimento do se encontra inserido e em identificar parâmetros e critérios a serem considerados no processo
Contexto de gestão de riscos.
Compreende o reconhecimento e a descrição dos riscos relacionados aos
Identificação dos objetivos/resultados de um objeto de gestão de riscos, envolvendo a identificação de
riscos possíveis fontes de riscos.
Refere-se ao desenvolvimento da compreensão sobre o risco e à determinação do nível do
Análise dos riscos risco. Envolve a apreciação das causas e as fontes de risco, suas consequências positivas
e negativas, e a probabilidade de que essas consequências possam ocorrer.
A avaliação do risco envolve a comparação do seu nível com o limite de exposição a riscos, a
Avaliação dos riscos fim de determinar se o risco é aceitável.
O limite de exposição a riscos representa o nível de risco acima do qual é desejável o
tratamento do risco. Espera-se que, com os resultados do tratamento, o nível de risco residual
fique abaixo do limite de exposição.
Compreende o planejamento e a realização de ações para modificar o nível do risco.
Tratamento dos riscos O nível do risco pode ser modificado por meio de medidas de resposta ao risco que mitiguem,
transfiram ou evitem esses riscos.
Refere-se à identificação das partes interessadas e ao compartilhamento de informações
Comunicação e relativas à gestão de riscos sobre determinado objeto, observada a classificação da
consulta com as partes informação quanto ao sigilo.
interessadas
2
(Tribunal de Contas da União - TCU, 2018)
3
(Tribunal de Contas da União, 2018)
Comunicar riscos é fornecer as informações relativas ao risco e ao seu tratamento para todos
aqueles que possam influenciar ou ser influenciados por esse risco, sob pena de ele se
materializar plenamente.
Compreende o acompanhamento e a verificação do desempenho ou da situação de
Monitoramento e elementos da gestão de riscos, podendo abranger a política, as atividades, os riscos, os planos
melhoria contínua de tratamento de riscos, os controles e outros assuntos de interesse.
As atividades de uma organização apresentam algum tipo de risco. Diante disso, cabe a ela o
gerenciamento, a identificação e a análise do risco para que, posteriormente, avaliem as
possibilidades de modificação do risco pelo seu tratamento.
A norma ABNT NBR ISO 31000 estabelece alguns princípios para tornar eficaz a gestão de riscos.
Além disso, ela recomenda que as organizações desenvolvam, implementem e melhorem
continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na
governança, estratégia e planejamento, gestão, processos de reportar dados e resultados, políticas,
valores e cultura em toda a organização4.
A norma em estudo pode ser utilizada por qualquer empresa pública, privada ou comunitária,
associação, grupo ou indivíduo, podendo ser aplicada ao longo da vida de uma organização e a uma
ampla gama de atividades, incluindo estratégias, decisões, operações, processos, funções, projetos,
produtos, serviços e ativos.
Uma importante característica desta norma é a inclusão do estabelecimento do contexto como uma
atividade no início do processo de gestão de riscos. E o que seria o estabelecimento do contexto?
Seria a captura dos objetivos da organização, do ambiente em que ela persegue esses objetivos, das
suas partes interessadas e da diversidade de critérios de risco para que, portanto, possa ajudar na
revelação e na avaliação da natureza e da complexidade de seus riscos. Isso será estudado mais a
frente.
Logo de cara, a norma ABNT NBR ISO 31000 dispõe que a gestão de riscos, quando implementada e
mantida conforme seus preceitos, possibilita a uma organização, por exemplo:
Aumentar a probabilidade de atingir os objetivos e a resiliência da organização;
Encorajar uma gestão proativa;
Atentar para a necessidade de identificar e tratar os riscos através de toda a organização,
Melhorar a identificação de oportunidades e ameaças e a aprendizagem organizacional.
Atender às normas internacionais e aos requisitos legais e regulatórios pertinentes,
Melhorar o reporte das informações financeiras e a governança;
4
Fonte bibliográfica inválida especificada.
Princípios
De acordo com a norma, para que a gestão de riscos seja eficaz, convém que todos os níveis de uma
organização atendam aos seguintes princípios:
Princípio Descrição
A gestão de
A gestão de riscos não é uma atividade autônoma separada das principais
riscos é parte
atividades e processos da organização. A gestão de riscos faz parte das
integrante de
responsabilidades da administração e é parte integrante de todos os
todos os
processos organizacionais, incluindo o planejamento estratégico e todos os
processos
processos de gestão de projetos e gestão de mudanças.
organizacionais.
A gestão de
riscos é parte A gestão de riscos auxilia os tomadores de decisão a fazer escolhas
da tomada de conscientes, priorizar ações e distinguir entre formas alternativas de ação.
decisões.
A gestão de
riscos aborda A gestão de riscos explicitamente leva em consideração a incerteza, a
explicitamente natureza dessa incerteza, e como ela pode ser tratada.
a incerteza.
estruturada e
oportuna.
A gestão de
A gestão de riscos está alinhada com o contexto interno e externo da
riscos é feita
organização e com o perfil do risco.
sob medida.
A gestão de
riscos considera A gestão de riscos reconhece as capacidades, percepções e intenções do
fatores pessoal interno e externo que podem facilitar ou dificultar a realização dos
humanos e objetivos da organização.
culturais.
A gestão de
riscos é A gestão de riscos continuamente percebe e reage às mudanças. Na medida
dinâmica, em que acontecem eventos externos e internos, o contexto e o conhecimento
iterativa e modificam-se, o monitoramento e a análise crítica de riscos são realizados,
capaz de reagir novos riscos surgem, alguns se modificam e outros desaparecem.
a mudanças.
A gestão de
riscos facilita a Convém que as organizações desenvolvam e implementem estratégias para
melhoria melhorar a sua maturidade na gestão de riscos juntamente com todos os
contínua da demais aspectos da sua organização.
organização.
Estrutura
A estrutura de gestão oferece os fundamentos e os arranjos que irão incorporá-la através de toda a
organização, em todos os níveis.
Dessa forma, a estrutura ajuda no gerenciamento eficaz dos riscos por meio da aplicação do
processo de gestão de riscos em diferentes níveis e dentro de contextos específicos da organização.
A estrutura, portanto, garante que a informação sobre riscos proveniente desse processo seja
reportada e utilizada como base para a tomada de decisões e a responsabilização em todos os níveis
organizacionais aplicáveis.
Vejamos, na figura abaixo, os componentes necessários da estrutura para gerenciar riscos e a forma
como eles se relacionam. Em seguida, falaremos sobre cada um.
Mandato e comprometimento
A gestão de riscos eficaz requer comprometimento forte e sustentado a ser assumido pela
administração da organização, bem como um planejamento rigoroso e estratégico para obter-se
esse comprometimento em todos os níveis. Dessa forma, cabe à administração:
Definir e aprovar a política de gestão de riscos e definir os indicadores de desempenho para
a gestão de riscos que estejam alinhados com os indicadores de desempenho da organização;
Assegurar a conformidade legal e regulatória e que a cultura da organização e a política de
gestão de riscos estejam alinhadas;
Alinhar os objetivos da gestão de riscos com os objetivos e estratégias da organização;
Atribuir responsabilidades nos níveis apropriados dentro da organização;
Assegurar que os recursos necessários sejam alocados para a gestão de riscos e que a
estrutura para gerenciar riscos continue a ser apropriada.
Comunicar os benefícios da gestão de riscos a todas as partes interessadas;
A concepção e a implementação da estrutura para gerenciar riscos deriva das seguintes etapas:
Entendimento da organização e seu contexto;
Estabelecimento da política de gestão de riscos;
Responsabilização;
Integração de processos organizacionais;
Alocação de recursos apropriados para a gestão de riscos;
Estabelecimento dos mecanismos de comunicação e reporte internos;
Estabelecimento dos mecanismos de comunicação e reporte externos.
Vejamos no quadro abaixo como a organização deve agir para implementar a gestão de risco.
Observem que essa implementação se dá em duas partes: na estrutura e no processo.
Para que a gestão de riscos seja eficaz e apoie o desempenho organizacional, a organização deve:
Analisar
Medir o
criticamente de
desempenho da Reportar sobre os
forma periódica
gestão de riscos Medir riscos, sobre o
se a política, o
utilizando periodicamente o progresso do Analisar
plano e a
indicadores, os progresso obtido, plano de gestão criticamente a
estrutura da
quais devem ser ou o desvio, em de riscos e como eficácia da
gestão de riscos
analisados relação ao plano a política de estrutura da
ainda são
criticamente, de de gestão de gestão de riscos gestão de riscos.
apropriados, dado
forma periódica, riscos; está sendo
o contexto
para garantir sua seguida; e
externo e interno
adequação;
das organizações;
Com base nos resultados do monitoramento e das análises críticas, as decisões devem ser tomadas
sobre como a política, o plano e a estrutura da gestão de riscos podem ser melhorados.
Dessa forma, essas decisões devem visar melhorias na capacidade de gerenciar riscos da organização
e em sua cultura de gestão de riscos.
O processo de gestão de riscos deve ser parte integrante da gestão, além de estar incorporado na
cultura e nas práticas, e adaptado aos processos de negócios da organização.
O processo de gestão de risco compreende diversas atividades e está representado na figura abaixo.
Comunicação e consulta
A comunicação e consulta às partes interessadas são importantes na medida em que elas fazem
julgamentos sobre riscos com base em suas percepções.
Essas percepções podem variar devido às diferenças de valores, necessidades, suposições, conceitos
e preocupações das partes interessadas.
Como os seus pontos de vista podem ter um impacto significativo sobre as decisões tomadas,
convém que as percepções das partes interessadas sejam identificadas, registradas e levadas em
consideração no processo de tomada de decisão.
Por fim, a comunicação e a consulta devem facilitar a troca de informações verdadeiras, pertinentes,
exatas e compreensíveis, levando em consideração os aspectos de confidencialidade e integridade
das pessoas.
Estabelecimento do contexto
É importante que nós saibamos “onde estamos pisando”, não é mesmo? É disso que estamos falando
quando mencionamos o “contexto”: é o ambiente em que iremos atuar.
De acordo com o TCU5,
“Um dos primeiros passos da atividade de estabelecimento do contexto é identificar os fatores do
ambiente, interno e externo, no qual a organização persegue seus objetivos. Não menos importante
é a identificação das partes interessadas, bem como a identificação e a apreciação das suas
necessidades, expectativas legítimas e preocupações”
O contexto externo é importante para assegurar que os objetivos e as preocupações das partes
interessadas externas sejam considerados no desenvolvimento dos critérios de risco.
O contexto externo é baseado no contexto de toda a organização, porém com detalhes específicos
sobre requisitos legais e regulatórios, percepções de partes interessadas e outros aspectos dos riscos
específicos para o escopo do processo de gestão de riscos.
O contexto interno é o ambiente interno no qual a organização busca atingir seus objetivos. Diante
disso, o processo de gestão de riscos deve estar alinhado com a cultura, processos, estrutura e
estratégia da organização.
Dessa forma, o contexto interno é algo dentro da organização que pode influenciar a maneira pela
qual uma organização gerenciará os riscos. O estabelecimento do contexto interno é conveniente
porque:
A gestão de riscos ocorre no contexto dos objetivos da organização;
5
(Tribunal de Contas da União - TCU, 2018)
Vejam, no quadro abaixo, um breve resumo sobre o estabelecimento do contexto, que é a definição
dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos, e
estabelecimento do escopo e dos critérios de risco para a política de gestão de riscos.
cultura da organização;
O contexto do processo de gestão de riscos irá variar de acordo com as necessidades de uma
organização. Ele pode envolver:
Definição das metas e objetivos das atividades de gestão de riscos;
Definição das responsabilidades pelo processo e dentro da gestão de riscos;
Definição do escopo, bem como da profundidade e da amplitude das atividades da gestão de
riscos a serem realizadas, englobando inclusões e exclusões específicas;
Definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de
tempo e localização;
Definição das relações entre um projeto, processo ou atividade específicos e outros projetos,
processos ou atividades da organização;
Definição das metodologias de processo de avaliação de riscos;
Definição da forma como são avaliados o desempenho e a eficácia na gestão dos riscos;
Identificação e especificação das decisões que têm que ser tomadas; e;
Identificação, definição ou elaboração dos estudos necessários, de sua extensão e objetivos,
e dos recursos requeridos para tais estudos.
A organização deve definir quais critérios devam ser utilizados para avaliar o risco. Vale salientar que
alguns critérios podem ser derivados de leis ou regulamentos da organização, mas devem sempre
refletir os valores, objetivos e recursos desta, ou seja, devem ser compatíveis com a sua política de
gestão de riscos.
Ao definir os critérios de risco, convém que os fatores a serem considerados incluam os seguintes
aspectos:
1 - Identificação de riscos:
A organização deve identificar as fontes de risco, áreas de impactos, eventos (incluindo mudanças
nas circunstâncias) e suas causas e consequências potenciais.
A finalidade desta etapa é gerar uma lista abrangente de riscos baseada nestes eventos que possam
criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos.
A identificação deve incluir todos os riscos, estando suas fontes sob o controle da organização ou
não, mesmo que as fontes ou causas dos riscos possam não ser evidentes.
Além de identificar o que pode acontecer, é necessário considerar todas as possíveis causas e
cenários que mostrem quais consequências podem ocorrer.
Por fim, a organização deve aplicar ferramentas e técnicas de identificação de riscos adequadas aos
seus objetivos e capacidades e aos riscos enfrentados, além de envolver pessoas com um
conhecimento adequado na identificação dos riscos.
2 - Análise de riscos:
A análise de riscos envolve desenvolver a compreensão dos riscos, fornecendo uma entrada para a
avaliação de riscos e para as decisões sobre a necessidade de os riscos serem tratados, e sobre as
estratégias e métodos mais adequados de tratamento de riscos.
A análise de riscos também pode fornecer uma entrada para a tomada de decisões em que escolhas
precisam ser feitas e as opções envolvem diferentes tipos e níveis de risco.
A análise de riscos envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e a probabilidade de que essas consequências possam ocorrer.
Métodos Descrição
Definem o impacto, a probabilidade e o nível de risco por qualificadores
Qualitativos
como “alto”, “médio” e “baixo”, com base na percepção das pessoas.
Usam escalas numéricas previamente convencionadas para mensurar a
consequência e a probabilidade, os quais são combinados, por meio de
Semiquantitativos uma fórmula, para produzir o nível de risco. A escala pode ser linear,
logarítmica ou de outro tipo. As fórmulas também podem variar de acordo
com a necessidade e o contexto.
Estimam valores para as consequências e suas probabilidades a partir de
Quantitativos valores práticos e calculam o nível de risco a partir de unidades específicas
definidas no desenvolvimento do contexto.
6
(Tribunal de Contas da União - TCU, 2018)
As consequências e suas probabilidades podem ser determinadas por modelagem dos resultados de
um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a
partir dos dados disponíveis.
As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Em alguns
casos, é necessário mais que um valor numérico ou descritor para especificar as consequências e
suas probabilidades em diferentes períodos, locais, grupos ou situações.
A relação entre os riscos e os seus componentes pode ser mostrada por uma matriz simples7:
Figure 2 - Matriz de riscos simples. Fonte: (Tribunal de Contas da União - TCU, 2018)
3 - Avaliação de riscos:
A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base nos resultados da
análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação
do tratamento.
A avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de análise
com os critérios de risco estabelecidos quando o contexto foi considerado. Com base nesta
comparação, a necessidade do tratamento pode ser considerada.
É conveniente que as decisões sejam tomadas de acordo com os requisitos legais, regulatórios e
outros requisitos.
Em algumas circunstâncias, a avaliação de riscos pode levar:
Fazer mais nada;
7
(Tribunal de Contas da União - TCU, 2018)
Tratamento de riscos
O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e a
implementação dessas opções. Uma vez implementado, o tratamento fornece novos controles ou
modifica os existentes.
Tratar riscos envolve um processo cíclico composto por:
Avaliação do tratamento
de riscos já realizado;
Decisão se os níveis de
Avaliação da eficácia desse
risco residual são
tratamento.
toleráveis;
8
(Tribunal de Contas da União - TCU, 2018)
d) alteração da probabilidade;
9
(Associação Brasileira de Notas Técnicas - ABNT, 2009)
Para selecionar a opção mais adequada de tratamento de riscos deve-se equilibrar, de um lado, os
custos e os esforços de implementação e, de outro, os benefícios decorrentes, relativos a requisitos
legais, regulatórios ou quaisquer outros, tais como o da responsabilidade social e o da proteção do
ambiente natural.
Várias opções de tratamento podem ser consideradas e aplicadas individualmente ou combinadas.
A organização, normalmente, beneficia-se com a adoção de uma combinação de opções de
tratamento.
Ao selecionar as opções de tratamento de riscos, convém que a organização considere os valores
e as percepções das partes interessadas, e as formas mais adequadas para se comunicar com elas.
É importante lembrar-se que o plano de tratamento deve identificar claramente a ordem de
prioridade em que cada tratamento deva ser implementado.
Pessoal, o tratamento de riscos, por si só, pode introduzir riscos, pois um risco significativo pode
derivar do fracasso ou da ineficácia das medidas de tratamento de riscos. Dessa forma, o
monitoramento precisa fazer parte do plano de tratamento de forma a garantir que as medidas
permaneçam eficazes.
O tratamento de riscos também pode introduzir riscos secundários que necessitam ser avaliados,
tratados, monitorados e analisados criticamente. Logo, esses riscos secundários devem ser
incorporados no mesmo plano de tratamento do risco original e não tratados como um novo risco.
Por fim, a ligação entre estes riscos deve ser identificada e preservada.
Planos para tratamento de riscos: têm finalidade de documentar como as opções de tratamento
escolhidas serão implementadas.
Nesse documento, deve haver informações como:
O monitoramento e a análise crítica devem ser planejados como parte do processo de gestão de
riscos. Nessa etapa, deve ocorrer regularmente checagem ou vigilância. O monitoramento e a
análise crítica podem ser periódicos ou acontecer em resposta a um fato específico.
As responsabilidades relativas ao monitoramento e à análise crítica são claramente definidas e a
abrangência se dá em todos os aspectos do processo da gestão de riscos com a finalidade de:
Garantir que os controles sejam eficazes e eficientes no projeto e na operação;
Obter informações adicionais para melhorar o processo de avaliação dos riscos;
Analisar os eventos (incluindo os “quase incidentes”), mudanças, tendências, sucessos e
fracassos e aprender com eles;
Detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco
e no próprio risco, as quais podem requerer revisão dos tratamentos dos riscos e suas
prioridades; e
Identificar os riscos emergentes.
Os registros do processo de gestão de riscos são importantes, pois as atividades de gestão de riscos
devem ser rastreáveis. Tais registros fornecem os fundamentos para a melhoria dos métodos e
ferramentas, bem como de todo o processo.
Pessoal, e o que deve ser levado em consideração nas decisões relativas à criação de registros?
Vejamos no quadro abaixo:
Atributos
A Norma ABNT NBR ISO 31000 traz, em um anexo, uma lista de atributos de uma gestão de risco
avançada. Essa lista representa um nível alto de desempenho para gerenciar riscos. Vejamos quais
são esses atributos:
1 - Melhoria contínua
O processo de tomada de decisão dentro da organização, seja qual for o nível de sua importância e
significância, envolve explicitamente a consideração dos riscos e aplicação da gestão de riscos em
algum grau apropriado.
Isto pode ser indicado por registros de reuniões e decisões que demonstrem que discussões
explícitas sobre os riscos ocorreram. Além disso, convém que seja possível ver que todos os
componentes da gestão de riscos estão representados dentro dos processos-chave para a tomada
de decisão na organização, por exemplo, para as decisões sobre a alocação de capital, sobre grandes
projetos e sobre reestruturação e mudanças organizacionais.
Por estas razões, uma base sólida de gestão de riscos é vista dentro da organização como fornecendo
a base para a governança eficaz.
4 - Comunicação contínua
Formas avançadas de gestão de riscos incluem comunicações contínuas com partes interessadas
internas e externas, incluindo informativos ou relatórios abrangentes e frequentes a respeito do
desempenho da gestão de riscos, como parte da boa governança.
Isto pode ser indicado pela comunicação com as partes interessadas como parte integrante e
essencial da gestão de riscos. A comunicação é corretamente vista como um processo bidirecional,
de tal forma que decisões bem informadas possam ser tomadas sobre o nível de riscos e sobre a
necessidade de tratamento, de acordo com critérios de risco abrangentes e adequadamente
estabelecidos.
Reportes externos e internos, abrangentes e frequentes, sobre os riscos significativos e sobre o
desempenho da gestão de riscos, contribuem substancialmente para uma governança eficaz dentro
de uma organização.
A gestão de riscos é vista como central nos processos de gestão da organização, de tal forma que os
riscos sejam considerados em termos do efeito da incerteza sobre os objetivos. O processo e a
estrutura de governança são baseados na gestão de riscos. A gestão de riscos eficaz é considerada
por gestores como sendo essencial para a realização dos objetivos da organização.
Isto é indicado pela linguagem dos gestores e por importantes materiais escritos na organização que
utilizam o termo "incerteza" em conexão com riscos. Esse atributo normalmente também aparece
refletido nas declarações de política da organização, em especial as relativas à gestão de riscos.
Normalmente, esse atributo é verificado por meio de entrevistas com gestores e da evidência de
suas ações e declarações.
MODELO COSO I E II
As bases da gestão de riscos moderna foram estabelecidas nos anos 90 com a publicação do guia
Internal Control - Integrated Framework (COSO I), pelo Committee of Sponsoring Organizations of
the Treadway Commission – COSO.
Ele consolidou a ideia de gestão de risco corporativo e apresentou um conjunto de princípios e boas
práticas de gestão e controle interno10.
Para o COSO I11, o controle interno é um processo que tem por objetivo mitigar riscos, com vistas
ao alcance dos objetivos.
10
(Tribunal de Contas da União - TCU, 2018)
11
Fonte: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-
gestao-de-riscos/modelos-de-referencia.htm
Esse modelo foi atualizado em 2004, quando o COSO publicou o Enterprise Risk Management -
Integrated Framework (conhecido como COSO-ERM ou COSO II), tendo como foco a gestão de riscos
corporativos.
O modelo é apresentado na forma de matriz tridimensional (cubo), demonstrando uma visão
integrada dos componentes que os gestores precisam adotar para gerenciar os riscos de modo
eficaz, no contexto dos objetivos e da estrutura de cada organização12.
Figure 3 - Modelo de Gestão de Riscos previsto no COSO II. Fonte: (Tribunal de Contas da União - TCU, 2018)
Vejam que a face superior do cubo descreve as categorias de objetivos que são comuns a todas as
instituições e que a gestão de riscos deve fornecer segurança razoável de seu alcance.
Já a face lateral esquerda relaciona os componentes que devem estar presentes e funcionando de
modo integrado à rotina da organização para que a gestão de riscos seja eficaz.
Finalmente, a face lateral direita representa a estrutura organizacional, os diversos níveis e/ou
funções da organização, incluindo projetos, processos e demais atividades que concorrem para a
realização dos seus objetivos.
Segundo o Manual de Gerenciamento de Riscos Corporativos - Estrutura Integrada (COSO II), do
Committee of Sponsoring Organization:
12
(Tribunal de Contas da União - TCU, 2018)
Componentes Descrição
Estratégicos São as metas gerais, alinhadas com o que suportem à sua missão.
Infelizmente, algumas bancas ainda cobram os objetivos estabelecidos no COSO I, que são os
seguintes:
Vale lembrar ainda a relação existente entre controle interno, gestão de riscos corporativos e a
governança corporativa, como bem definido no COSO II: o controle interno é parte da gestão dos
riscos corporativos, que por sua parte integra a estrutura de governança de uma instituição.
Controle
Interno
Gestão de
Riscos
Corporativos
Governança
COSO ERM
A nova versão, COSO ERM – Integrating with Strategy and Performance, também denominado como
Framework, destaca a importância de considerar os riscos tanto no processo de estabelecimento da
estratégia quanto na melhoria da performance13.
13
Fonte: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-
gestao-de-riscos/modelos-de-referencia.htm
Este novo modelo aprimora o alinhamento da gestão de riscos com a gestão do desempenho,
explorando como as práticas de gestão de riscos apoiam a identificação e avaliação de riscos que
impactam o desempenho, elevando a necessidade de definir variações aceitáveis no desempenho,
também denominadas tolerâncias a risco, em nível de princípio14.
Um bom gerente de projetos deve mapear os principais riscos inerentes ao projeto e gerenciá-los.
De acordo com o PMBOK, os principais processos do gerenciamento dos riscos de um projeto são 15:
Planejar o gerenciamento dos riscos — O processo de definição de como conduzir as
atividades de gerenciamento dos riscos de um projeto.
Identificar os riscos — O processo de determinação dos riscos que podem afetar o projeto e
de documentação de suas características.
Realizar a análise qualitativa dos riscos — O processo de priorização dos riscos para análise
ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e
impacto.
14
(Tribunal de Contas da União - TCU, 2018)
15
(Um guia do conhecimento em gerenciamento de projetos (Guia PMBOK))
16
(Um guia do conhecimento em gerenciamento de projetos (Guia PMBOK))
Gerenciamento
Externo Organizacional
do Projeto
Dependências
Estimativas Fornecedores
do Projeto
Captação de
Controle Mercado recursos
financeiros
Clima
Figura 3 - Exemplo de uma estrutura analítica dos riscos (EAR). Baseado em: (Um guia do conhecimento em gerenciamento de
projetos (Guia PMBOK))
A identificação dos riscos de um projeto é uma etapa fundamental, pois, se não sabemos quais são
os fatores a serem acompanhados, provavelmente iremos falhar no gerenciamento do risco.
Além disso, este processo não “acaba” nunca porque os riscos podem aparecer somente no meio da
execução de um projeto ou até no seu final. Assim, dizemos que este é um processo iterativo – que
está sempre sendo executado.
As principais ferramentas para identificação dos riscos são: brainstorming, técnica Delphi,
entrevistas, técnicas de diagramas (causa-efeito, fluxogramas, influência) e a análise SWOT.
O brainstorming é, basicamente, uma técnica que envolve reuniões com a equipe do projeto para o
desenvolvimento ou a geração de alternativas e novas ideias. O conceito é o de deixar a equipe
“livre” para contribuir com suas ideias, sem preocupação com a qualidade destas sugestões. Após o
momento em que anotamos as diversas ideias, fazemos uma análise mais profunda sobre o mérito
de cada sugestão.
Já a técnica Delphi envolve a participação de especialistas no tema a ser estudado, com uma busca
por se gerar um “consenso” das opiniões destes técnicos “experts”. Muitas vezes, esse processo
envolve o envio de questionários aos especialistas e busca reduzir a parcialidade nas opiniões.
As entrevistas envolvem a participação da própria equipe do projeto, bem como os stakeholders
envolvidos, para que possamos identificar os riscos potenciais no projeto.
Já a utilização da técnica dos diagramas pode facilitar ao gerente de projetos a visualização de
processos críticos, causas possíveis para um problema, dentre outros fatores. Para isso, existem os
diagramas de Ishikawa (ou causa-efeito), os fluxogramas (que servem para a análise de processos),
dentre outros.
==163bc==
Finalmente, a análise SWOT (ou FOFA) é uma técnica que permite a análise das forças e fraquezas
internas e das ameaças e oportunidades externas. Basicamente, trata-se de uma ferramenta de
diagnóstico estratégico do projeto.
A análise qualitativa envolve a priorização dos riscos de acordo com sua probabilidade e impacto
nos objetivos do projeto, o tempo necessário para lidar com o risco, bem como a tolerância dos
stakeholders ao risco envolvido.
Um risco pode ser muito provável, por exemplo, mas ter um baixo impacto nos resultados. Já outro
risco pode ser pouco provável, mas se ocorrer impactar muito no projeto. Para priorizar os riscos,
utilizamos diversas ferramentas, como a matriz de probabilidade e impacto.
De acordo com o PMBOK17,
“Essa matriz especifica as combinações de probabilidade e impacto que resultam em uma
classificação de riscos como de prioridade baixa, moderada e alta. ”
Desta maneira, a matriz de probabilidade e impacto propicia a priorização dos riscos de acordo com
os fatores: probabilidade, impacto, tempo e tolerância dos stakeholders.
Após a análise qualitativa, alguns gestores de projeto fazem também a análise quantitativa. Esta
análise trata de dar números aos riscos priorizados na análise qualitativa. Muitas vezes, a
organização precisa quantificar o impacto dos riscos envolvidos, por diversos motivos.
De acordo com o PMBOK,
17
(Um guia do conhecimento em gerenciamento de projetos (Guia PMBOK))
“o processo de realizar a análise quantitativa dos riscos analisa o efeito desses eventos de riscos e pode ser usado para
atribuir uma classificação numérica a esses riscos individualmente ou para avaliar o efeito agregado de todos os riscos que
afetam o projeto.”
Desse modo, a análise quantitativa não é, muitas vezes, necessária, pois pode demandar muito
tempo e custo para ser realizada. Dentre as técnicas utilizadas para essa análise, temos: as
entrevistas, as distribuições de probabilidade, as análises de sensibilidade, a análise do valor
monetário esperado e a modelagem e a simulação (técnica de Monte Carlo).
As respostas aos riscos, ou estratégias, são diversas e dependem da natureza positiva ou negativa
destes riscos. Os riscos negativos envolvem as seguintes estratégias:
Eliminação – neste caso, buscamos alterar o planejamento do projeto para afastar
totalmente a possibilidade deste risco. A alteração do local de um evento, por exemplo,
poderia eliminar um risco de chuva;
Transferência – Esta estratégia não elimina o risco, mas passa sua responsabilidade para um
terceiro, que deverá gerenciar o risco. Isto é muito comum quando estamos nos referindo
aos riscos financeiros de um projeto;
Mitigação – envolve a busca pela redução dos riscos envolvidos em um projeto. A compra de
um serviço em um fornecedor mais confiável seria um exemplo deste tipo de estratégia;
Aceitação – nestes casos, a organização não consegue alterar o planejamento do projeto ou
não existe estratégia alternativa para lidar com este risco. Muitas vezes, envolve o
estabelecimento de reservas de contingência para lidar com estes riscos.
Já as estratégias para lidar com os riscos “positivos” são as seguintes:
Exploração – neste caso, o gerente de projeto não só identifica o risco, mas garantir que este
seja aproveitado;
Compartilhamento – muitas vezes, a organização não tem os recursos ou o know-how para
aproveitar as oportunidades. Neste caso, passamos à um terceiro o gerenciamento deste
risco;
Melhoria – nesta estratégia buscamos aumentar as chances de que uma oportunidade
apareça, como o aumento de recursos em uma etapa do projeto, por exemplo;
Aceitação – nesta estratégia, a organização não deixa de desejar o aparecimento deste risco
positivo, mas também não fará nenhuma ação para que isto ocorra.
Assim sendo, como vimos, nem sempre o gerenciamento do projeto envolve estratégias “ativas”
para atuação sobre os riscos. Muitas vezes, a organização tem uma postura “passiva” em relação
aos riscos. Isto pode ocorrer por conta da inevitabilidade de certos riscos ou de sua pouca
importância em relação aos objetivos.
QUESTÕES COMENTADAS
Comentários
A questão aborda o tratamento aos riscos. As opções de tratamento de riscos incluem evitar, reduzir
(mitigar), transferir (compartilhar) e aceitar (tolerar) o risco.
Quando estamos buscando reduzir ou mitigar os riscos, iremos adotar medidas para reduzir a
probabilidade ou a consequência dos riscos ou até mesmo ambos.
Os procedimentos que uma organização estabelece para tratar riscos são denominados de
atividades de controle interno.
Gabarito: B
18
Fonte bibliográfica inválida especificada.
c) Informação e comunicação
d) Atividades de controle
e) Monitoramento
Comentários
Segundo o Manual de Gerenciamento de Riscos Corporativos - Estrutura Integrada (COSO II), do
Committee of Sponsoring Organization:
“O gerenciamento de riscos corporativos é constituído de oito componentes inter-relacionados, que
se originam com base na maneira como a administração gerencia a organização, e que se integram
ao processo de gestão. “
Objetivos Descrição
Estratégicos São as metas gerais, alinhadas com o que suportem à sua missão.
Figure 5 - processo de gestão dos riscos. Fonte: (Tribunal de Contas da União, 2018)
19
(Tribunal de Contas da União, 2018)
Fases Descrição
Consiste em compreender o ambiente externo e interno no qual o objeto de gestão de riscos
Estabelecimento do se encontra inserido e em identificar parâmetros e critérios a serem considerados no processo
Contexto de gestão de riscos.
Comentários
A análise de riscos envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. Desta forma,
a matriz probabilidade versus impacto classifica sim os riscos. A letra A está certa.
A mitigação de riscos envolve adotar medidas para reduzir a probabilidade ou a consequência dos
riscos ou até mesmo ambos. O caso citado seria o de compartilhamento ou transferência dos riscos.
A letra C está errada, pois impacto não é o mesmo que probabilidade. A letra D está errada, pois
nem sempre temos como reduzir a probabilidade de ocorrência do risco, mas podemos transferir o
impacto para outro ente, por exemplo.
A gestão de riscos não envolve somente a identificação de riscos. Além disso, um risco não é
necessariamente algo negativo. Um risco é um aspecto futuro que apresenta algum grau de
incerteza e que pode afetar positiva ou negativamente a organização.
Gabarito: A
c) de análise de riscos.
d) de monitoramento de riscos.
e) de automatização.
Comentários
De acordo com o TCU, as opções de tratamento de riscos incluem evitar, reduzir (mitigar), transferir
(compartilhar) e aceitar (tolerar) o risco, devendo-se observar que elas não são mutuamente
exclusivas20.
20
(Tribunal de Contas da União - TCU, 2018)
Gabarito: B
21
(Tribunal de Contas da União - TCU, 2018)
22
(Tribunal de Contas da União - TCU, 2018)
Podemos ver que as letras A e B estão muito restritas. A gestão de riscos é muito mais abrangente.
A letra C está errada também. A gestão de riscos não pode garantir que situações danosas nunca
ocorram.
A letra D está certa e é o nosso gabarito. Finalmente, a letra E trata somente dos tratamentos
possíveis dos riscos e ainda não menciona a aceitação dos riscos, um dos tratamentos possíveis.
Gabarito: Letra D
A terceira frase está certa. A análise de riscos pode ser realizada com diversos graus de detalhe,
dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis.
Dependendo das circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa,
ou uma combinação destas.
Estes métodos são descritos abaixo23:
Métodos Descrição
Definem o impacto, a probabilidade e o nível de risco por qualificadores
Qualitativos
como “alto”, “médio” e “baixo”, com base na percepção das pessoas.
Usam escalas numéricas previamente convencionadas para mensurar a
consequência e a probabilidade, os quais são combinados, por meio de
Semiquantitativos uma fórmula, para produzir o nível de risco. A escala pode ser linear,
logarítmica ou de outro tipo. As fórmulas também podem variar de acordo
com a necessidade e o contexto.
Estimam valores para as consequências e suas probabilidades a partir de
Quantitativos valores práticos e calculam o nível de risco a partir de unidades específicas
definidas no desenvolvimento do contexto.
Finalmente, a quarta frase está certa. De acordo com o TCU24,
“Risco é o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de ocorrência de
eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto dessa
ocorrência sobre os resultados pretendidos. ”
Gabarito: Letra E
23
(Tribunal de Contas da União - TCU, 2018)
24
(Tribunal de Contas da União - TCU, 2018)
25
(Tribunal de Contas da União - TCU, 2018)
Gabarito: A
Componentes Descrição
Veja que a avaliação de riscos é um componente que permite a organização avaliar até que ponto
os eventos em potencial podem impactar (influenciar) tanto negativamente quanto positivamente
os objetivos organizacionais estabelecidos.
Logo, a administração costuma avaliar os eventos com base em duas perspectivas: probabilidade e
grau de impacto e, geralmente, utiliza a combinação de métodos qualitativos e quantitativos para
determinar a matriz de risco tolerável (aceitável).
Gabarito: Letra C
a) identificação de riscos.
b) análise de riscos.
c) monitoramento e análise crítica.
d) avaliação de riscos.
e) estabelecimento do contexto interno.
Comentários
O processo de gestão de riscos tem as seguintes principais fases 26:
Figure 6 - processo de gestão dos riscos. Fonte: (Tribunal de Contas da União, 2018)
Fases Descrição
Consiste em compreender o ambiente externo e interno no qual o objeto de gestão de riscos
Estabelecimento do se encontra inserido e em identificar parâmetros e critérios a serem considerados no processo
Contexto de gestão de riscos.
Compreende o reconhecimento e a descrição dos riscos relacionados aos
Identificação dos objetivos/resultados de um objeto de gestão de riscos, envolvendo a identificação de
riscos possíveis fontes de riscos.
Refere-se ao desenvolvimento da compreensão sobre o risco e à determinação do nível do
Análise dos riscos risco. Envolve a apreciação das causas e as fontes de risco, suas consequências positivas
e negativas, e a probabilidade de que essas consequências possam ocorrer.
A avaliação do risco envolve a comparação do seu nível com o limite de exposição a riscos, a
Avaliação dos riscos fim de determinar se o risco é aceitável.
O limite de exposição a riscos representa o nível de risco acima do qual é desejável o
tratamento do risco. Espera-se que, com os resultados do tratamento, o nível de risco residual
fique abaixo do limite de exposição.
Compreende o planejamento e a realização de ações para modificar o nível do risco.
Tratamento dos riscos O nível do risco pode ser modificado por meio de medidas de resposta ao risco que mitiguem,
transfiram ou evitem esses riscos.
26
(Tribunal de Contas da União, 2018)
b) a mitigação de um risco consiste em dividir os riscos com terceiros, por exemplo, uma
seguradora;
c) o impacto do risco é a sua probabilidade de ocorrência;
d) as estratégias de resposta ao risco são formas de reduzir sua chance de ocorrência;
e) a gestão de riscos consiste na identificação do que pode dar errado.
d) I e III
e) II e IV
GABARITO
1. D 10. C 20. C
2. B 11. B 21. E
3. B 12. B 22. E
4. C 13. D 23. C
5. E 14. E 24. E
6. D 15. E 25. E
7. C 16. A 26. C
8. A 17. C 27. C
9. C 18. B 28. C
19. E 29. E
BIBLIOGRAFIA
Associação Brasileira de Notas Técnicas - ABNT. (2009). ABNT ISO 31000 - Gestão de
Riscos - Princípios e diretrizes. Rio de Janeiro.
Tribunal de Contas da União - TCU. (2018). Referencial Básico de Gestão de Riscos.
Brasília: TCU.
Tribunal de Contas da União. (2018). Manual de riscos do TCU. Brasília: TCU.
Um guia do conhecimento em gerenciamento de projetos (Guia PMBOK) (4° Ed. ed.).
(s.d.). Newton Square: Project Management Institute.
Por hoje é só pessoal! Estarei disponível no e-mail abaixo para qualquer dúvida.
rodrigorenno99@hotmail.com
https://www.facebook.com/profrodrigorenno/
http://twitter.com/rrenno99
https://www.youtube.com/user/rodrigorenno99/
Rodrigo Rennó
Acesse http://estrategiaconcursos.com.br/cursos-professor/2800/rodrigo-renno