9.1 Aula Transcrita

9.1. Gesto de Riscos em Processos

9.1. Gesto de Riscos em Processos ELO Group 2011

2

RESUMO

Aula: 9.1.Gesto de Riscos em Processos

Tutor: Daniel Karrer, MSc., CBPP.

Nmero de slides: 57 Durao da Aula: 66 min

SLIDE 1


3

SLIDE 2

Ol pessoal, hoje vamos falar de um tpico que vem se tornando cada vez mais relevante nos dias de hoje: a gesto de riscos.

Ouvimos muito falar de gesto de riscos ultimamente, devido s recentes crises financeiras (como a de 2008) e alguns

desastres naturais. Esse tema est bastante em voga tantos nas organizaes como na sociedade em geral; mas afinal, o que

um risco? Como a gente consegue control-lo? E como ele se relaciona com processos? Esses sero alguns dos tpicos que

abordaremos na aula de hoje. Espero que a experincia seja tima para vocs. Meu nome Daniel e vou estar com vocs

durante uma hora para tentarmos falar sobre esse tpico de riscos e como eles se relacionam em processos.

Pessoal, estruturei a ordem dessa aula de modo que ns pudssemos ir dos conceitos mais intuitivos do dia-a-dia para os

conceitos mais formais:

Dessa forma, comeamos debatendo um pouco como ns vivenciamos e experimentamos o risco no nosso dia-a-dia.

A ideia aqui que ns j utilizamos diversos conceitos associados gesto de riscos, mesmo sem querer;

A partir disso, passamos para um exerccio onde vamos formalizar um pouco dos conceitos bsicos de riscos e de

controles;

Na sequncia, na etapa 3, falamos um pouco dos diversos tipos de riscos existentes e damos um foco especial no

risco operacional. Esse foco ocorre porque o risco operacional se relaciona de forma mais ntima com processos e,

portanto, com o objeto do nosso curso;

Falamos ento, na parte 4, especificamente como conseguimos lidar com a gesto de riscos, a parte de gesto de

controles internos e tambm com processos;

Por fim, na etapa 5, introduzimos um novo conceito bastante usado nas organizaes recentemente, que o

conceito GRC expressando Governana, Risco e Compliance.

Ao final, como em todas as aulas, revemos um pouco dos conceitos-chave dessa aula para que eles fiquem bem

fixados.


4

SLIDE 3

Antes de comearmos, gostaria de explicar um pouco para vocs sobre a bibliografia associada gesto de riscos. Procurei

incluir aqui todos os manuais e referncias que so utilizados no mercado, de modo que vocs consigam ter acesso a essas

referncias via internet, facilitando a pesquisa de conceitos que interessem a cada um de vocs. Optei por no incluir

nenhum livro, dado que entendo que esses manuais cobrem de maneira extremamente satisfatria os principais conceitos

que sero utilizados aqui.

As duas principais referncias hoje que o mercado usa de gesto de risco so os dois manuais do COSO. O COSO uma sigla

bastante importante e vocs que se interessam por risco deveriam procurar. O COSO tem dois manuais:

Um que se chama Internal Control que fala um pouco sobre a gesto de controles internos;

E o segundo que fala sobre ERM, uma viso um pouco mais integrada, um pouco mais sistmica de olhar todos os

riscos de uma organizao.

Se vocs se interessarem pelo conceito de GRC (como eu comentei Governana, Riscos e Compliency) eu recomendo que

vocs busquem o Red Book; ele j est na segunda verso e est disponvel na internet.

Para uma viso um pouco mais ampla dos principais conceitos da gesto de risco, recomendo a consulta recm emitida

norma ISO 31000, que versa especificamente sobre esse tpico

Para os que quiserem se aprofundar e j tiverem olhado essas quatro referncias, eu recomendo tambm buscar um

documento chamado Orange Book, que uma referncia importante tambm e complementar s demais no tpico de

gesto de riscos.


5

SLIDE 4

Vamos falar um pouco ento pessoal sobre como experimentamos o risco no nosso dia a dia, para podermos perceber que a

noo de risco e seus conceitos associados como mitigao, controle e etc. j esto presentes nas nossas vidas mesmo sem

nos darmos conta.


6

SLIDE 5

objetivo aqui novamente que nos percebamos que j estamos acostumados a utilizar diversos conceitos e vocabulrios de

risco mesmo que de maneira despercebida. Aqui temos alguns exemplos:

No canto superior esquerdo vemos um recorte sobre a crise do subprime, ou seja, se refere especificamente grande crise

financeira que atingiu parte do mundo em meados de 2008, contaminando particularmente a economia norte-americana e

algumas economias da Europa, mas tambm chegando aqui no Brasil.

Na parte inferior do canto esquerdo vemos um pouco sobre riscos climticos, temos a como exemplo desses riscos o El Nio

e alguns tsunamis e fenmenos climticos extremos que vm atingindo o nosso planeta. Alm disso, no canto superior

direito, temos riscos sade e segurana e sade geral da populao, como riscos de pandemia, a gripe aviria, a gripe

suna e qualquer risco que atinja a sade da populao. Notem: a palavra riscos associada pandemias e a efeitos em termos

de sade da populao vem sendo utilizada cada vez mais.

E, no canto inferior direito, vemos a risco da insatisfao dos clientes e a onda de recall. Ento, a gente tem aqui alguns

exemplos em relao Mattel, em relao Renault, em relao a recall de baterias da Sony , ou seja, produtos que saram

do cho de fbrica sem os padres de qualidade necessrios e acabaram tendo risco de causar algum tipo de dano aos seus

consumidores.

Esses recortes mostram que o risco um conceito bastante presente na nossa vida, mas ser que ns podemos dizer que

todos ns temos a mesma noo, o mesmo conceito do que um risco? o que veremos nos slides a seguir.

SLIDE 6


7

O risco definitivamente, portanto, est presente no nosso dia a dia. Mas afinal, de forma precisa, conceitual e acadmica: o

que um risco? Podemos entender esse conceito a partir de um exerccio.


8

SLIDE 7

Imaginemos a seguinte situao: temos 8 blocos pousados no cho. E temos um desafio nesse exerccio: organiz-los de

forma a maximizar a sua altura final. Como podemos organizar esses blocos de forma a atingir o nosso objetivo?


9

SLIDE 8

Invariavelmente, aps pensar um pouco, chegamos concluso de que a melhor maneira de organizar os blocos para

atendermos o objetivo proposto empilharmos um em cima do outro. Dessa maneira, conseguimos a maior altura possvel,

ou seja, utilizamos nossos recursos da melhor forma para atendermos o objetivo proposto pelo exerccio.


10

SLIDE 9

Entretanto, ser que essa a melhor deciso a ser tomada? Vejamos.


11

SLIDE 10

O que ocorreu que consideramos muito bem os objetivos do exerccio em nossa soluo. Entretanto, desconsideramos a

incerteza, porque o arranjo que colocamos os blocos o que melhor atende os objetivos, mas tambm o que melhor est

(ou o que mais est suscetvel) s incertezas possveis, ou seja, embora ele seja o que melhor atende o objetivo do exerccio,

ele tambm o que possui a maior probabilidade de cair (ou de dar errado).


12

SLIDE 11

A partir dessa considerao, devemos pensar: como entender a incerteza que afeta cada objetivo a ser alcanado para se

tomar a melhor deciso? Vimos no nosso exerccio que no necessrio considerar somente o objetivo, mas tambm todos

os fatores que podem levar ao no atendimento desse objetivo ou que gerem incerteza sobre resultado a ser gerado.

Voltando ao nosso exemplo, quais fatores poderiam ser considerados aqui? Pensem um pouco.


13

SLIDE 12

No nosso exerccio, uma primeira fonte de incerteza (ou fator de risco) poderia ser o vento. Os blocos empilhados um em

cima do outro ficam mais suscetveis as aes do vento, ou seja, o vento derruba mais facilmente esse nosso arranjo,

torando-o assim menos estvel. O nosso objetivo, novamente, foi alcanado, entretanto ele mais fcil de ser derrubado.


14

SLIDE 13

Uma outra fonte de incerteza poderia ser um terremoto ou abalo ssmico; qualquer coisa que mexesse com as estruturas do

solo e que deixasse a estrutura de blocos solta, sem encaixe, fazendo-a cair no cho. Novamente, uma segunda fonte de

incerteza considervel que deixamos de tornar relevante ou considerar em nossa anlise.


15

SLIDE 14

Finalizando nossas anlises de fonte de incerteza, poderamos observar a chuva. A chuva que normalmente vem em diagonal

e associada a vento tambm poderia ser uma fonte de incerteza relevante quando consideramos a probabilidade desse

arranjo, que ns colocamos como timo para o nosso exerccio, falhar, ou seja, ser derrubado e levar os nossos blocos ao

cho.


16

SLIDE 15

A partir da considerao das fontes de incerteza, podemos repensar esse desafio, agora com o entendimento melhor e mais

profundo de quais so os seus objetivos e a complexidade envolvida nestes.


17

SLIDE 16

Para tanto, podemos expressar o nosso desafio com trs principais frases. O desafio continua o mesmo pessoal, lembrando:

como organizar os 8 blocos de forma a maximizar a sua altura final. Ento temos l o nosso objetivo (maximizar a altura do

arranjo final), os recursos a serem utilizados so os mesmos (8 blocos), mas agora iremos considerar de forma ativa e

relevante as 3 fontes de incerteza que ns identificamos: o vento, a chuva e o terremoto. Pensem um pouco: a partir das

fontes de incerteza, qual seria o arranjo que satisfaz da melhor maneira o exerccio proposto?


18

SLIDE 17

O que descobrimos que a partir da considerao das fontes de incerteza, a resposta no fica mais to fcil e surgem

diversas alternativas que podem contemplar as solues para o nosso desafio. Cada alternativa trar diferentes

conseqncias em termo de alcance do objetivo, ou seja, de maximizao da altura final e de incerteza, ou seja, da chance de

queda. Na prtica, podemos dizer que h um trade off entre as alternativas, ou seja, quanto maior o meu objetivo, quanto

maior a altura resultante, maior a incerteza e maior a chance de queda. Por outro lado, eu tenho uma menor chance de

queda quando eu atinjo menos o meu objetivo, ou seja, eu empilho menos os meus blocos, a altura resultante a menor,

mas eu tenho menos sensibilidade a incerteza. A pergunta passa ento a ser: qual o ponto timo?


19

SLIDE 18

A reflexo do ponto timo passa a ser, ou pode ser expressa a partir da seguinte pergunta, pessoal: qual a sua tolerncia

para o alcance dos objetivos? O quanto cada um de ns est disposto a sacrificar em termos de risco, em termos de incerteza

para que alcancemos os nossos objetivos? Ou seja, a gente poderia organizar as solues em um eixo onde o eixo Y a altura

(em metros) e o eixo X a chance de queda. Dessa maneira, ordenaramos as solues tanto da menor altura possvel (com

zero chance de queda), com todas elas na horizontal at a maior altura possvel (com maior chance de queda), onde todos os

blocos se encontram na vertical. A grande pergunta passa a ser: qual a nossa tolerncia ao risco a partir do entendimento

de um objetivo? Ou seja, onde nos posicionamos nesse eixo? Somos mais agressivos, tentando obter um resultado maior, a

maior altura possvel, e temos chance de uma queda maior? Ou seremos mais conservadores: iremos mais para perto do eixo

pamos ter um resultado um pouco menor, um pouco menos agressivo, um

com esse tipo de dilema que ns nos defrontaremos ao longo dessa conversa. Qual o meu apetite ao risco? O quanto eu

topo ter resultados agressivos dentro de uma organizao, dentro de uma iniciativa, em face dos riscos maiores que isso

normalmente acarreta. Aqui importante pessoal, que vocs absorvam a seguinte noo: que risco e retorno so dois lados

da mesma moeda, ou seja, para ter um maior retorno, para atingir mais um objetivo normalmente eu encorro em maiores

riscos. E igualmente: se eu tenho objetivos um pouco mais conservadores, um pouco menos agressivos, eu consigo ter menos

riscos, menos incertezas e menos instabilidade.


20

SLIDE 19

Portanto, esse exemplo serve para ilustrar de maneira bastante interessante o conceito da ISO em termos de gesto de

riscos. Esse conceito o conceito hoje mais utilizado em todos aqueles manuais de referncia que constam na bibliografia de

objetivo pode ser considerado um risco. Essa a definio mais formalmente aceita em grandes empresas e em grandes

manuais de referncia em relao ao risco. bastante importante, pessoal, que vocs tenham isso prximo de vocs, que

isso seja uma definio intuitiva para vocs porque ela vai ser articulada ao longo da nossa conversa.


21

SLIDE 20

E dessa forma, quase como uma consequncia natural da definio, a gesto de riscos dentro de uma organizao deve,

portanto, apoiar os gestores, os executivos dessa organizao a tomar decises entendendo, ponderando exatamente o

trade off que ns vimos no nosso exerccio, ou seja, o impacto da incerteza em relao aos objetivos traados. Lembrando

pessoal, aqui eu vou ser bastante enftico nessa frase: risco e retorno so os dois lados da mesma moeda, ento se eu

objetivo ter um retorno (seja ele financeiro, seja ele de reputao, seja ele de ambiente interno), se eu almejo alcanar

algum objetivo, eu tenho um efeito da incerteza sobre esse objetivo; o efeito da incerteza que pode me fazer ficar a quem do

atendimento do objetivo chamado de risco. E a, a funo da gesto de risco deve ser prover informaes e decises

conscientes aos tomadores de decises, aos executivos da empresa no sentido a ponderar esses dois tipos de variveis: o

risco e o retorno em seus objetivos.


22

SLIDE 21

Para exercitar um pouco dos conceitos ento, pessoal, trouxemos aqui trs situaes para que vocs observem e respondam

a sequinte pergunta: qual o risco envolvido em cada situao abaixo?

Vamos considerar a primeira situao da corrida de frmula 1, quais so os riscos envolvidos? Algum poderia

pensar em um risco de acidente, o risco de perder a corrida; mas todas essas especulaes devem ser enquadradas

na nossa definio pessoal. O que devemos pensar primeiro : qual o objetivo? Um risco por s s no uma

perda, no um perigo, no uma incerteza; ele s faz sentido se enquadrado no frame de um objetivo. Exemplo:

se o objetivo ganhar a corrida, ser campeo mundial, temos diversos riscos, o risco por exemplo de dormir na

noite anterior da corrida um grande risco. O risco, por exemplo, de um companheiro seu de equipe ou de uma

equipe rival bater em voc enquanto voc faz a curva e te jogar para fora da corrida tambm um grande risco. Por

exemplo, para dar uma contraposio a esse exemplo, podemos colocar: se o objetivo for sermos campees, em

termos de equipe, do mundial de construtores, chegar por exemplo em terceiro lugar (ou em quarto lugar),

dependendo da colocao, pode no ser um risco, mas sim um auto-retorno.

Da mesma forma, podemos aplicar esse conceito s demais situaes. Pensem um pouco: como podemos enquadrar os

riscos em termos dos objetivos de cada uma delas? Deixo para vocs a reflexo mais profunda nas demais situaes, mas

lembrem-se: um risco s pode ser enquadrado em funo de um objetivo especfico, isso importante porque se no

passamos a ver risco em todos os lugares.


23

SLIDE 22

Uma vez feito o nosso exerccio, iremos formalizar agora alguns conceitos bsicos de riscos e de controles. Esses conceitos

so importantes, pois se tornaro a base para todos os nossos debates a partir de agora.


24

SLIDE 23

Para formalizarmos esses conceitos, primeiro devemos olhar o nosso entendimento da organizao. Ento temos aqui uma

figura que mostra a organizao desde o seus diretores executivos at as diversas estruturas funcionais quebradas em

diretorias.

Temos l a estratgia: essa estratgia definida por essas diretorias e cascateada para os nveis subsequentes da

organizao. Alm disso, podemos entender essa organizao como composta de diversas pessoas, diversos fluxos de

trabalho que se materializam em processos, diversos sitemas de tecnologia que apiam esses fluxos a serem executados e

essa organizao no s tem esse ambiente interno, mas tambm lida com um ambiente externo, onde ela est inserida (por

exemplo: com seus competidores, com a situao poltica-econmica do pas onde ela est inserida e com os seus

consumidores ou clientes).


25

SLIDE 24

Imaginemos essa mesma organizao tendo o seguinte objetivo: o do cumprimento do oramento previsto dentro do prazo e

dentro do valor orado. Dessa maneira, podemos expressar esse objetivo em um grfico como esse. No eixo X temos os

meses ao longo do ano e no eixo Y, o percentual de execuo do oramento previsto. Esse objetivo claramente nos coloca

que ao final de 12 meses, ao final de um perodo oramentrio anual, devemos ter cumprido exatamente 100% do

oramento previsto, ou seja, no devemos ter cumprido nem a menos e nem a mais. O objetivo chegar no cumprimento

total, intregal e irrestrito desse oramento.


26

SLIDE 25

Entretanto, se voltarmos ao nosso entendimento organizacional, podemos perceber que existem vrias vulnerabilidades que

so oriundas de diversos fatores de incerteza dentro da nossa organizao. Alguns fatores de incerteza esto associados a

pessoas, por exemplo: ser que as pessoas possuem a carga de trabalho adequada para cumprir esse objetivo do oramento?

Ser que elas competentes o suficiente ou treinadas para gerir de forma analtica e precisa o desembolso gasto ao longo do

ano? Ser que elas tem as atitudes, as exeperincias, as habilidades corretas?

Cada variao em cada um desses fatores traz incerteza para o atendimento dos objetivos. Da mesma forma, ocorre com os

processos, eu posso ter problemas de fluxo de informao, de indicadores, de papis e responsabilidades, de mtodos que

me levem a ter uma execuo maior ou menor que eu pretendo para o meu oramento. Igualmente, eu tenho em relao

aos meus sistemas de informao; eu posso ter problemas, por exemplo, de hardware, de software, de banco de dados, de

controle de acesso que faam com que eu tenha uma instabilidade ou uma incerteza em relao ao cumprimento dos meus

objetivos.

E por fim, podemos destacar que at oscilaes no meu ambiente econmico, como variaes cambiais, como questes

polticas, presses externas e movimentos de concorrentes tambm levam a mudanas internas e portanto afetam o

cumprimento dos meus objetivos.

Cada um desses fatores, no nosso entendimento organizacional gera um fator de incerteza para o cumprimento de cada

objetivo organizacional.


27

SLIDE 26

Aplicando esse conceito ao nosso exemplo, observamos que aquele objetivo que estava declarado de forma precisa de gastar

100% do meu oramento at o 12 ms do ano ele sofre oscilaes (tanto pra mais, quanto pra menos). Um exemplo disso

se pegarmos a fonte de incertezas especfcas associada as habilidades das pessoas; caso o meu gerente de conta, o meu

gerente de contrato seja muito habilidoso na gesto do oramento dele, ele pode chegar a ter uma execuo menor do

oramento, ou seja, ele pode economizar ao longo do perodo. Isso traz uma incerteza que tem um impacto positivo para a

minha organizao. No caso contrrio, se ele no for habilidoso ou experiente o suficiente, ele pode estourar o oramento

causando uma execuo de 120%, 130%, 140% do meu oramento e causando um desembolso alm do desejado. De

incerteza para o atendimento do meu objetivo, que o cumprimento adequado de 100% do meu oramento durante o ano.


28

SLIDE 27

A partir dessa explicao, podemos formalizar um pouco melhor a definio de risco proposta pela ISO 31000 e, como j foi

falado antes, aceita por grande maioria das empresas nacionais e internacionais e tambm das normas de referncia de

gesto de risco. J vimos que o risco pode ser definido como um efeito da incerteza sobre os objetivos. Agora podemos

destacar quatro caractersticas dessa definio que devem ser atendidas, devem ser observadas por vocs.

A primeira caracterstica que um efeito no necessariamente no negativo. Um efeito pode ser positivo como

vimos anteriormente no exemplo do oramento. Ou seja, a incerteza pode levar a pessoa a ter ganhos acima do

esperado, a executar, por exemplo, o oramento em menos tempo do que o previsto, ou menos do oramento no

tempo desejado. Isso seria um efeito positivo para a organizao. Ento o risco no inerentemente bom ou

at um erro, ou um desvio conceitual. O risco, especificamente, ele tanto positivo, quanto negativo porque ele

representa o efeito da incerteza sobre os objetivos, e esse efeito pode ser para o bem e para o mal.

A segunda nota que um objetivo no precisa ser expresso necessariamente em termos financeiros. Um objetivo

pode ser ter os empregados felizes, pode ser ter um turn over menor do que 10%, pode ser no obter nenhum tipo

de evaso de empregados ao longo do ano, pode ser conquistar mais clientes, novos mercados, etc. Ento, um

objetivo no necessariamente financeiro, no tem o aspecto de retorno que ns tradicionalmente pensamos

(quando pensamos na palavra retorno, acabamos pensando em dinheiro). No necessariamente um objetivo precisa

ser expresso nesses termos, ele pode tambm ser expresso em termos de sade e segurana, em termos legais, em

termos de conquista e de satisfao de clientes, dentre outros.

Alm disso, (ns vamos entrar mais detalhadamente nessa nota 3 nos prximos slides) um risco frequentemente

descrito por um evento ou um conjunto de circunstncias, uma consequncia ou uma combinao dessas

consequncias e como elas afetam o alcance dos objetivos. Ou seja, eu tive um problema com o meu gestor de

contrato porque ele contratou mais fornecedores do que ele poderia, portanto ele acabou estourando a meta dele,


29

o objetivo dele e a ele acabou, portanto, no alcanando o objetivo de cumprir o oramento 100% dentro do

tempo.

Alm disso, o risco pode ser expressado tambm como uma combinao da consequncia de um evento ou as

mudanas de uma circunstncia e sua probabilidade.

Vamos olhar um pouco mais sobre como essa nota 3 e a nota 4 podem ser entendidas para levar ao entendimento mais

estruturado e formal do que um risco.


30

SLIDE 28

Antes de avanarmos mais no entendimento do que um risco, podemos nos perguntar o que um controle? E a eu

gesto da empresa (seja pelo conselho de administrao, seja pelos diretores, pelos gestores ou por qualquer pessoal da

um controle no garante 100% das vezes, perfeitamente, que os objetivos

sero atingidos. Tipicamente, um controle prov uma garantia razovel. Quanto mais controle eu tenho, mais burocrtica

pode ficar a minha empresa e menos incerteza ela sofre. Ento ns temos a, com certeza, um ponto timo que o de

desburocratizao, o de menos controles, mas tambm o nvel necessrio de controle para garantir que os objetivos sejam

atendidos.

Mais acima, temos uma definio alternativa, mas bastante em linha com essa outra definio apresentada, que a definio

pelos gestores de uma empresa para aumentar a probabilidade de que os objetivos e met

determinado momento, e esse determinado momento muito dado pelo grau de controle que a direo decide exercer

sobre o ambiente interno daquela empresa.


31

SLIDE 29

Se voltarmos ao nosso exemplo, que era aquele exemplo do risco de cumprimento inadequado do oramento, temos que a

incerteza causou uma variabilidade nesse objetivo (tanto pra mais, quanto pra menos). No que um set, ou um conjunto de

controles poderia nos ajudar?


32

SLIDE 30

Tipicamente, um conjunto de controles garantiria que o efeito da incerteza seria menor sobre os objetivos, dando menos

variabilidade a esses objetivos, restringindo o espao em termos de quais objetivos, ou quanto esse objetivo pode variar.


33

SLIDE 31

Essa figura representa, ento, de forma sinttica e integrada, todos os principais conceitos que precisamos saber quando

falamos de gesto de riscos. Um risco ento, pode ser descrito por trs grandes coisas:

A fontes de risco, ou seja, quais so as principais causas que causam aquele risco;

O evento: efetivamente o evento a ocorrncia indesejvel ou desejvel, a expresso da variabilidade no objetivo.

E o impacto: esse impacto atua diretamente nos objetivos das empresas; ou seja, eu posso ter por exemplo, pessoal,

um problema, uma fonte de riscos de processos inadequados, de pessoas pouco capazes, que levam, por exemplo, a

prticas inadequadas relativas a clientes, produtos e servios, causam um evento indesejado em relao a uma base

de clientes e isso tem um impacto, uma perda de receita e isso influencia diretamente no meu objetivo de crescer o

Ento, a combinao, a expresso desses 3 fatores (as fontes de riscos, os eventos e os impactos) so a melhor descrio

possvel de como um risco impacta nos objetivos. E eu tenho controles que influenciam, que agem na relao entre esses 3

fatores. Entre a fonte de risco e o evento, eu tenho a probabilidade do risco ocorrer, ou seja, eu tenho pessoas pouco

capazes ou no to experientes quanto eu gostaria todos os dias do ano, mas todo dia que eu tenho uma prtica

inadequada com o cliente? No, ou seja, existe uma probabilidade que a minha fonte de risco gere um evento inadequado.

Existe a probabilidade, por exemplo, que o meu sistema, que tem uma falha de acesso gere uma fraude interna. Essa falha de

acesso est presente todos os dias, mas no necessariamente todos os dias eu tenho uma fraude interna. Ento importante

que ns saibamos articular esse conceito de probabilidade de um risco. O conceito de probabilidade de um risco o conceito

de que nem sempre uma fonte de riscos gera um evento indesejado, a probabilidade de que isso aconteca a probabilidade

de que aquele risco ocorra.

E mediando o evento e o impacto, eu tenho a severidade, ou seja, eu posso ter uma fraude interna; essa fraude interna pode

ser pequena, pode ser mdia ou pode ser alta, ou at altssima. Essa distribuio de probabilidade da severidade, todo esse


34

espectro de severidade (desde uma severidade bem pequena at uma severidade bastante alta) o que ns chamamos de

severidade de um risco.

Ento eu tenho duas distribuies a: uma distribuio de probabilidade de ocorrncia (que estaria associada entre a fonte de

risco e o evento) e uma distribuio de probabilidade de severidade (que est associada entre o evento e o impacto). Esse

quadro, ento, distribui e coloca os conceitos nos seus devidos lugares e traduz, da melhor maneira, todos esses conceitos

associados gesto de risco.

Revendo ento pessoal: eu tenho as fontes de risco, que com uma certa probabilidade de ocorrncia levam a eventos

indesejados. Esses eventos indesejados, com uma certa severidade levam a diversos tipos de impactos, esses impactos

impactam nos meus objetivos e, portanto, eu preciso ter controles para atuar nesses fatores. Esses so os principais

conceitos articulados e estruturados relacionados a gesto de riscos.


35

SLIDE 32

Tipicamente, as organizaes usam uma matriz para estruturar essa anlise de probabilidade e de severidade. Ento eu

tenho aqui uma matriz que no eixo X, por exemplo, mostra a minha severidade e, na minha matriz, no eixo Y, mostra a

probabilidade. Isso porque um risco no pode ser quantificado, no pode ser mensurado, no pode ser avaliado sem que eu

diga essas duas questes: qual a probabilidade e qual a severidade.

Reparem: qual a probabilidade de eu bater de carro? Bater de carro um evento indesejado (ento est l na coluna do

meio eu posso bater de carro em um

poste, no machucar ningum, s amassar o meu pra-choque, porque eu dormi durante a direo porque eu dormi pouco

no dia anterior. Uma fonte de risco que era o cansao levou ao evento bater o carro e teve um impacto pequeno, s amassou

o meu pra-choque.

Alm disso, eu posso ter um evento extremo, de alta probabilidade e alta severidade dentro do mesmo conceito de bater o

carro. Eu posso estar completamente embriagado porque eu sa para beber para comemorar a vitria do meu time de

futebol, bati o carro, atropelei cinco pessoas e morri.

Ou seja, dentro do conceito do evento de bater um carro eu tenho a associao de diversas fontes de risco com diversos

tipos de impacto e isso leva a probabilidades e severidades diferentes. Ento, para avaliar um risco eu preciso especificar

toda essa cadeia: qual a probabilidade de eu bater com o carro porque havia dormido pouco no dia anterior e causar um

dano pequeno ao meu carro? A eu consigo especificar a probabilidade, a severidade e avaliar esse risco. Ok, pessoal?


36

SLIDE 33

E associado a essa avaliao organizacional, importante que a organizao se pergutne: quais riscos eu quero mitigar?

Onde eu quero agir para que os riscos de alta probabilidade de ocorrncia, por exemplo, no ocorram, ou os riscos de alta

severidade no ocorram? Tentar pegar e cortar a gesto de riscos (porque no necessariamente eu consigo controlar todos

os riscos, ou eu consigo controlar todos os riscos mas isso s pode ser feito de uma maneira muito custosa, tanto em termos

de dinheiro, quanto em termos de tempo, quanto em termos de burocracia para a minha organizao). Ento, a ideia de

alta probabilidade e de alta severidade, com um grau mediano os riscos de mdia probabilidade e de mdia severidade e

talvez

interessante de priorizar a atuao da gesto de riscos e direcionar o foco da interveno organizacional dentro da gesto de

riscos.

Eu acho que esse tipo de noo vai ficar mais claro na prxima sesso, quando ns conversarmos como a gesto de riscos se

desdobra e interage com os conceitos de gesto de processos.


37

SLIDE 34

Antes de falarmos ento um pouquinho mais sobre a interface e sobre a integrao da gesto de riscos com gesto de

processos, vamos olhar um pouco sobre quais so os tipos de risco mais tradicionalmente abordados e a importncia

particular de um conceito

processos da organizao.


38

SLIDE 35

Um dos principais documentos que marcou a evoluo da trajetria da gesto de risco dentro das organizaes o

documento da Basilia. A Basilia um documento que normatizava a gesto de risco dentro das operaes de bancos. E nos

podemos observar essa evoluo, dentro do entendimento da Basilia, para entender especificamente quais so os principais

tipos de riscos que enfrentam as organizaes hoje em dia.

O primeiro risco atacado pela Basilia, em 88, era o risco de crdito. O risco de crdito basicamente pode ser explicado com o

risco de no pagamento de uma dvida. Ou seja, uma empresa toma crdio em um banco e d o chamado default, ou seja,

no honra essa dvida. Esse risco enfrentado por instituies financeiras o risco de crdito.

Um outro risco que foi reconhecido e passou a ser de gerido forma mais sistmica a partir de 1995 o risco de mercado. Esse

risco pode ser expresso pela oscilao do valor do ativo no mercado. Ou seja, eu comprei um ao a 10 reais e hoje ela vale 8;

esse dficit representa a oscilao do valor de mercado de um ativo (no caso a minha ao) e, portanto, se configura o risco

de mercado.

At 95, o risco operacional era tudo que no era risco de crdito e risco de mercado. A partir de 2004, o risco operacional

passou a ser reconhecido como um risco em separado, digno de nota e de ser tratado de forma especfica. Hoje, os riscos

que so considerados como riscos que no so reconhecidos formalmente por esse documento, so os riscos estratgicos ou

os riscos reputacionais. Mas afinal, para o documento da Basilia, que baseia uma srie de instituies e de definies sobre

gesto de risco, o que o risco operacional?

SLIDE 36


39

O risco operacional pode ento ser entendido como eventos oriundos de falhas ou vulnerabilidades em pessoas, processos

internos, sistemas ou at ambiente externo que causem influncia no atendimento dos objetivos, que levem a incerteza ao

atendimento dos objetivos. A Basilia (e aqui no Brasil, ela se traduziu na resoluo 3380 do Banco Central) cita alguns

exemplos mais comuns de riscos especficos dentro de instituies financeiras, mas que podem ser aplicados facilmente para

outros tipos de organizao. Esses eventos so oito categorias e so eles:

I fraudes internas;

II fraudes externas;

III demandas trabalhistas e segurana deficiente do local de trabalho;

IV prticas inadequadas relativas a clientes, produtos e servios;

V danos a ativos fsicos prprios ou em uso pela instituio;

VI aqueles que acarretem a interrupo das atividades da instituio;

VII falhas em sistemas de tecnologia da informao;

VIII falhas na execuo, cumpriemento de prazos e gerenciamento das atividades desta instituio.


40

SLIDE 37

Vamos ressaltar agora algumas das caractersticas importantes do risco operacional. A primeira o seu comportamento

estatstico (e a eu peo para que vocs no se assustem com esses dois grficos que esto na tela de vocs). A principal

mensagem que eu gostaria que vocs pegassem desses grficos a seguinte: o risco operacional tem um comportamento

muito assimtrico. O que esse comportamento assimtrico pessoal? O comportamento assimtrico pode ser traduzido pelo

seguinte entendimento: no risco operacional existem muitos eventos de baixa severidade, ou seja, eu tenho muitos eventos

que tem uma alta probabilidade de ocorrer mas baixa a severidade desses eventos. Que tipo de eventos so esses? So

erros corriqueiros que ocorrem nas operaes das empresas; um dado mal digitado, uma vulnerabilidade de um sistema

causa problemas pequenos percentualmente e em termos de atendimento dos objetivos. Ento eu tenho uma grande

quantidade dos riscos e de eventos de risco com esse perfil (de alta probabilidade e baixa severidade).

Em contraposio eu tenho uma pouca caracterstica, uma pouca quantidade de eventos de altssima severidade e de

baixssima probabilidade. O evento principal que tem aqui como exemplo (que o mais citado) o 11 de setembro: qual a

probabilidade de dois avies colidirem com os dois maiores monumentos da cidade de Nova York, os dois prdios mais altos

da cidade de Nova York? A probabilidade era quase zero, mas a severidade era altssima.

Ento a ideia aqui que o risco operacional caracterizado por essas duas coisas:

Uma alta incidncia de eventos de altssima probabilidade e baixssima severidade, que se acumulam (e a sim

podem machucar as organizaes, podem trazer problemas; mas individualmente eles no so problemticos

porque a severidade muito baixa).

E baixssima probabilidade de eventos de altssima severidade; mas quando esses eventos acontecem a severidade

bastante alta.

E isso traz um dilema para os gestores de riscos operacionais que : como eu trato os riscos com comportamentos to

diferentes e quais riscos priorizar?


41


42

SLIDE 38

Outras caractersticas interessantes do risco operacional so as seguintes:

O risco operacional no est correlacionado com nenhum ativo da organizao. Reparem, a gente falou aqui de risco

de mercado e risco de crdito. O risco de crdito est correlacionado com um ativo; se eu te emprestei 10 reais o

meu risco de crdito de no mximo 10 reais. Voc pode no me pagar esses 10 reais de volta ( um risco de

crdito), mas o valor do meu emprstimo condiciona o valor do risco. Da mesma maneira, no risco de mercado, se

eu comprei uma ao que custa 15 reais e essa ao virou p, eu perdi 15 reais; eu posso at perder um pouco mais

operando o alavancado, mas existe uma correlao entre o valor do meu ativo e o valor do meu risco. No risco

operacional isso no verdadeiro: ele no est correlacionado com nenhum ativo da organizao. O melhor

exemplo disso : eu posso ter o meu fusquinha que vale 5000 reais e eu posso bater em uma BMW. Quando eu bato

em uma BMW, o prejuzo que eu gerei de 50000, 60000 reais, que 6, 7, 8, 10 vezes maior do que o valor do meu

fusca. Mas por qu? Porque o risco operacional no est ligado a nenhum ativo especfico da organizao e o

conceito da exposio ao risco operacional no muito preciso por causa disso; ou seja, o quanto eu posso perder

em um determinado momento do tempo muito difcil de quantificar. Da mesma maneira eu posso ter uma agncia

de banco que tem 20000 reais em dinheiro (dentro daquela agncia), mas se um assaltante entra e mata uma

pessoa l dentro eu posso sofrer um processo pela famlia da vtima por eu no ter dado as condies adequadas de

segurana e perder muito mais do que os 20000 reais que estavam no caixa.

A segunda caracterstica a que ns j falamos: o risco operacional possui um comportamento muito assimtrico

eu tenho muitas perdas de pouco impacto e poucas perdas de muito impacto. Como eu comentei, isso traz uma

dificuldade muito grande para os gestores de risco operacional para lidar com eventos e com coisas to diferentes.

E, especificamente, o risco operacional no est tipicamente ligado expectativa de uma determinada recompensa

(ou de um retorno), mas ele existe no curso natural da operao de uma organizao. Ou seja, para estar exposto ao

risco operacional basta eu abrir a porta. Eu no preciso necessariamente apostar, ou eu no preciso


43

necessariamente desejar algum retorno; basta que a empresa esteja funcionando para que ela esteja exposta ao

tipo de incerteza e ao tipo de vulnerabilidade caracterstica do risco operacional.


44

SLIDE 39

Bom, uma vez compreendidos todos os conceitos associados gesto de risco e em relao ao risco operacional em

particular, podemos agora, a partir de um exemplo prtico, entender como a gesto de riscos se relaciona com a gesto de

controles internos e com a gesto de processos. Nesse exemplo, a nossa expectativa que todos os conceitos ganhem vida

para vocs e que vocs, a partir de agora, se sintam aptos a aplic-los na realidade de suas organizaes.


45

SLIDE 40

Trouxe ento para vocs o exemplo do processo de compras de produtos. Como podemos identificar os principais riscos

nesse processo e elaborar aes para efetivamente mitigar os riscos que sejam prioritrios? Bom, quando comeamos a

entender o ambiente e o processo de compras de produtos, nos deparamos com diversas variveis, como por exemplo:

Uma empresa pode ter diversos sites de negcio;

Eu preciso arquivar e digitalizar as imagens em termos de requisitos e comprovantes de compra;

Eu preciso ter conhecimentos de contabilidade para arquivar e para catalogar os novos arquivos;

Eu preciso ter conhecimento de toda a base de fornecedores, das apresentaes, para saber que tipo de fornecedor

se enquadra em cada tipo de compra;

Eu preciso ter uma lista negra (ou de fornecedores com o CNPJ inativo);

Eu preciso enteder, por exemplo, a responsabilidade por alada, para que a organizao aprove as compras;

Eu preciso planejar o sistema de compras, o sistema de cotaes, a poltica de compras;

E eu preciso entender como fazer requisies de pagamentos.

Ou seja, o meu ambiente para execuo do meu processo de compras bastante complexo e representa diversos riscos para

os objetivos que eu possa ter com ele. Como eu inicio?


46

SLIDE 41

O primeiro passo o entendimento do contexto. Recomendamos (e melhor prtica em diversas organizaes) a utilizao

da prtica de gesto de processos para a organizao conceitual e tcnica do contexto. Nessa nossa organizao temos ento

uma rea de negcio, que d incio ao processo (na raia de cima), realizando a requisio de compra de produto. A rea de

compras de materiais cota os produtos para a compra e envia essas cotaes para a rea de negcio. A rea de negcio

analisa as cotaes feitas pela rea de compras e escolhe a melhor, tanto do ponto de vista de oramento quanto do ponto

de vista de especificao tcnica. A rea de compras de materiais, ento, compra o produto (conforme escolhido pela rea

de negcio) recebe esse produto e a, no caso desse produto representar um ativo fixo para a companhia, faz toda a parte de

patrimoniamento do produto e esse ativo fixo vira uma propriedade controlada contabilmente pela empresa. Caso o ativo

no seja fixo, o processo se encerra no momento em que se d o recebimento do produto pela rea de compras de

materiais.

Esse processo bem simples nos ajuda a identificar grandes variveis de complexidade para o contexto da rea de compras.


47

SLIDE 42

A partir do processo mapeado, podemos identificar trs grandes objetivos do negcio que esse processo visa atender:

O primeiro objetivo (que diz respeito, de maneira mais forte, s trs primeiras atividades) assegurar que as

compras realizadas atendam as necessidades dos respectivos solicitantes. Para isso, eu tenho todo o ciclo de

requisio, de cotao e de aprovao da cotao pela rea de negcio.

Alm disso, eu tenho um segundo objetivo importante que o de assegurar a confiabilidade e o prazo na entrega de

produtos. Para isso, todo o processo ou as atividades de compra ou de recebimento de produtos so realizadas.

E por fim, a parte de patrimoniamento de produtos ou de ativos assegura que os ativos fixos esto sendo

devidamente ativados e classificados dentro do sistema contbil e de patrimnio da empresa.

Dessa forma, conseguimos relacionar trs objetivos de negcio com o nosso contexto e o nosso processo de negcio

mapeado.


48

SLIDE 43

A partir da identificao dos objetivos, podemos iventariar os riscos, ou seja, as fontes de incerteza que levam ao no

atendimento dos objetivos.

Para o primeiro objetivo de assegurar que as compras atendam s necessidades dos respectivos solicitantes, eu

tenho dois riscos:

o O da especificao tcnica inadequada do produto solicitado, ou seja, quando a rea de negcio no

especifica de forma adequada esse produto ou h um mau entendimento pela rea de compras da

especificao;

o E o entendimento incorreto por Compras da especificao detalhada pelo solicitante.

Ento esses dois so os principais riscos em relao ao primeiro objetivo.

Em relao ao segundo objetivo, de assegurar a confiabilidade do prazo em entrega dos produtos, eu tenho dois

grandes riscos:

o O recebimento do produto fora do prazo definido;

o E o recebimento da nota fiscal com prazo invivel para o pagamento. Esses dois tipos de erro tambm

afetam diretamente o objetivo de assegurar o prazo na entrega dos produtos

Em relao ao ltimo objetivo, de adequao, ativao e classificao correta dos ativos da empresa, eu tenho dois

riscos principais:

o A no ativao ou classificao contbil de um bem adquirido;

o E o etiquetamento inadequado dos ativos fixos.

Ento, lembrando o nosso raciocnio: procedemos ao mapeamento dos processos, na sequncia identificamos os objetivos e,

agora, em face desses objetivos de negcio, iventariamos os riscos que trazem incerteza no atendimento de cada objetivo.


49

SLIDE 44

Uma vez identificados os riscos, importante que se proceda para a avaliao da probabilidade e da severidade de cada

risco. Isso relevante para que se possa

riscos prioritrios (aos quais se deve dedicar mais ateno e esforo gerencial) dos riscos menos relevantes (aos quais

controles mais simples ou at nenhum controle pode ser designado). Para isso, prope-se o uso da matriz de probabilidade e

de severidade, onde classificamos os riscos quanto a probabilidade de ocorrncia (ele pode ser raro, pouco provvel ou

possvel) e a severidade (uma severidade aceitvel, tolervel ou intolervel). Para isso, na combinao da probabilidade com

a severidade, temos:

Os riscos na regio vermelha que so considerados os riscos altos (que possuem, por exemplo, alta

severidade e alta probabilidade).

Os riscos da regio amarela seriam os riscos mdios (de severidade alta ou probabilidade alta ou

intermediria)

E os riscos na regio verde, que seriam considerados riscos baixos.

Isso importante para ajudar a alta gesto da empresa a adequar o nvel de controle daquela empresa a avaliao de cada

risco de maneira uniforme e integrada.


50

SLIDE 45

Voltando ao nosso exemplo, podemos ver que cada risco possui uma avaliao especfica. A partir dos riscos que tiveram sua

maior avaliao, podemos identificar os principais controles:

Em relao ao

organizao do nosso exemplo j possui trs controles:

o O controle 1 diz que a solicitao de compra analisada e aprovada pelo proprietrio do Centro de Custo,

apoiado pelo sistema de compras e de acordo com a Poltica de Alada. Ou seja, se isso feito, h uma

mitigao de que haja uma especificao tcnica inadequada do produto solicitado.

o Alm disso, o controle 2 diz: a elaborao do oramento da rea solicitante define em linhas gerais quais

bens devem ou no ser adquiridos. Isso tambm deve mitigar o risco de especificao tcnica inadequada.

o E por fim, o controle 3 diz que: em caso de uma solicitao de um ativo fixo para a empresa, esta

analisada e aprovada pela Diretoria de Operaes, de acordo com a Poltica de Compras. Para ativos fixos,

onde o valor da compra normalmente mais alto, este um controle adicional que mitiga o risco em

questo.


51

SLIDE 46

Dessa forma, com a existncia dos controles, o risco de especificao tcnica inadequada do produto solicitado (que antes

poderia ser considerado um risco alto por possuir alta probabilidade de ocorrncia e alta severidade de impacto) passa agora

a ser considerado um risco mdio, porque os controles j mitigam grande parte dessas ocorrncias.


52

SLIDE 47

Entretanto, um risco mdio no necessariamente um risco aceitvel para a organizao e ela pode querer aplicar novos

controles para reduzir ainda mais a probabilidade de ocorrncia ou a severidade das ocorrncias desse mesmo risco. Caso

esse seja o caso, a organizao possui algumas opes de tratar esse risco:

A primeira atuar reduzindo a sua probabilidade; nesses casos o tratamento acaba se concentrando mais na

melhoria da estrutura atual de controles, para diminuir a probabilidade que os eventos relacionados ao risco

aconteam.

Outra opo para essa organizao a reduo da severidade; nesses casos o tratamento se concentra na melhoria

da estrutura atual de controles para diminuir o impacto dos eventos relacionados ao risco. A diferena, pessoal,

entre reduzir a probabilidade e a severidade e que um atua na causa do risco (diminuindo a probabilidade que

aquela causa gere um efeito negativo), e a segunda atua no impacto (uma vez que o risco j ocorreu, na diminuio

do seu impacto). Um exemplo clssico de um controle que reduza a probabilidade , por exemplo, o controle de

acesso a sistemas para impedir que pessoas que no deveriam acessar dados confidenciais cometam crimes. E um

exemplo clssico de um controle que atua reduzindo severidade , por exemplo, um plano de contingncia; uma vez

que o risco j aconteceu (j ocorreu algum acidente) eu consigo minimizar o impacto para a operao desse

acidente a partir de um plano de contingncia.

Outras opes que no necessariamente levam ao tratamento do risco, mas so respostas adequadas ao risco a

deciso de reter o risco ou seja, de simplesmente no tratar, de aceitar esse risco como ele e absorv-lo pela

empresa.

Compartilhar com outras empresas, atravs da subcontratao dos servios ou terceirizao de atividades.

E de descontinuar a atividade: em muitos casos, a melhor maneira de tratar um risco simplesmente no realizar

mais a atividade que viabilizava ou que estava relacionada com aquele risco. claro que isso deve ser analisado: se

faz sentido dentro do contexto de negcio da empresa ou se melhor reter o risco, compartilhar ou melhorar a

estrutura de controles.


53


54

SLIDE 48

Voltando ao nosso exemplo, foram identificadas uma srie de iniciativas para tratar os riscos ainda existentes nos processos.

Essas iniciativas podem ser vistas em detalhe no slide seguinte.


55

SLIDE 49

Por exemplo, para o risco de especificao tcnica inadequada do produto solicitado, que foi o que usamos como exemplo

nesse exerccio sugeriu-se um plano de ao para tratar o risco residual, ou seja, o risco ainda existente mesmo aps a

aplicao dos controles. Esse plano de ao foi:

Sugeriu-se como plano de ao, para mitigar esse risco de forma suficiente, a criao de especificaes tcnicas

ideais para cada tipo de produto e a parametrizao do sistema de compras de acordo com essas. Entendeu-se que

esse plano de ao levaria a implantao de novos controles que reduziria a probabilidade e a severidade daquele

organizao. Caso vocs desejem, fiquem vontade para exercitar novos planos de aes para outros tipos de riscos

que foram utilizados nesses exerccios. claro que existem a trs exemplos para que vocs possam conferir e dividir

ideias com o caso.


56

SLIDE 50

Por fim, aps olharmos em detalhes a relao entre processos, riscos e controles internos, vamos ao ultimo conceito

importante no mundo de gesto de riscos que debateremos nessa aula: o conceito denominado GRC, uma sigla que se refere

a governana, riscos e compliance.


57

SLIDE 51

O conceito de GRC parte da premissa de que o conhecimento necessrio para gerir a incerteza dos processos de uma

organizao est espalhado na organizao de forma bastante difusa, ou seja, eu posso ter essa informao, por exemplo:

No log de desvios no uso inadequado de aplicativos da organizao;

Uma base de dados com informaes transacionais dos principais aplicativos operacionais;

Um controle de Help Desk, uma planilha do histrico de multas;

Um sistema de tratamento das reclamaes dos clientes;

Registro de fraudes, perdas e roubos;

Pesquisas de satisfao dos clientes;

E rbricas contbeis de questes trabalhistas.

Ou seja, o meu conhecimento sobre o perfil de risco da minha operao e sobre os principais eventos que traduzem o risco

est disperso de forma bastante heterognea nos sistemas e atores organizacionais.

9.1 Aula Transcrita

Documents

Transcript of 9.1 Aula Transcrita