Download - 9.1 Aula Transcrita
-
9.1. Gesto de Riscos em Processos
-
9.1. Gesto de Riscos em Processos ELO Group 2011
2
RESUMO
Aula: 9.1.Gesto de Riscos em Processos
Tutor: Daniel Karrer, MSc., CBPP.
Nmero de slides: 57 Durao da Aula: 66 min
SLIDE 1
-
9.1. Gesto de Riscos em Processos ELO Group 2011
3
SLIDE 2
Ol pessoal, hoje vamos falar de um tpico que vem se tornando cada vez mais relevante nos dias de hoje: a gesto de riscos.
Ouvimos muito falar de gesto de riscos ultimamente, devido s recentes crises financeiras (como a de 2008) e alguns
desastres naturais. Esse tema est bastante em voga tantos nas organizaes como na sociedade em geral; mas afinal, o que
um risco? Como a gente consegue control-lo? E como ele se relaciona com processos? Esses sero alguns dos tpicos que
abordaremos na aula de hoje. Espero que a experincia seja tima para vocs. Meu nome Daniel e vou estar com vocs
durante uma hora para tentarmos falar sobre esse tpico de riscos e como eles se relacionam em processos.
Pessoal, estruturei a ordem dessa aula de modo que ns pudssemos ir dos conceitos mais intuitivos do dia-a-dia para os
conceitos mais formais:
Dessa forma, comeamos debatendo um pouco como ns vivenciamos e experimentamos o risco no nosso dia-a-dia.
A ideia aqui que ns j utilizamos diversos conceitos associados gesto de riscos, mesmo sem querer;
A partir disso, passamos para um exerccio onde vamos formalizar um pouco dos conceitos bsicos de riscos e de
controles;
Na sequncia, na etapa 3, falamos um pouco dos diversos tipos de riscos existentes e damos um foco especial no
risco operacional. Esse foco ocorre porque o risco operacional se relaciona de forma mais ntima com processos e,
portanto, com o objeto do nosso curso;
Falamos ento, na parte 4, especificamente como conseguimos lidar com a gesto de riscos, a parte de gesto de
controles internos e tambm com processos;
Por fim, na etapa 5, introduzimos um novo conceito bastante usado nas organizaes recentemente, que o
conceito GRC expressando Governana, Risco e Compliance.
Ao final, como em todas as aulas, revemos um pouco dos conceitos-chave dessa aula para que eles fiquem bem
fixados.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
4
SLIDE 3
Antes de comearmos, gostaria de explicar um pouco para vocs sobre a bibliografia associada gesto de riscos. Procurei
incluir aqui todos os manuais e referncias que so utilizados no mercado, de modo que vocs consigam ter acesso a essas
referncias via internet, facilitando a pesquisa de conceitos que interessem a cada um de vocs. Optei por no incluir
nenhum livro, dado que entendo que esses manuais cobrem de maneira extremamente satisfatria os principais conceitos
que sero utilizados aqui.
As duas principais referncias hoje que o mercado usa de gesto de risco so os dois manuais do COSO. O COSO uma sigla
bastante importante e vocs que se interessam por risco deveriam procurar. O COSO tem dois manuais:
Um que se chama Internal Control que fala um pouco sobre a gesto de controles internos;
E o segundo que fala sobre ERM, uma viso um pouco mais integrada, um pouco mais sistmica de olhar todos os
riscos de uma organizao.
Se vocs se interessarem pelo conceito de GRC (como eu comentei Governana, Riscos e Compliency) eu recomendo que
vocs busquem o Red Book; ele j est na segunda verso e est disponvel na internet.
Para uma viso um pouco mais ampla dos principais conceitos da gesto de risco, recomendo a consulta recm emitida
norma ISO 31000, que versa especificamente sobre esse tpico
Para os que quiserem se aprofundar e j tiverem olhado essas quatro referncias, eu recomendo tambm buscar um
documento chamado Orange Book, que uma referncia importante tambm e complementar s demais no tpico de
gesto de riscos.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
5
SLIDE 4
Vamos falar um pouco ento pessoal sobre como experimentamos o risco no nosso dia a dia, para podermos perceber que a
noo de risco e seus conceitos associados como mitigao, controle e etc. j esto presentes nas nossas vidas mesmo sem
nos darmos conta.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
6
SLIDE 5
objetivo aqui novamente que nos percebamos que j estamos acostumados a utilizar diversos conceitos e vocabulrios de
risco mesmo que de maneira despercebida. Aqui temos alguns exemplos:
No canto superior esquerdo vemos um recorte sobre a crise do subprime, ou seja, se refere especificamente grande crise
financeira que atingiu parte do mundo em meados de 2008, contaminando particularmente a economia norte-americana e
algumas economias da Europa, mas tambm chegando aqui no Brasil.
Na parte inferior do canto esquerdo vemos um pouco sobre riscos climticos, temos a como exemplo desses riscos o El Nio
e alguns tsunamis e fenmenos climticos extremos que vm atingindo o nosso planeta. Alm disso, no canto superior
direito, temos riscos sade e segurana e sade geral da populao, como riscos de pandemia, a gripe aviria, a gripe
suna e qualquer risco que atinja a sade da populao. Notem: a palavra riscos associada pandemias e a efeitos em termos
de sade da populao vem sendo utilizada cada vez mais.
E, no canto inferior direito, vemos a risco da insatisfao dos clientes e a onda de recall. Ento, a gente tem aqui alguns
exemplos em relao Mattel, em relao Renault, em relao a recall de baterias da Sony , ou seja, produtos que saram
do cho de fbrica sem os padres de qualidade necessrios e acabaram tendo risco de causar algum tipo de dano aos seus
consumidores.
Esses recortes mostram que o risco um conceito bastante presente na nossa vida, mas ser que ns podemos dizer que
todos ns temos a mesma noo, o mesmo conceito do que um risco? o que veremos nos slides a seguir.
SLIDE 6
-
9.1. Gesto de Riscos em Processos ELO Group 2011
7
O risco definitivamente, portanto, est presente no nosso dia a dia. Mas afinal, de forma precisa, conceitual e acadmica: o
que um risco? Podemos entender esse conceito a partir de um exerccio.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
8
SLIDE 7
Imaginemos a seguinte situao: temos 8 blocos pousados no cho. E temos um desafio nesse exerccio: organiz-los de
forma a maximizar a sua altura final. Como podemos organizar esses blocos de forma a atingir o nosso objetivo?
-
9.1. Gesto de Riscos em Processos ELO Group 2011
9
SLIDE 8
Invariavelmente, aps pensar um pouco, chegamos concluso de que a melhor maneira de organizar os blocos para
atendermos o objetivo proposto empilharmos um em cima do outro. Dessa maneira, conseguimos a maior altura possvel,
ou seja, utilizamos nossos recursos da melhor forma para atendermos o objetivo proposto pelo exerccio.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
10
SLIDE 9
Entretanto, ser que essa a melhor deciso a ser tomada? Vejamos.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
11
SLIDE 10
O que ocorreu que consideramos muito bem os objetivos do exerccio em nossa soluo. Entretanto, desconsideramos a
incerteza, porque o arranjo que colocamos os blocos o que melhor atende os objetivos, mas tambm o que melhor est
(ou o que mais est suscetvel) s incertezas possveis, ou seja, embora ele seja o que melhor atende o objetivo do exerccio,
ele tambm o que possui a maior probabilidade de cair (ou de dar errado).
-
9.1. Gesto de Riscos em Processos ELO Group 2011
12
SLIDE 11
A partir dessa considerao, devemos pensar: como entender a incerteza que afeta cada objetivo a ser alcanado para se
tomar a melhor deciso? Vimos no nosso exerccio que no necessrio considerar somente o objetivo, mas tambm todos
os fatores que podem levar ao no atendimento desse objetivo ou que gerem incerteza sobre resultado a ser gerado.
Voltando ao nosso exemplo, quais fatores poderiam ser considerados aqui? Pensem um pouco.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
13
SLIDE 12
No nosso exerccio, uma primeira fonte de incerteza (ou fator de risco) poderia ser o vento. Os blocos empilhados um em
cima do outro ficam mais suscetveis as aes do vento, ou seja, o vento derruba mais facilmente esse nosso arranjo,
torando-o assim menos estvel. O nosso objetivo, novamente, foi alcanado, entretanto ele mais fcil de ser derrubado.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
14
SLIDE 13
Uma outra fonte de incerteza poderia ser um terremoto ou abalo ssmico; qualquer coisa que mexesse com as estruturas do
solo e que deixasse a estrutura de blocos solta, sem encaixe, fazendo-a cair no cho. Novamente, uma segunda fonte de
incerteza considervel que deixamos de tornar relevante ou considerar em nossa anlise.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
15
SLIDE 14
Finalizando nossas anlises de fonte de incerteza, poderamos observar a chuva. A chuva que normalmente vem em diagonal
e associada a vento tambm poderia ser uma fonte de incerteza relevante quando consideramos a probabilidade desse
arranjo, que ns colocamos como timo para o nosso exerccio, falhar, ou seja, ser derrubado e levar os nossos blocos ao
cho.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
16
SLIDE 15
A partir da considerao das fontes de incerteza, podemos repensar esse desafio, agora com o entendimento melhor e mais
profundo de quais so os seus objetivos e a complexidade envolvida nestes.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
17
SLIDE 16
Para tanto, podemos expressar o nosso desafio com trs principais frases. O desafio continua o mesmo pessoal, lembrando:
como organizar os 8 blocos de forma a maximizar a sua altura final. Ento temos l o nosso objetivo (maximizar a altura do
arranjo final), os recursos a serem utilizados so os mesmos (8 blocos), mas agora iremos considerar de forma ativa e
relevante as 3 fontes de incerteza que ns identificamos: o vento, a chuva e o terremoto. Pensem um pouco: a partir das
fontes de incerteza, qual seria o arranjo que satisfaz da melhor maneira o exerccio proposto?
-
9.1. Gesto de Riscos em Processos ELO Group 2011
18
SLIDE 17
O que descobrimos que a partir da considerao das fontes de incerteza, a resposta no fica mais to fcil e surgem
diversas alternativas que podem contemplar as solues para o nosso desafio. Cada alternativa trar diferentes
conseqncias em termo de alcance do objetivo, ou seja, de maximizao da altura final e de incerteza, ou seja, da chance de
queda. Na prtica, podemos dizer que h um trade off entre as alternativas, ou seja, quanto maior o meu objetivo, quanto
maior a altura resultante, maior a incerteza e maior a chance de queda. Por outro lado, eu tenho uma menor chance de
queda quando eu atinjo menos o meu objetivo, ou seja, eu empilho menos os meus blocos, a altura resultante a menor,
mas eu tenho menos sensibilidade a incerteza. A pergunta passa ento a ser: qual o ponto timo?
-
9.1. Gesto de Riscos em Processos ELO Group 2011
19
SLIDE 18
A reflexo do ponto timo passa a ser, ou pode ser expressa a partir da seguinte pergunta, pessoal: qual a sua tolerncia
para o alcance dos objetivos? O quanto cada um de ns est disposto a sacrificar em termos de risco, em termos de incerteza
para que alcancemos os nossos objetivos? Ou seja, a gente poderia organizar as solues em um eixo onde o eixo Y a altura
(em metros) e o eixo X a chance de queda. Dessa maneira, ordenaramos as solues tanto da menor altura possvel (com
zero chance de queda), com todas elas na horizontal at a maior altura possvel (com maior chance de queda), onde todos os
blocos se encontram na vertical. A grande pergunta passa a ser: qual a nossa tolerncia ao risco a partir do entendimento
de um objetivo? Ou seja, onde nos posicionamos nesse eixo? Somos mais agressivos, tentando obter um resultado maior, a
maior altura possvel, e temos chance de uma queda maior? Ou seremos mais conservadores: iremos mais para perto do eixo
pamos ter um resultado um pouco menor, um pouco menos agressivo, um
com esse tipo de dilema que ns nos defrontaremos ao longo dessa conversa. Qual o meu apetite ao risco? O quanto eu
topo ter resultados agressivos dentro de uma organizao, dentro de uma iniciativa, em face dos riscos maiores que isso
normalmente acarreta. Aqui importante pessoal, que vocs absorvam a seguinte noo: que risco e retorno so dois lados
da mesma moeda, ou seja, para ter um maior retorno, para atingir mais um objetivo normalmente eu encorro em maiores
riscos. E igualmente: se eu tenho objetivos um pouco mais conservadores, um pouco menos agressivos, eu consigo ter menos
riscos, menos incertezas e menos instabilidade.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
20
SLIDE 19
Portanto, esse exemplo serve para ilustrar de maneira bastante interessante o conceito da ISO em termos de gesto de
riscos. Esse conceito o conceito hoje mais utilizado em todos aqueles manuais de referncia que constam na bibliografia de
objetivo pode ser considerado um risco. Essa a definio mais formalmente aceita em grandes empresas e em grandes
manuais de referncia em relao ao risco. bastante importante, pessoal, que vocs tenham isso prximo de vocs, que
isso seja uma definio intuitiva para vocs porque ela vai ser articulada ao longo da nossa conversa.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
21
SLIDE 20
E dessa forma, quase como uma consequncia natural da definio, a gesto de riscos dentro de uma organizao deve,
portanto, apoiar os gestores, os executivos dessa organizao a tomar decises entendendo, ponderando exatamente o
trade off que ns vimos no nosso exerccio, ou seja, o impacto da incerteza em relao aos objetivos traados. Lembrando
pessoal, aqui eu vou ser bastante enftico nessa frase: risco e retorno so os dois lados da mesma moeda, ento se eu
objetivo ter um retorno (seja ele financeiro, seja ele de reputao, seja ele de ambiente interno), se eu almejo alcanar
algum objetivo, eu tenho um efeito da incerteza sobre esse objetivo; o efeito da incerteza que pode me fazer ficar a quem do
atendimento do objetivo chamado de risco. E a, a funo da gesto de risco deve ser prover informaes e decises
conscientes aos tomadores de decises, aos executivos da empresa no sentido a ponderar esses dois tipos de variveis: o
risco e o retorno em seus objetivos.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
22
SLIDE 21
Para exercitar um pouco dos conceitos ento, pessoal, trouxemos aqui trs situaes para que vocs observem e respondam
a sequinte pergunta: qual o risco envolvido em cada situao abaixo?
Vamos considerar a primeira situao da corrida de frmula 1, quais so os riscos envolvidos? Algum poderia
pensar em um risco de acidente, o risco de perder a corrida; mas todas essas especulaes devem ser enquadradas
na nossa definio pessoal. O que devemos pensar primeiro : qual o objetivo? Um risco por s s no uma
perda, no um perigo, no uma incerteza; ele s faz sentido se enquadrado no frame de um objetivo. Exemplo:
se o objetivo ganhar a corrida, ser campeo mundial, temos diversos riscos, o risco por exemplo de dormir na
noite anterior da corrida um grande risco. O risco, por exemplo, de um companheiro seu de equipe ou de uma
equipe rival bater em voc enquanto voc faz a curva e te jogar para fora da corrida tambm um grande risco. Por
exemplo, para dar uma contraposio a esse exemplo, podemos colocar: se o objetivo for sermos campees, em
termos de equipe, do mundial de construtores, chegar por exemplo em terceiro lugar (ou em quarto lugar),
dependendo da colocao, pode no ser um risco, mas sim um auto-retorno.
Da mesma forma, podemos aplicar esse conceito s demais situaes. Pensem um pouco: como podemos enquadrar os
riscos em termos dos objetivos de cada uma delas? Deixo para vocs a reflexo mais profunda nas demais situaes, mas
lembrem-se: um risco s pode ser enquadrado em funo de um objetivo especfico, isso importante porque se no
passamos a ver risco em todos os lugares.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
23
SLIDE 22
Uma vez feito o nosso exerccio, iremos formalizar agora alguns conceitos bsicos de riscos e de controles. Esses conceitos
so importantes, pois se tornaro a base para todos os nossos debates a partir de agora.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
24
SLIDE 23
Para formalizarmos esses conceitos, primeiro devemos olhar o nosso entendimento da organizao. Ento temos aqui uma
figura que mostra a organizao desde o seus diretores executivos at as diversas estruturas funcionais quebradas em
diretorias.
Temos l a estratgia: essa estratgia definida por essas diretorias e cascateada para os nveis subsequentes da
organizao. Alm disso, podemos entender essa organizao como composta de diversas pessoas, diversos fluxos de
trabalho que se materializam em processos, diversos sitemas de tecnologia que apiam esses fluxos a serem executados e
essa organizao no s tem esse ambiente interno, mas tambm lida com um ambiente externo, onde ela est inserida (por
exemplo: com seus competidores, com a situao poltica-econmica do pas onde ela est inserida e com os seus
consumidores ou clientes).
-
9.1. Gesto de Riscos em Processos ELO Group 2011
25
SLIDE 24
Imaginemos essa mesma organizao tendo o seguinte objetivo: o do cumprimento do oramento previsto dentro do prazo e
dentro do valor orado. Dessa maneira, podemos expressar esse objetivo em um grfico como esse. No eixo X temos os
meses ao longo do ano e no eixo Y, o percentual de execuo do oramento previsto. Esse objetivo claramente nos coloca
que ao final de 12 meses, ao final de um perodo oramentrio anual, devemos ter cumprido exatamente 100% do
oramento previsto, ou seja, no devemos ter cumprido nem a menos e nem a mais. O objetivo chegar no cumprimento
total, intregal e irrestrito desse oramento.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
26
SLIDE 25
Entretanto, se voltarmos ao nosso entendimento organizacional, podemos perceber que existem vrias vulnerabilidades que
so oriundas de diversos fatores de incerteza dentro da nossa organizao. Alguns fatores de incerteza esto associados a
pessoas, por exemplo: ser que as pessoas possuem a carga de trabalho adequada para cumprir esse objetivo do oramento?
Ser que elas competentes o suficiente ou treinadas para gerir de forma analtica e precisa o desembolso gasto ao longo do
ano? Ser que elas tem as atitudes, as exeperincias, as habilidades corretas?
Cada variao em cada um desses fatores traz incerteza para o atendimento dos objetivos. Da mesma forma, ocorre com os
processos, eu posso ter problemas de fluxo de informao, de indicadores, de papis e responsabilidades, de mtodos que
me levem a ter uma execuo maior ou menor que eu pretendo para o meu oramento. Igualmente, eu tenho em relao
aos meus sistemas de informao; eu posso ter problemas, por exemplo, de hardware, de software, de banco de dados, de
controle de acesso que faam com que eu tenha uma instabilidade ou uma incerteza em relao ao cumprimento dos meus
objetivos.
E por fim, podemos destacar que at oscilaes no meu ambiente econmico, como variaes cambiais, como questes
polticas, presses externas e movimentos de concorrentes tambm levam a mudanas internas e portanto afetam o
cumprimento dos meus objetivos.
Cada um desses fatores, no nosso entendimento organizacional gera um fator de incerteza para o cumprimento de cada
objetivo organizacional.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
27
SLIDE 26
Aplicando esse conceito ao nosso exemplo, observamos que aquele objetivo que estava declarado de forma precisa de gastar
100% do meu oramento at o 12 ms do ano ele sofre oscilaes (tanto pra mais, quanto pra menos). Um exemplo disso
se pegarmos a fonte de incertezas especfcas associada as habilidades das pessoas; caso o meu gerente de conta, o meu
gerente de contrato seja muito habilidoso na gesto do oramento dele, ele pode chegar a ter uma execuo menor do
oramento, ou seja, ele pode economizar ao longo do perodo. Isso traz uma incerteza que tem um impacto positivo para a
minha organizao. No caso contrrio, se ele no for habilidoso ou experiente o suficiente, ele pode estourar o oramento
causando uma execuo de 120%, 130%, 140% do meu oramento e causando um desembolso alm do desejado. De
incerteza para o atendimento do meu objetivo, que o cumprimento adequado de 100% do meu oramento durante o ano.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
28
SLIDE 27
A partir dessa explicao, podemos formalizar um pouco melhor a definio de risco proposta pela ISO 31000 e, como j foi
falado antes, aceita por grande maioria das empresas nacionais e internacionais e tambm das normas de referncia de
gesto de risco. J vimos que o risco pode ser definido como um efeito da incerteza sobre os objetivos. Agora podemos
destacar quatro caractersticas dessa definio que devem ser atendidas, devem ser observadas por vocs.
A primeira caracterstica que um efeito no necessariamente no negativo. Um efeito pode ser positivo como
vimos anteriormente no exemplo do oramento. Ou seja, a incerteza pode levar a pessoa a ter ganhos acima do
esperado, a executar, por exemplo, o oramento em menos tempo do que o previsto, ou menos do oramento no
tempo desejado. Isso seria um efeito positivo para a organizao. Ento o risco no inerentemente bom ou
at um erro, ou um desvio conceitual. O risco, especificamente, ele tanto positivo, quanto negativo porque ele
representa o efeito da incerteza sobre os objetivos, e esse efeito pode ser para o bem e para o mal.
A segunda nota que um objetivo no precisa ser expresso necessariamente em termos financeiros. Um objetivo
pode ser ter os empregados felizes, pode ser ter um turn over menor do que 10%, pode ser no obter nenhum tipo
de evaso de empregados ao longo do ano, pode ser conquistar mais clientes, novos mercados, etc. Ento, um
objetivo no necessariamente financeiro, no tem o aspecto de retorno que ns tradicionalmente pensamos
(quando pensamos na palavra retorno, acabamos pensando em dinheiro). No necessariamente um objetivo precisa
ser expresso nesses termos, ele pode tambm ser expresso em termos de sade e segurana, em termos legais, em
termos de conquista e de satisfao de clientes, dentre outros.
Alm disso, (ns vamos entrar mais detalhadamente nessa nota 3 nos prximos slides) um risco frequentemente
descrito por um evento ou um conjunto de circunstncias, uma consequncia ou uma combinao dessas
consequncias e como elas afetam o alcance dos objetivos. Ou seja, eu tive um problema com o meu gestor de
contrato porque ele contratou mais fornecedores do que ele poderia, portanto ele acabou estourando a meta dele,
-
9.1. Gesto de Riscos em Processos ELO Group 2011
29
o objetivo dele e a ele acabou, portanto, no alcanando o objetivo de cumprir o oramento 100% dentro do
tempo.
Alm disso, o risco pode ser expressado tambm como uma combinao da consequncia de um evento ou as
mudanas de uma circunstncia e sua probabilidade.
Vamos olhar um pouco mais sobre como essa nota 3 e a nota 4 podem ser entendidas para levar ao entendimento mais
estruturado e formal do que um risco.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
30
SLIDE 28
Antes de avanarmos mais no entendimento do que um risco, podemos nos perguntar o que um controle? E a eu
gesto da empresa (seja pelo conselho de administrao, seja pelos diretores, pelos gestores ou por qualquer pessoal da
um controle no garante 100% das vezes, perfeitamente, que os objetivos
sero atingidos. Tipicamente, um controle prov uma garantia razovel. Quanto mais controle eu tenho, mais burocrtica
pode ficar a minha empresa e menos incerteza ela sofre. Ento ns temos a, com certeza, um ponto timo que o de
desburocratizao, o de menos controles, mas tambm o nvel necessrio de controle para garantir que os objetivos sejam
atendidos.
Mais acima, temos uma definio alternativa, mas bastante em linha com essa outra definio apresentada, que a definio
pelos gestores de uma empresa para aumentar a probabilidade de que os objetivos e met
determinado momento, e esse determinado momento muito dado pelo grau de controle que a direo decide exercer
sobre o ambiente interno daquela empresa.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
31
SLIDE 29
Se voltarmos ao nosso exemplo, que era aquele exemplo do risco de cumprimento inadequado do oramento, temos que a
incerteza causou uma variabilidade nesse objetivo (tanto pra mais, quanto pra menos). No que um set, ou um conjunto de
controles poderia nos ajudar?
-
9.1. Gesto de Riscos em Processos ELO Group 2011
32
SLIDE 30
Tipicamente, um conjunto de controles garantiria que o efeito da incerteza seria menor sobre os objetivos, dando menos
variabilidade a esses objetivos, restringindo o espao em termos de quais objetivos, ou quanto esse objetivo pode variar.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
33
SLIDE 31
Essa figura representa, ento, de forma sinttica e integrada, todos os principais conceitos que precisamos saber quando
falamos de gesto de riscos. Um risco ento, pode ser descrito por trs grandes coisas:
A fontes de risco, ou seja, quais so as principais causas que causam aquele risco;
O evento: efetivamente o evento a ocorrncia indesejvel ou desejvel, a expresso da variabilidade no objetivo.
E o impacto: esse impacto atua diretamente nos objetivos das empresas; ou seja, eu posso ter por exemplo, pessoal,
um problema, uma fonte de riscos de processos inadequados, de pessoas pouco capazes, que levam, por exemplo, a
prticas inadequadas relativas a clientes, produtos e servios, causam um evento indesejado em relao a uma base
de clientes e isso tem um impacto, uma perda de receita e isso influencia diretamente no meu objetivo de crescer o
Ento, a combinao, a expresso desses 3 fatores (as fontes de riscos, os eventos e os impactos) so a melhor descrio
possvel de como um risco impacta nos objetivos. E eu tenho controles que influenciam, que agem na relao entre esses 3
fatores. Entre a fonte de risco e o evento, eu tenho a probabilidade do risco ocorrer, ou seja, eu tenho pessoas pouco
capazes ou no to experientes quanto eu gostaria todos os dias do ano, mas todo dia que eu tenho uma prtica
inadequada com o cliente? No, ou seja, existe uma probabilidade que a minha fonte de risco gere um evento inadequado.
Existe a probabilidade, por exemplo, que o meu sistema, que tem uma falha de acesso gere uma fraude interna. Essa falha de
acesso est presente todos os dias, mas no necessariamente todos os dias eu tenho uma fraude interna. Ento importante
que ns saibamos articular esse conceito de probabilidade de um risco. O conceito de probabilidade de um risco o conceito
de que nem sempre uma fonte de riscos gera um evento indesejado, a probabilidade de que isso aconteca a probabilidade
de que aquele risco ocorra.
E mediando o evento e o impacto, eu tenho a severidade, ou seja, eu posso ter uma fraude interna; essa fraude interna pode
ser pequena, pode ser mdia ou pode ser alta, ou at altssima. Essa distribuio de probabilidade da severidade, todo esse
-
9.1. Gesto de Riscos em Processos ELO Group 2011
34
espectro de severidade (desde uma severidade bem pequena at uma severidade bastante alta) o que ns chamamos de
severidade de um risco.
Ento eu tenho duas distribuies a: uma distribuio de probabilidade de ocorrncia (que estaria associada entre a fonte de
risco e o evento) e uma distribuio de probabilidade de severidade (que est associada entre o evento e o impacto). Esse
quadro, ento, distribui e coloca os conceitos nos seus devidos lugares e traduz, da melhor maneira, todos esses conceitos
associados gesto de risco.
Revendo ento pessoal: eu tenho as fontes de risco, que com uma certa probabilidade de ocorrncia levam a eventos
indesejados. Esses eventos indesejados, com uma certa severidade levam a diversos tipos de impactos, esses impactos
impactam nos meus objetivos e, portanto, eu preciso ter controles para atuar nesses fatores. Esses so os principais
conceitos articulados e estruturados relacionados a gesto de riscos.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
35
SLIDE 32
Tipicamente, as organizaes usam uma matriz para estruturar essa anlise de probabilidade e de severidade. Ento eu
tenho aqui uma matriz que no eixo X, por exemplo, mostra a minha severidade e, na minha matriz, no eixo Y, mostra a
probabilidade. Isso porque um risco no pode ser quantificado, no pode ser mensurado, no pode ser avaliado sem que eu
diga essas duas questes: qual a probabilidade e qual a severidade.
Reparem: qual a probabilidade de eu bater de carro? Bater de carro um evento indesejado (ento est l na coluna do
meio eu posso bater de carro em um
poste, no machucar ningum, s amassar o meu pra-choque, porque eu dormi durante a direo porque eu dormi pouco
no dia anterior. Uma fonte de risco que era o cansao levou ao evento bater o carro e teve um impacto pequeno, s amassou
o meu pra-choque.
Alm disso, eu posso ter um evento extremo, de alta probabilidade e alta severidade dentro do mesmo conceito de bater o
carro. Eu posso estar completamente embriagado porque eu sa para beber para comemorar a vitria do meu time de
futebol, bati o carro, atropelei cinco pessoas e morri.
Ou seja, dentro do conceito do evento de bater um carro eu tenho a associao de diversas fontes de risco com diversos
tipos de impacto e isso leva a probabilidades e severidades diferentes. Ento, para avaliar um risco eu preciso especificar
toda essa cadeia: qual a probabilidade de eu bater com o carro porque havia dormido pouco no dia anterior e causar um
dano pequeno ao meu carro? A eu consigo especificar a probabilidade, a severidade e avaliar esse risco. Ok, pessoal?
-
9.1. Gesto de Riscos em Processos ELO Group 2011
36
SLIDE 33
E associado a essa avaliao organizacional, importante que a organizao se pergutne: quais riscos eu quero mitigar?
Onde eu quero agir para que os riscos de alta probabilidade de ocorrncia, por exemplo, no ocorram, ou os riscos de alta
severidade no ocorram? Tentar pegar e cortar a gesto de riscos (porque no necessariamente eu consigo controlar todos
os riscos, ou eu consigo controlar todos os riscos mas isso s pode ser feito de uma maneira muito custosa, tanto em termos
de dinheiro, quanto em termos de tempo, quanto em termos de burocracia para a minha organizao). Ento, a ideia de
alta probabilidade e de alta severidade, com um grau mediano os riscos de mdia probabilidade e de mdia severidade e
talvez
interessante de priorizar a atuao da gesto de riscos e direcionar o foco da interveno organizacional dentro da gesto de
riscos.
Eu acho que esse tipo de noo vai ficar mais claro na prxima sesso, quando ns conversarmos como a gesto de riscos se
desdobra e interage com os conceitos de gesto de processos.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
37
SLIDE 34
Antes de falarmos ento um pouquinho mais sobre a interface e sobre a integrao da gesto de riscos com gesto de
processos, vamos olhar um pouco sobre quais so os tipos de risco mais tradicionalmente abordados e a importncia
particular de um conceito
processos da organizao.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
38
SLIDE 35
Um dos principais documentos que marcou a evoluo da trajetria da gesto de risco dentro das organizaes o
documento da Basilia. A Basilia um documento que normatizava a gesto de risco dentro das operaes de bancos. E nos
podemos observar essa evoluo, dentro do entendimento da Basilia, para entender especificamente quais so os principais
tipos de riscos que enfrentam as organizaes hoje em dia.
O primeiro risco atacado pela Basilia, em 88, era o risco de crdito. O risco de crdito basicamente pode ser explicado com o
risco de no pagamento de uma dvida. Ou seja, uma empresa toma crdio em um banco e d o chamado default, ou seja,
no honra essa dvida. Esse risco enfrentado por instituies financeiras o risco de crdito.
Um outro risco que foi reconhecido e passou a ser de gerido forma mais sistmica a partir de 1995 o risco de mercado. Esse
risco pode ser expresso pela oscilao do valor do ativo no mercado. Ou seja, eu comprei um ao a 10 reais e hoje ela vale 8;
esse dficit representa a oscilao do valor de mercado de um ativo (no caso a minha ao) e, portanto, se configura o risco
de mercado.
At 95, o risco operacional era tudo que no era risco de crdito e risco de mercado. A partir de 2004, o risco operacional
passou a ser reconhecido como um risco em separado, digno de nota e de ser tratado de forma especfica. Hoje, os riscos
que so considerados como riscos que no so reconhecidos formalmente por esse documento, so os riscos estratgicos ou
os riscos reputacionais. Mas afinal, para o documento da Basilia, que baseia uma srie de instituies e de definies sobre
gesto de risco, o que o risco operacional?
SLIDE 36
-
9.1. Gesto de Riscos em Processos ELO Group 2011
39
O risco operacional pode ento ser entendido como eventos oriundos de falhas ou vulnerabilidades em pessoas, processos
internos, sistemas ou at ambiente externo que causem influncia no atendimento dos objetivos, que levem a incerteza ao
atendimento dos objetivos. A Basilia (e aqui no Brasil, ela se traduziu na resoluo 3380 do Banco Central) cita alguns
exemplos mais comuns de riscos especficos dentro de instituies financeiras, mas que podem ser aplicados facilmente para
outros tipos de organizao. Esses eventos so oito categorias e so eles:
I fraudes internas;
II fraudes externas;
III demandas trabalhistas e segurana deficiente do local de trabalho;
IV prticas inadequadas relativas a clientes, produtos e servios;
V danos a ativos fsicos prprios ou em uso pela instituio;
VI aqueles que acarretem a interrupo das atividades da instituio;
VII falhas em sistemas de tecnologia da informao;
VIII falhas na execuo, cumpriemento de prazos e gerenciamento das atividades desta instituio.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
40
SLIDE 37
Vamos ressaltar agora algumas das caractersticas importantes do risco operacional. A primeira o seu comportamento
estatstico (e a eu peo para que vocs no se assustem com esses dois grficos que esto na tela de vocs). A principal
mensagem que eu gostaria que vocs pegassem desses grficos a seguinte: o risco operacional tem um comportamento
muito assimtrico. O que esse comportamento assimtrico pessoal? O comportamento assimtrico pode ser traduzido pelo
seguinte entendimento: no risco operacional existem muitos eventos de baixa severidade, ou seja, eu tenho muitos eventos
que tem uma alta probabilidade de ocorrer mas baixa a severidade desses eventos. Que tipo de eventos so esses? So
erros corriqueiros que ocorrem nas operaes das empresas; um dado mal digitado, uma vulnerabilidade de um sistema
causa problemas pequenos percentualmente e em termos de atendimento dos objetivos. Ento eu tenho uma grande
quantidade dos riscos e de eventos de risco com esse perfil (de alta probabilidade e baixa severidade).
Em contraposio eu tenho uma pouca caracterstica, uma pouca quantidade de eventos de altssima severidade e de
baixssima probabilidade. O evento principal que tem aqui como exemplo (que o mais citado) o 11 de setembro: qual a
probabilidade de dois avies colidirem com os dois maiores monumentos da cidade de Nova York, os dois prdios mais altos
da cidade de Nova York? A probabilidade era quase zero, mas a severidade era altssima.
Ento a ideia aqui que o risco operacional caracterizado por essas duas coisas:
Uma alta incidncia de eventos de altssima probabilidade e baixssima severidade, que se acumulam (e a sim
podem machucar as organizaes, podem trazer problemas; mas individualmente eles no so problemticos
porque a severidade muito baixa).
E baixssima probabilidade de eventos de altssima severidade; mas quando esses eventos acontecem a severidade
bastante alta.
E isso traz um dilema para os gestores de riscos operacionais que : como eu trato os riscos com comportamentos to
diferentes e quais riscos priorizar?
-
9.1. Gesto de Riscos em Processos ELO Group 2011
41
-
9.1. Gesto de Riscos em Processos ELO Group 2011
42
SLIDE 38
Outras caractersticas interessantes do risco operacional so as seguintes:
O risco operacional no est correlacionado com nenhum ativo da organizao. Reparem, a gente falou aqui de risco
de mercado e risco de crdito. O risco de crdito est correlacionado com um ativo; se eu te emprestei 10 reais o
meu risco de crdito de no mximo 10 reais. Voc pode no me pagar esses 10 reais de volta ( um risco de
crdito), mas o valor do meu emprstimo condiciona o valor do risco. Da mesma maneira, no risco de mercado, se
eu comprei uma ao que custa 15 reais e essa ao virou p, eu perdi 15 reais; eu posso at perder um pouco mais
operando o alavancado, mas existe uma correlao entre o valor do meu ativo e o valor do meu risco. No risco
operacional isso no verdadeiro: ele no est correlacionado com nenhum ativo da organizao. O melhor
exemplo disso : eu posso ter o meu fusquinha que vale 5000 reais e eu posso bater em uma BMW. Quando eu bato
em uma BMW, o prejuzo que eu gerei de 50000, 60000 reais, que 6, 7, 8, 10 vezes maior do que o valor do meu
fusca. Mas por qu? Porque o risco operacional no est ligado a nenhum ativo especfico da organizao e o
conceito da exposio ao risco operacional no muito preciso por causa disso; ou seja, o quanto eu posso perder
em um determinado momento do tempo muito difcil de quantificar. Da mesma maneira eu posso ter uma agncia
de banco que tem 20000 reais em dinheiro (dentro daquela agncia), mas se um assaltante entra e mata uma
pessoa l dentro eu posso sofrer um processo pela famlia da vtima por eu no ter dado as condies adequadas de
segurana e perder muito mais do que os 20000 reais que estavam no caixa.
A segunda caracterstica a que ns j falamos: o risco operacional possui um comportamento muito assimtrico
eu tenho muitas perdas de pouco impacto e poucas perdas de muito impacto. Como eu comentei, isso traz uma
dificuldade muito grande para os gestores de risco operacional para lidar com eventos e com coisas to diferentes.
E, especificamente, o risco operacional no est tipicamente ligado expectativa de uma determinada recompensa
(ou de um retorno), mas ele existe no curso natural da operao de uma organizao. Ou seja, para estar exposto ao
risco operacional basta eu abrir a porta. Eu no preciso necessariamente apostar, ou eu no preciso
-
9.1. Gesto de Riscos em Processos ELO Group 2011
43
necessariamente desejar algum retorno; basta que a empresa esteja funcionando para que ela esteja exposta ao
tipo de incerteza e ao tipo de vulnerabilidade caracterstica do risco operacional.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
44
SLIDE 39
Bom, uma vez compreendidos todos os conceitos associados gesto de risco e em relao ao risco operacional em
particular, podemos agora, a partir de um exemplo prtico, entender como a gesto de riscos se relaciona com a gesto de
controles internos e com a gesto de processos. Nesse exemplo, a nossa expectativa que todos os conceitos ganhem vida
para vocs e que vocs, a partir de agora, se sintam aptos a aplic-los na realidade de suas organizaes.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
45
SLIDE 40
Trouxe ento para vocs o exemplo do processo de compras de produtos. Como podemos identificar os principais riscos
nesse processo e elaborar aes para efetivamente mitigar os riscos que sejam prioritrios? Bom, quando comeamos a
entender o ambiente e o processo de compras de produtos, nos deparamos com diversas variveis, como por exemplo:
Uma empresa pode ter diversos sites de negcio;
Eu preciso arquivar e digitalizar as imagens em termos de requisitos e comprovantes de compra;
Eu preciso ter conhecimentos de contabilidade para arquivar e para catalogar os novos arquivos;
Eu preciso ter conhecimento de toda a base de fornecedores, das apresentaes, para saber que tipo de fornecedor
se enquadra em cada tipo de compra;
Eu preciso ter uma lista negra (ou de fornecedores com o CNPJ inativo);
Eu preciso enteder, por exemplo, a responsabilidade por alada, para que a organizao aprove as compras;
Eu preciso planejar o sistema de compras, o sistema de cotaes, a poltica de compras;
E eu preciso entender como fazer requisies de pagamentos.
Ou seja, o meu ambiente para execuo do meu processo de compras bastante complexo e representa diversos riscos para
os objetivos que eu possa ter com ele. Como eu inicio?
-
9.1. Gesto de Riscos em Processos ELO Group 2011
46
SLIDE 41
O primeiro passo o entendimento do contexto. Recomendamos (e melhor prtica em diversas organizaes) a utilizao
da prtica de gesto de processos para a organizao conceitual e tcnica do contexto. Nessa nossa organizao temos ento
uma rea de negcio, que d incio ao processo (na raia de cima), realizando a requisio de compra de produto. A rea de
compras de materiais cota os produtos para a compra e envia essas cotaes para a rea de negcio. A rea de negcio
analisa as cotaes feitas pela rea de compras e escolhe a melhor, tanto do ponto de vista de oramento quanto do ponto
de vista de especificao tcnica. A rea de compras de materiais, ento, compra o produto (conforme escolhido pela rea
de negcio) recebe esse produto e a, no caso desse produto representar um ativo fixo para a companhia, faz toda a parte de
patrimoniamento do produto e esse ativo fixo vira uma propriedade controlada contabilmente pela empresa. Caso o ativo
no seja fixo, o processo se encerra no momento em que se d o recebimento do produto pela rea de compras de
materiais.
Esse processo bem simples nos ajuda a identificar grandes variveis de complexidade para o contexto da rea de compras.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
47
SLIDE 42
A partir do processo mapeado, podemos identificar trs grandes objetivos do negcio que esse processo visa atender:
O primeiro objetivo (que diz respeito, de maneira mais forte, s trs primeiras atividades) assegurar que as
compras realizadas atendam as necessidades dos respectivos solicitantes. Para isso, eu tenho todo o ciclo de
requisio, de cotao e de aprovao da cotao pela rea de negcio.
Alm disso, eu tenho um segundo objetivo importante que o de assegurar a confiabilidade e o prazo na entrega de
produtos. Para isso, todo o processo ou as atividades de compra ou de recebimento de produtos so realizadas.
E por fim, a parte de patrimoniamento de produtos ou de ativos assegura que os ativos fixos esto sendo
devidamente ativados e classificados dentro do sistema contbil e de patrimnio da empresa.
Dessa forma, conseguimos relacionar trs objetivos de negcio com o nosso contexto e o nosso processo de negcio
mapeado.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
48
SLIDE 43
A partir da identificao dos objetivos, podemos iventariar os riscos, ou seja, as fontes de incerteza que levam ao no
atendimento dos objetivos.
Para o primeiro objetivo de assegurar que as compras atendam s necessidades dos respectivos solicitantes, eu
tenho dois riscos:
o O da especificao tcnica inadequada do produto solicitado, ou seja, quando a rea de negcio no
especifica de forma adequada esse produto ou h um mau entendimento pela rea de compras da
especificao;
o E o entendimento incorreto por Compras da especificao detalhada pelo solicitante.
Ento esses dois so os principais riscos em relao ao primeiro objetivo.
Em relao ao segundo objetivo, de assegurar a confiabilidade do prazo em entrega dos produtos, eu tenho dois
grandes riscos:
o O recebimento do produto fora do prazo definido;
o E o recebimento da nota fiscal com prazo invivel para o pagamento. Esses dois tipos de erro tambm
afetam diretamente o objetivo de assegurar o prazo na entrega dos produtos
Em relao ao ltimo objetivo, de adequao, ativao e classificao correta dos ativos da empresa, eu tenho dois
riscos principais:
o A no ativao ou classificao contbil de um bem adquirido;
o E o etiquetamento inadequado dos ativos fixos.
Ento, lembrando o nosso raciocnio: procedemos ao mapeamento dos processos, na sequncia identificamos os objetivos e,
agora, em face desses objetivos de negcio, iventariamos os riscos que trazem incerteza no atendimento de cada objetivo.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
49
SLIDE 44
Uma vez identificados os riscos, importante que se proceda para a avaliao da probabilidade e da severidade de cada
risco. Isso relevante para que se possa
riscos prioritrios (aos quais se deve dedicar mais ateno e esforo gerencial) dos riscos menos relevantes (aos quais
controles mais simples ou at nenhum controle pode ser designado). Para isso, prope-se o uso da matriz de probabilidade e
de severidade, onde classificamos os riscos quanto a probabilidade de ocorrncia (ele pode ser raro, pouco provvel ou
possvel) e a severidade (uma severidade aceitvel, tolervel ou intolervel). Para isso, na combinao da probabilidade com
a severidade, temos:
Os riscos na regio vermelha que so considerados os riscos altos (que possuem, por exemplo, alta
severidade e alta probabilidade).
Os riscos da regio amarela seriam os riscos mdios (de severidade alta ou probabilidade alta ou
intermediria)
E os riscos na regio verde, que seriam considerados riscos baixos.
Isso importante para ajudar a alta gesto da empresa a adequar o nvel de controle daquela empresa a avaliao de cada
risco de maneira uniforme e integrada.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
50
SLIDE 45
Voltando ao nosso exemplo, podemos ver que cada risco possui uma avaliao especfica. A partir dos riscos que tiveram sua
maior avaliao, podemos identificar os principais controles:
Em relao ao
organizao do nosso exemplo j possui trs controles:
o O controle 1 diz que a solicitao de compra analisada e aprovada pelo proprietrio do Centro de Custo,
apoiado pelo sistema de compras e de acordo com a Poltica de Alada. Ou seja, se isso feito, h uma
mitigao de que haja uma especificao tcnica inadequada do produto solicitado.
o Alm disso, o controle 2 diz: a elaborao do oramento da rea solicitante define em linhas gerais quais
bens devem ou no ser adquiridos. Isso tambm deve mitigar o risco de especificao tcnica inadequada.
o E por fim, o controle 3 diz que: em caso de uma solicitao de um ativo fixo para a empresa, esta
analisada e aprovada pela Diretoria de Operaes, de acordo com a Poltica de Compras. Para ativos fixos,
onde o valor da compra normalmente mais alto, este um controle adicional que mitiga o risco em
questo.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
51
SLIDE 46
Dessa forma, com a existncia dos controles, o risco de especificao tcnica inadequada do produto solicitado (que antes
poderia ser considerado um risco alto por possuir alta probabilidade de ocorrncia e alta severidade de impacto) passa agora
a ser considerado um risco mdio, porque os controles j mitigam grande parte dessas ocorrncias.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
52
SLIDE 47
Entretanto, um risco mdio no necessariamente um risco aceitvel para a organizao e ela pode querer aplicar novos
controles para reduzir ainda mais a probabilidade de ocorrncia ou a severidade das ocorrncias desse mesmo risco. Caso
esse seja o caso, a organizao possui algumas opes de tratar esse risco:
A primeira atuar reduzindo a sua probabilidade; nesses casos o tratamento acaba se concentrando mais na
melhoria da estrutura atual de controles, para diminuir a probabilidade que os eventos relacionados ao risco
aconteam.
Outra opo para essa organizao a reduo da severidade; nesses casos o tratamento se concentra na melhoria
da estrutura atual de controles para diminuir o impacto dos eventos relacionados ao risco. A diferena, pessoal,
entre reduzir a probabilidade e a severidade e que um atua na causa do risco (diminuindo a probabilidade que
aquela causa gere um efeito negativo), e a segunda atua no impacto (uma vez que o risco j ocorreu, na diminuio
do seu impacto). Um exemplo clssico de um controle que reduza a probabilidade , por exemplo, o controle de
acesso a sistemas para impedir que pessoas que no deveriam acessar dados confidenciais cometam crimes. E um
exemplo clssico de um controle que atua reduzindo severidade , por exemplo, um plano de contingncia; uma vez
que o risco j aconteceu (j ocorreu algum acidente) eu consigo minimizar o impacto para a operao desse
acidente a partir de um plano de contingncia.
Outras opes que no necessariamente levam ao tratamento do risco, mas so respostas adequadas ao risco a
deciso de reter o risco ou seja, de simplesmente no tratar, de aceitar esse risco como ele e absorv-lo pela
empresa.
Compartilhar com outras empresas, atravs da subcontratao dos servios ou terceirizao de atividades.
E de descontinuar a atividade: em muitos casos, a melhor maneira de tratar um risco simplesmente no realizar
mais a atividade que viabilizava ou que estava relacionada com aquele risco. claro que isso deve ser analisado: se
faz sentido dentro do contexto de negcio da empresa ou se melhor reter o risco, compartilhar ou melhorar a
estrutura de controles.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
53
-
9.1. Gesto de Riscos em Processos ELO Group 2011
54
SLIDE 48
Voltando ao nosso exemplo, foram identificadas uma srie de iniciativas para tratar os riscos ainda existentes nos processos.
Essas iniciativas podem ser vistas em detalhe no slide seguinte.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
55
SLIDE 49
Por exemplo, para o risco de especificao tcnica inadequada do produto solicitado, que foi o que usamos como exemplo
nesse exerccio sugeriu-se um plano de ao para tratar o risco residual, ou seja, o risco ainda existente mesmo aps a
aplicao dos controles. Esse plano de ao foi:
Sugeriu-se como plano de ao, para mitigar esse risco de forma suficiente, a criao de especificaes tcnicas
ideais para cada tipo de produto e a parametrizao do sistema de compras de acordo com essas. Entendeu-se que
esse plano de ao levaria a implantao de novos controles que reduziria a probabilidade e a severidade daquele
organizao. Caso vocs desejem, fiquem vontade para exercitar novos planos de aes para outros tipos de riscos
que foram utilizados nesses exerccios. claro que existem a trs exemplos para que vocs possam conferir e dividir
ideias com o caso.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
56
SLIDE 50
Por fim, aps olharmos em detalhes a relao entre processos, riscos e controles internos, vamos ao ultimo conceito
importante no mundo de gesto de riscos que debateremos nessa aula: o conceito denominado GRC, uma sigla que se refere
a governana, riscos e compliance.
-
9.1. Gesto de Riscos em Processos ELO Group 2011
57
SLIDE 51
O conceito de GRC parte da premissa de que o conhecimento necessrio para gerir a incerteza dos processos de uma
organizao est espalhado na organizao de forma bastante difusa, ou seja, eu posso ter essa informao, por exemplo:
No log de desvios no uso inadequado de aplicativos da organizao;
Uma base de dados com informaes transacionais dos principais aplicativos operacionais;
Um controle de Help Desk, uma planilha do histrico de multas;
Um sistema de tratamento das reclamaes dos clientes;
Registro de fraudes, perdas e roubos;
Pesquisas de satisfao dos clientes;
E rbricas contbeis de questes trabalhistas.
Ou seja, o meu conhecimento sobre o perfil de risco da minha operao e sobre os principais eventos que traduzem o risco
est disperso de forma bastante heterognea nos sistemas e atores organizacionais.