universidade candido mendes pÓs-graduaÇÃo … · os riscos de liquidez podem ser dividos em:...
TRANSCRIPT
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
INSTITUTO A VEZ DO MESTRE
A IMPORTÂNCIA DO GERENCIAMENTO DO RISCO OPERACIONAL
NA GESTÃO EMPRESARIAL
Por: Ana Claudia Sobral de Sousa
Orientador
Profª. Ana Claudia Morrissy
Rio de Janeiro
Janeiro/2011
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
INSTITUTO A VEZ DO MESTRE
A IMPORTÂNCIA DO GERENCIAMENTO DO RISCO OPERACIONAL
NA GESTÃO EMPRESARIAL
Apresentação de monografia à Universidade Candido
Mendes como requisito parcial para obtenção do grau de
especialista em Finanças e Gestão Corporativa.
Por: Ana Claudia Sobral de Sousa.
3
AGRADECIMENTOS
... aos meus pais, José Alberto e Ascenção
da Conceição, pela dedicação intensa, pela
boa educação e pelo apoio incondicional.
A minha professora Ana Claudia Morrissy,
pela orientação, apoio e preocupação com a
formação dos alunos.
A todos aqueles professores, amigos e
funcionários que, de alguma maneira,
contribuíram para minha formação.
4
DEDICATÓRIA
...dedico este trabalho a minha querida filha
Amanda e meu amado companheiro Amin,
pela compreensão nos momentos que me fiz
ausente e por serem meus companheiros de
todas as horas.
5
RESUMO
O presente Trabalho de Conclusão de Curso tem como objetivo apresentar
um estudo sobre a Gestão de Riscos, com foco principalmente no Risco
Operacional, evidenciando a sua importância, sendo esta uma das ferramentas que
se tornou indispensável na gestão empresarial, independente do segmento da
organização. Diante do elevado grau de importância que o processo de
Gerenciamento de Riscos tem dentro da Gestão de uma Organização, esta
pesquisa apresentará as principais atividades que envolvem este Gerenciamento,
bem como o seu impacto nas organizações. Assim sendo, para alcançar tal objetivo,
procurou-se caracterizar o elemento risco, bem como ressaltar seus principais tipos,
e abordar as normas, padrões e procedimentos de medidas preventivas e
contingenciais que melhor atendem a necessidade de minimizar os prováveis
resultados negativos, descrevendo seu planejamento, seus programas, as opções
de controles, e, por último, destacar a influência do gerenciamento do risco
operacional na gestão empresarial. A partir desse estudo, foi possível identificar a
função da gestão do risco operacional. Esta, por sua vez, quando claramente
definida, é de fundamental importância dentro da organização, a fim de diminuir o
potencial de perdas.
PALAVRAS - CHAVE: Risco, Risco Operacional e Gerenciamento de Riscos.
6
METODOLOGIA
A metodologia utilizada no desenvolvimento deste trabalho foi principalmente
através de pesquisa bibliográfica tanto em livros quanto em revistas acadêmicas da
área, além de textos e artigos disponíveis na internet.
Com base em estudos bibliográficos e de pesquisa que apontaram a
necessidade cada vez maior em aprimorar as etapas como identificar, classificar,
mensurar, mitigar, acompanhar e gerir os riscos inerentes as empresas
independente do seu porte, percebemos o aumento significativo da sua importância
ao longo destes últimos anos, conforme apresentado no material do estudo citado,
principalmente dos autores BRASILIANO, Antonio Celso Ribeiro e ZAMITH, José
Luis Cardoso, HOPE, Jeremy.
7
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I - Conceito de Risco 10
CAPÍTULO II - Definição dos Principais Tipos de Risco 12
CAPÍTULO III - A Importância de Gerenciar Riscos 20
CAPÍTULO IV - Os Objetivos Estratégicos, As Fases e/ou Etapas e As Nor-
mas acerca da Gestão de Riscos 23
CAPÍTULO V - A Influência do Gerenciamento do Risco Operacional na Ges-
tão Empresarial 37
CONCLUSÃO 44
BIBLIOGRAFIA 46
ÍNDICE 47
8
INTRODUÇÃO
“É perdoável ser derrotado, mas nunca surpreendido !!” (FREDERICO, O Grande)
O Risco, por ser um elemento de incerteza, é a condição que cria ou
aumenta o potencial de perdas, representando, portanto, uma forte ameaça a
qualquer Empresa, fazendo com que o processo de seu Gerenciamento tenha um
elevado grau de importância na Gestão de uma Organização. O conhecimento dos
riscos e um sistema de controles internos eficaz são componentes de extrema
importância para o sucesso de qualquer organização.
Há riscos relacionados com os negócios recorrentes e com as novas
oportunidades de negócios, no ambiente empresarial, como o lançamento de um
produto, com geração de custos sem a certeza de retorno adequado, ou a entrada
em novos mercados sem familiaridade com as estruturas política, econômica e
empresarial que lhe são inerentes (ANTUNES, 1998).
Riscos relacionados a questões operacionais, de conformidade e de outra
natureza, com implicações diferenciadas, também existem no ambiente empresarial.
É importante que a relevância dos riscos de natureza estratégica na alocação de
recursos para seu gerenciamento (em geral, escassos) seja conhecida. Problemas
de conformidade, como por exemplo, com a legislação; ou operacionais, como por
exemplo, uma falha no processo produtivo por problemas de sistemas ou de
logística; podem colocar em risco o sucesso de uma área estratégica e,
consequentemente, o sucesso de uma corporação (ANTUNES, 1998).
Ciente deste cenário de potencial de perdas, a direção das organizações de
todos os segmentos de mercado, sabem da importância em mitigar riscos
corporativos, bem como admite-se a impossibilidade de controlar eventos adversos,
tais como riscos inerentes ao negócio. Por isso, medidas preventivas e
9
contingenciais são fundamentais para suportá-los a fim de minimizar os prováveis
resultados negativos decorrentes do seu impacto nos negócios.
O Processo de Gerenciamento de Riscos também é tido como investimento
em Prevenção de Perdas para uma empresa, e em um mercado competitivo
resultado da grande expansão do comércio globalizado as empresas necessitam
cada vez mais deste investimento, que elimina e reduz, efetivamente, a maioria dos
riscos acidentais.
Sabendo-se que, quando adequadamente identificados e gerenciados,
através de pesquisas e suporte especializado, os riscos de o empreendimento não
ser bem-sucedido podem ser reduzidos significativamente, e o sucesso não
somente ocorrer, mas gerar, ainda, substancial vantagem competitiva. Todavia, há
riscos que simplesmente não devem ser assumidos quando não totalmente
gerenciáveis ou se não houver recursos para tanto. Como por exemplo, construir ou
operar uma planta industrial com risco de explosão de 50%, ou até menos, é
inadmissível. O resultado da divulgação desse fato gera imagem negativa, risco de
perda de funcionários e interdição legal, com conseqüentes efeitos adversos na
reputação e nos negócios (ANTUNES, 1998).
A implementação do gerenciamento de risco, na opinião de Zamith, deve ser
uma decisão de quem efetivamente detêm o poder decisório na instituição. Esta é
uma necessidade de forma a obter resultados que tenham impacto imediato, como
influência máxima na rotina diária da instituição. Isto porque esta implementação
pode envolver mudanças internas de percepção de qualidade e lucratividade, e,
portanto requer comprometimento total da diretoria. Uma vez estabelecido o
gerenciamento de risco, os envolvidos com este devem estabelecer e aprovar
controles que garantam a saúde financeira da instituição, até mesmo em situações
catastróficas.
10
CAPÍTULO I
CONCEITO DE RISCO
Risco difere de perigo. Perigo é a origem da perda. Exemplo: incêndio é um
perigo, o risco são as condições de armazenagem, carga de incêndio, cultura de
funcionários, entre outras. A violência urbana é um perigo, a concretização dela
depende das condições.
Para melhor compreender o que é risco precisamos estabelecer a distinção
entre incerteza e risco. Sempre que não sabemos ao certo o que vai ocorrer no
futuro temos incerteza. O risco é a parcela de incerteza para qual damos
importância, porque afeta o bem-estar das pessoas.
O conceito de risco permite abordagens em diversas dimensões, como por
exemplo, o simples fato de uma atividade existir, abre a possibilidade da ocorrência
de eventos ou combinação deles, cujas consequências constituem oportunidades
para obter vantagens ou então ameaças ao sucesso.
Pretende-se neste capítulo alcançar uma consistência de conceito de risco
sobre o ponto de vista de uma organização, bem como sua caracterização e a
exposição a ele.
O Risco pode ser conceituado como uma expectativa de perda expressada
como a probabilidade de que uma ameaça em particular poderá explorar uma
vulnerabilidade com um possível prejuízo, ou até mesmo, como uma medida da
incerteza associada aos retornos esperados de investimentos.
Ainda assim, o Risco não é ruim por definição, na verdade ele é essencial
para o progresso e as falhas decorrentes são parte de um processo de aprendizado.
1.1 – Caracterização de Risco
Uma empresa está sujeita a uma grande diversidade de riscos durante a
condução de seus negócios e conhecê-los é fundamental, já que aqueles aos quais
está exposta e que não sabe reconhecer são os que se revelam mais contundentes.
O risco pode ser definido como a combinação entre a probabilidade de
ocorrência de um evento e suas consequências.
11
Em qualquer tipo de empreendimento há a possibilidade de eventos e
consequências que se constituem em oportunidades de benefícios ou em ameaças
ao sucesso.
A gestão de risco está cada vez mais relacionada tanto aos aspectos
positivos quanto negativos do risco. Portanto, esse padrão considera essas duas
perspectivas do risco.
Geralmente, se considera que as consequências são apenas negativas e
que, portanto, a gestão de um risco deve estar focada na prevenção e mitigação
desse dano.
1.2 – Exposição ao Risco
As mudanças no ambiente financeiro mundial, tais como a integração entre
os mercados por meio do processo de globalização, o surgimento de novas
transações e produtos, o aumento da sofisticação tecnológica e as novas
regulamentações tornaram as atividades e os processos financeiros e seus riscos
cada vez mais complexos.
Adicionalmente, as lições originadas dos desastres financeiros, contribuíram
para a evidenciação da necessidade principal de gestão de riscos na indústria
mundial.
Esses fatores influenciaram para que os órgãos reguladores e as
instituições financeiras investissem na gestão dos riscos, visando o fortalecimento
da saúde financeira dos bancos e a prevenção contra os efeitos prejudiciais ao
sistema financeiro.
Para ficar alinhado a essa perspectiva, se faz necessário o investimento no
aperfeiçoamento contínuo do processo e das práticas de gestão de riscos, em
consonância com os referenciais internacionais de mercado e com as Normas mais
recentes, tanto no Mercado Financeiro quanto em todos os Mercados dos demais
segmentos.
12
CAPÍTULO II
DEFINIÇÃO DOS PRINCIPAIS TIPOS DE RISCO
Uma organização, seja de qual ramo for, estará sempre exposta a algum
tipo de risco, enquanto corre pela busca de resultados, porém, a sua habilidade em
atrair estes resultados positivos, são determinados pela qualidade da gestão desse
risco.
A seguir, identificaremos os principais tipos de risco relacionados ao estudo
da mensuração e gestão de risco: de mercado, de liquidez, de crédito, País,
operacional, legal e de imagem.
2.1 – Risco de Mercado
O risco de mercado é o potencial de oscilação dos valores de um ativo
durante um período de tempo. É representado pelos desvios – volatilidade – em
relação ao resultado esperado.
Os riscos de mercado surgem porque as empresas mantêm no mercado,
posições ativas e passivas que nem sempre coincidem em termos de vencimento,
indexadores e moedas. As mudanças de preços dos ativos e dos passivos
financeiros, que oscilam por natureza, uns mais, outros menos, impactam o risco de
mercado.
2.2 – Risco de Liquidez
O risco de liquidez decorre da possibilidade de ocorrer incapacidade de
honrar os compromissos assumidos, resultante de desequilíbrio de caixa gerado
pelo descasamento dos prazos de vencimentos das operações ativas e passivas.
Uma instituição é considerada sem liquidez se os seus passivos tornarem-se
exigíveis antes da realização de ativos ou da obtenção de funding¹ suficiente para
¹ Recursos ou financiamento.
13
suprir as necessidades financeiras, seja por má administração dos prazos, seja por
inadimplência de devedores.
Os riscos de liquidez podem ser dividos em: risco de liquidez de
mercado/produto e risco de liquidez de fluxo de caixa/obtenção de recursos.
2.2.1 – Risco de Liquidez de Mercado/Produto
Surge quando uma operação não pode ser conduzida pelos preços de
mercado prevalecentes, devido à atividade insuficiente no mercado.
O volume negociado é muito importante. Teoricamente, qualquer mercado
pode assimilar qualquer negociação, dependendo apenas do nível de preço.
Este risco de liquidez pode ser difícil de ser quantificado, podendo variar de
acordo com as condições de mercado, e pode ser administrado por meio do
estabelecimento de limites em determinados mercados ou produtos e também por
meio de diversificação.
2.2.2 – Risco de Liquidez de Fluxo de Caixa/Obtenção de Recursos
É a impossibilidade de cumprir as obrigações relativas ao fluxo de caixa que
pode forçar a liquidação antecipada de contratos, transformando as perdas
escriturais em perdas reais.
O risco de obtenção de recursos pode ser controlado através do
planejamento adequado das necessidades, que podem ser administradas pela
limitação dos intervalos entre os fluxos de caixa e também por meio de
diversificação.
Estudar o volume negociado em cada mercado ao qual estamos expostos
irá dizer até quanto podemos comprar ou vender de um artigo ou contrato, sem
causar um forte movimentode preço.
14
2.3 – Risco de Crédito
Medida numérica da incerteza relacionada ao recebimento de um valor
contratado/compromissado, a ser pago por um tomador de um empréstimo,
contraparte de um contrato ou emissor de um título, descontadas as expectativas de
recuperação e realização de garantias.
Decorre das possibilidades de perdas resultantes das operações que geram
desembolso temporário de recursos ou das operações que geram recursos a serem
recebidos em datas futuras.
Esse tipo de risco refere-se ao possível não recebimento dos recursos a que
se tem direito ou ao seu recebimento fora do prazo e/ou das condições pactuadas.
2.4 – Risco País
Consiste no grau de confiança que o mercado mundial deposita em um
determinado país em relação à sua capacidade de honrar seus compromissos
externos.
É utilizado para avaliação de países e representado pela circunstância de o
país devedor ficar impossibilitado de honrar seus compromissos na moeda em que a
transação foi originada.
Esse risco ocorre quando o governo ou autoridade dominante impossibilita a
liberação, transferência, conversibilidade ou qualquer outra forma de câmbio ou
troca de moeda local por outra moeda que tenha curso livre nos principais mercados
mundiais.
As agências de rating² realizam a medição do risco país. São
internacionalmente reconhecidas e aceitas pela comunidade mundial de negócios.
Empregam técnicas de avaliação modernas e atuais, sendo que seu julgamento é
sólido e desprovido de quaisquer conflitos de interesses, representando uma
ferramenta de análise fundamental e necessária aos investidores.
² Avaliação em termos de qualidade
15
2.5 – Risco Operacional
O risco operacional pode ser definido como uma medida numérica da
incerteza dos retornos de uma instituição caso seus sistemas, práticas e medidas de
controle não sejam capazes de resistir a falhas humanas, no processamento ou
controle das operações, danos à infra estrutura de suporte, utilização indevida de
modelos matemáticos ou produtos, alterações no ambiente dos negócios, ou a
situações adversas de mercado.
Esse tipo de risco resulta em perda inesperada para a organização ou para
seu cliente.
As principais sub-áreas do risco operacional são:
2.5.1 - Risco de Overload
Este pode ser definido como o risco de perdas por sobrecargas nos
sistemas elétrico, telefônico, de processamento de dados, etc. Exemplos: 1)
Sistemas não operacionais em agências bancárias por acúmulo de informação nos
canais de comunicação com a central de atendimento; 2) Linhas telefônicas
constantemente ocupadas.
2.5.2 - Risco de Obsolescência
Este pode ser definido como o risco de perdas pela não substituição
frequente dos equipamentos e softwares antigos. Exemplos: 1) Versões atualizadas
de softwares não compatíveis com hardware antigo; 2) Impossibilidade de integrar
sistemas computacionais desenvolvidos em versões de software diferentes.
2.5.3 - Risco de Presteza e Confiabilidade
16
Este pode ser definido como o risco de perdas pelo fato de informações não
poderem ser recebidas, processadas, armazenadas e transmitidas em tempo hábil e
de forma confiável. Exemplos: 1) Situações onde informações consolidadas sobre
exposição de um banco não podem ser obtidas em tempo hábil para análise; 2)
Impossibilidade de prestar informações precisas em determinados horários devido à
atualização de bancos de dados ocorrer por processamento em batch.
2.5.4 - Risco de Equipamento
Este pode ser definido como o risco de perdas por falhas nos equipamentos
elétricos, de processamento e transmissão de dados, telefônicos, de segurança, etc.
Exemplos: 1) Redes de micros contaminados por vírus; 2) Discos rígidos
danificados; 3) Telefonia não operacional por falta de reparos.
2.5.5 - Risco de Erro Não Intencional
Este pode ser definido como o risco de perdas em decorrência de equívoco,
omissão, distração ou negligência de funcionários. Exemplos: 1) Mal atendimento de
correntistas (má vontade, falta de informação, etc.); 2) Posicionamento da tesouraria
no mercado contrário ao especificado pelo Comitê de Investimentos.
2.5.6 - Risco de Fraudes
Este pode ser definido como o risco de perdas em decorrência de
comportamentos fraudulentos (adulteração de controles, descumprimento
intencional de normas da empresa, desvio de valores, divulgação de informações
erradas, etc.). Exemplos: 1) Desvio de dinheiro de agência bancária; 2) Aceitação de
“incentivos” de clientes para conceder crédito em valores mais elevados.
2.5.7 - Risco de Qualificação
17
Este pode ser definido como o risco de perdas pelo fato de funcionários
desempenharem tarefas sem qualificação profissional apropriada à função.
Exemplos: 1) Uso de estratégias de hedge com derivativos sem conhecimento por
parte do operador das limitações desta; 2) Iniciar operações em mercados
“sofisticados” sem contar com equipes devidamente preparadas.
2.5.8 - Risco de Produtos & Serviços
Este pode ser definido como o risco de perdas em decorrência da venda de
produtos ou prestação de serviços ocorrer de forma indevida ou sem atender às
necessidades e demandas de clientes. Exemplos são dados por: 1) Envio de
cartões de crédito sem consulta prévia ao cliente; 2) Recomendar a clientes de perfil
conservador o investimento em fundos de derivativos alavancados diante de um
bom desempenho no passado recente destes mesmos fundos.
2.5.9 - Risco de Regulamentação
Este pode ser definido como o risco de perdas em decorrência de
alterações, impropriedades ou inexistência de normas para controles internos ou
externos.
2.5.10 - Risco de Modelagem
Este pode ser definido como o risco de perdas pelo desenvolvimento,
utilização ou interpretação incorreta dos resultados fornecidos por modelos,
incluindo a utilização de dados incorretos. Exemplos: 1) Utilizar software comprado
de terceiros sem conhecimento de suas limitações; 2) Utilizar modelos matemáticos
sem conhecimento de suas hipóteses simplificadoras.
2.5.11 - Risco de Concentração (operacional)
18
Este pode ser definido como o risco de perdas por depender de poucos
produtos, clientes e/ou mercados. Exemplos: 1) Bancos que só operem financiando
clientes de determinado segmento (por exemplo, setor automotivo, crédito a lojistas,
etc.).
2.5.12 - Risco de Catástrofe
Este pode ser definido como o risco de perdas devido a catástrofes (naturais
ou não). Exemplos: 1) Desastres naturais (enchentes) que dificultem a operação
diária da instituição ou de áreas críticas como centros de processamento, de
telecomunicações, etc. 2) Destruição do patrimônio da instituição por desastres que
abalem a estrutura civil de prédios (colisão de aviões, etc.), incêndios, etc.
2.5.13 - Risco de Segurança
Este pode ser definido como o risco de perdas devido a problemas de
segurança patrimonial e empresarial. Exemplos: Assalto; Seqüestros; Sabotagem.
2.6 – Risco Legal
Decorre do potencial de questionamento jurídico sobre a execução dos
contratos, processos judiciais ou sentenças contrárias ou adversas que possam
causar perdas que afetem os processos operacionais na organização.
Configuram riscos legais:
♦ insuficiência de documentação;
♦ falta de capacidade ou de autoridade da contraparte;
♦ incerteza legal;
♦ incapacidade de se implementar uma cobrança devido à quebra ou
insolvência na contraparte.
19
2.7 – Risco de Imagem
É o risco de perdas em decorrência de alterações da reputação junto a
clientes, concorrentes, órgãos governamentais.
Uma das causas que mais influencia esse tipo de risco consiste na
publicidade negativa, verídica ou não, em relação à condução dos negócios da
organização.
São exemplos de risco de imagem:
♦ os boatos sobre a saúde de uma instituição financeira, desencadeando
corrida para saques;
♦ negociações de investimento alavancadas com perdas elevadas durante
períodos de crise;
♦ envolvimento da organização em processos de lavagem de dinheiro e
remessas de divisas ilegais.
20
CAPÍTULO III
A IMPORTÂNCIA DE GERENCIAR RISCOS
“A idéia revolucionária que define a fronteira entre os tempos
modernos e o passado é o domínio do risco: a noção de que o
futuro é mais do que um capricho dos deuses e de que homens
e mulheres não são passivo ante a natureza. Até seres
humanos descobrirem como transpor essa fronteira, o futuro
era um espelho do passado ou o domínio obscuro de oráculos
e adivinhos que detinham o monopólio sobre o conhecimento
dos eventos previstos.” (BERNSTEIN, 1997, p.1).
A administração das empresas deve identificar os eventos em potencial que,
caso ocorram, afetarão a organização. Devem também determinar se esses
representam oportunidades ou se podem ter algum efeito adverso, na sua
capacidade de implementar adequadamente a estratégia e alcançar os objetivos.
Eventos de impacto negativo representam riscos que exigem avaliação e
resposta da administração. Os eventos de impacto positivo representam
oportunidades que são canalizadas de volta aos processos de fixação das
estratégias e dos objetivos. Ao identificar eventos, a administração considera uma
variedade de fatores internos e externos que podem dar origem a riscos e a
oportunidades no contexto de toda a organização.
Uma infinidade de fatores externos e internos impulsiona os eventos, que
afetam a implementação da estratégia e o cumprimento dos objetivos. Como parte
do gerenciamento de riscos corporativos, a administração deve reconhecer a
importância de compreender esses fatores e o tipo de evento que pode emanar
deles.
A gerência de riscos têm se tornado um assunto de suma importância no
meio empresarial, pois a conscientização da administração dos riscos potenciais é
hoje uma questão de competitividade e sobrevivência, além disso, a gerência de
riscos é também vista como peça fundamental para que a instituição possa navegar
21
em mares mais tranquilos, pode ser definida como sendo a função, dentro do
contexto empresarial, que visa a proteção dos recursos humanos, materiais e
financeiros desta, quer através da eliminação, redução ou financiamento dos riscos,
conforme seja financeiramente mais viável..
A percepção de que as consequências irreversíveis podem afetar o meio
ambiente, que os recursos não são ilimitados e que, do ponto de vista financeiro, o
impacto pelas perdas das vidas e bens tangíveis e intangíveis da empresa, nunca
mais se recuperam, tem exigido maior preocupação e responsabilidade dos
gestores.
A administração eficaz de riscos direciona as ações no sentido de eliminar
riscos desnecessários. Os vários instrumentos disponíveis são utilizados visando um
gerenciamento com níveis mais adequados de confiança.
Quando dirige uma organização, independente do tamanho, o gestor deve
estar preocupado em gerenciar bem os assuntos mais importantes. O gestor pode
assegurar-se contra certos riscos atribuindo procedimentos de controle para o risco
não virar realidade. É possível que a implantação de controles não seja a única
resposta da administração aos riscos. Depois de identificados certos riscos, pode
decidir por não tomar nenhuma ação específica considerando os possíveis efeitos
desses riscos como “aceitáveis”. Outros, o gestor não irá aceitar. Então deverá
adotar medidas para minimizar/ mitigar o risco. Existem outros riscos que, mesmo
adotados todos os procedimentos que podem ser aplicados, ainda vão continuar
existindo: risco residual. Importante então, é concentrar os esforços na redução
desses riscos, ou seja, minimizá-los ao máximo controlando adequadamente as
causas e reduzindo a possibilidade de que se materializem, evitando, os seus
efeitos (ATTIE, 2000; BOCAYÚVA, 1999; ALMEIDA, 2003).
Portanto, o risco é entendido como um potencial de perda, ou seja, o grande
objetivo de se avaliar os riscos é ser pró-ativo e preventivo, o que não quer dizer que
os riscos serão completamente exterminados (ATTIE, 2000; BOCAYÚVA, 1999;
ALMEIDA, 2003).
Quando se administra e gerencia riscos, o retorno pode ser definido como o
aumento do capital investido ou aplicado. As incertezas quanto a esses retornos
podem ser mensuradas por meio de estimativas de probabilidades de eventos
futuros.
22
Uma eficiente e eficaz gestão de riscos corporativos tem por finalidade
garantir a sustentabilidade no presente e futuro dos negócios e necessita de sólida
estrutura de políticas de Gestão de Riscos.
Dentro deste enfoque, o entendimento de risco corporativo começou a tomar
um outro corpo dentro das organizações. Embora o risco acompanhe o homem e
seja inerente à sua natureza, as organizações começaram a observar e sentir que
nem todos os riscos são iguais. O que existe quando se faz uma viagem de avião,
não é igual à realidade de uma dona de casa nas suas tarefas domésticas, nem à
situação de um navegante solitário que cruza o Atlântico. A era da crença excessiva
na racionalidade gerencial parece ter chegado ao fim. Hoje, sabe-se que o mundo
organizacional é mais complexo e ambíguo do que se pensava. A atuação gerencial
convive com a imprevisibilidade e com a ambigüidade; sendo que um dos elementos
principais dessa convivência é ter que tomar decisões baseadas em informações
incompletas e/ou em constante mudança.
Num cenário onde as mudanças são velozes, as instabilidades permanentes
e a imprevisibilidade alta, a formulação de estratégias organizacionais já não pode
combinar com métodos tradicionais de projeção e análise.
23
CAPÍTULO IV
OS OBJETIVOS ESTRATÉGICOS, AS FASES E/OU ETAPAS
E AS NORMAS ACERCA DA GESTÃO DE RISCOS
4.1 – Os Objetivos Estratégicos da Gestão de Riscos
A premissa inerente ao gerenciamento de riscos corporativos é que toda
organização existe para gerar valor às partes interessadas. Todas as organizações
enfrentam incertezas, e o desafio de seus administradores é determinar até que
ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir
no esforço para gerar valor às partes interessadas.
Incertezas representam riscos e oportunidades, com potencial para destruir
ou agregar valor. O gerenciamento de riscos corporativos possibilita aos
administradores tratar com eficácia as incertezas, bem como os riscos e as
oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e
objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno
de investimentos e os riscos a elas associados, e para explorar os seus recursos
com eficácia e eficiência na busca dos objetivos da organização. Os objetivos
estratégicos do gerenciamento de riscos corporativos, segundo as premissas da
Metodologia COSO são:
♦ Alinhar o apetite a risco com a estratégia adotada – os administradores
avaliam o apetite a risco da organização ao analisar as estratégias,
definindo os objetivos a elas relacionados e desenvolvendo mecanismos
para gerenciar esses riscos.
♦ Fortalecer as decisões em resposta aos riscos – o gerenciamento de
riscos corporativos possibilita o rigor na identificação e na seleção de
alternativas de respostas aos riscos – como evitar, reduzir, compartilhar
e aceitar os riscos.
♦ Reduzir as surpresas e prejuízos operacionais – as organizações
adquirem melhor capacidade para identificar eventos em potencial e
24
estabelecer respostas a estes, reduzindo surpresas e custos ou
prejuízos associados.
♦ Identificar e administrar riscos múltiplos e entre empreendimentos – toda
organização enfrenta uma gama de riscos que podem afetar diferentes
áreas da organização. A gestão de riscos corporativos possibilita uma
resposta eficaz a impactos inter relacionados e, também, respostas
integradas aos diversos riscos.
♦ Aproveitar oportunidades – pelo fato de considerar todos os eventos em
potencial, a organização posiciona-se para identificar e aproveitar as
oportunidades de forma proativa.
♦ O Otimizar o capital – a obtenção de informações adequadas a respeito
de riscos possibilita à administração conduzir uma avaliação eficaz das
necessidades de capital como um todo e aprimorar a alocação desse
capital.
Essas qualidades, inerentes ao gerenciamento de riscos corporativos
ajudam os administradores a atingir as metas de desempenho e de lucratividade da
organização, e evitam a perda de recursos. O gerenciamento de riscos corporativos
contribui para assegurar comunicação eficaz e o cumprimento de leis e
regulamentos, bem como evitar danos à reputação da organização e suas
conseqüências. Em suma, o gerenciamento de riscos corporativos ajuda a
organização a atingir seus objetivos e a evitar os perigos e surpresas em seu
percurso.
4.1.1 - Eventos – Riscos e Oportunidades
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos.
Os que geram impacto negativo representam riscos que podem impedir a criação de
valor ou mesmo destruir o valor existente. Os de impacto positivo podem
contrabalançar os de impacto negativo ou podem representar oportunidades, que
por sua vez representam a possibilidade de um evento ocorrer e influenciar
favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de
valor. A direção da organização canaliza as oportunidades para seus processos de
25
elaboração de estratégias ou objetivos, formulando planos que visam ao
aproveitamento destes.
4.1.2 - Definição de Gerenciamento de Riscos Corporativos
O gerenciamento de riscos corporativos trata de riscos e oportunidades que
afetam a criação ou a preservação de valor, sendo definido da seguinte forma:
O gerenciamento de riscos corporativos é um processo conduzido em uma
organização pelo conselho de administração, diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para identificar em toda a
organização eventos em potencial, capazes de afetá-la, e administrar os riscos de
modo a mantê-los compatível com o apetite a risco da organização e possibilitar
garantia razoável do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamento
de riscos corporativos é:
♦ um processo contínuo e que flui através da organização;
♦ conduzido pelos profissionais em todos os níveis da organização;
♦ aplicado à definição das estratégias;
♦ aplicado em toda a organização, em todos os níveis e unidades, e inclui
a formação de uma visão de portfólio de todos os riscos a que ela está
exposta;
♦ formulado para identificar eventos em potencial, cuja ocorrência poderá
afetar a organização, e para administrar os riscos de acordo com seu
apetite a risco;
♦ capaz de propiciar garantia razoável para o conselho de administração e
a diretoria executiva de uma organização;
♦ orientado para a realização de objetivos em uma ou mais categorias
distintas, mas dependentes.
Essa definição é intencionalmente ampla e adota conceitos fundamentais
sobre a forma como as empresas e outras organizações administram riscos,
possibilitando uma base para sua aplicação em organizações, indústrias e setores.
O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o
26
cumprimento dos objetivos estabelecidos por uma organização específica e fornece
parâmetros para definir a eficácia desse gerenciamento de riscos.
4.1.3 – Realização de Objetivos
Com base na missão ou visão estabelecida por uma organização, a
administração estabelece os planos principais, seleciona as estratégias e determina
o alinhamento dos objetivos nos níveis da organização.
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de
alcançar os objetivos de uma organização e são classificados em quatro categorias:
♦ Estratégicos – metas gerais, alinhadas com o que suportem à sua
missão.
♦ O Operações – utilização eficaz e eficiente dos recursos.
♦ Comunicação – confiabilidade de relatórios.
♦ Conformidade – cumprimento de leis e regulamentos aplicáveis.
Essa classificação possibilita um enfoque nos aspectos distintos do
gerenciamento de riscos de uma organização. Apesar de essas categorias serem
distintas, elas se inter-relacionam, uma vez que determinado objetivo pode ser
classificado em mais de uma categoria, tratam de necessidades diferentes da
organização e podem permanecer sob a responsabilidade direta de diferentes
executivos. Essa classificação também permite diferenciar o que pode ser esperado
de cada categoria de objetivos. A salvaguarda dos recursos, outra categoria utilizada
por algumas organizações, também é descrita.
Em razão do fato dos objetivos relacionados com a confiabilidade e
relatórios e o cumprimento de leis e regulamentos estarem sob controle da
organização, pode-se esperar que o gerenciamento de riscos corporativos forneça
uma garantia razoável em relação ao atendimento desses objetivos. Entretanto, a
realização de objetivos estratégicos e operacionais está sujeita à ação de eventos
externos nem sempre sob o controle da organização; da mesma forma, em relação
a esses objetivos, o gerenciamento de riscos corporativos é capaz de propiciar uma
garantia razoável que a diretoria executiva e o conselho de administração, na função
27
de supervisão, serão informados, no momento adequado, o quanto a organização
está avançando na direção do atendimento dos objetivos.
4.1.4 – Componentes do Gerenciamento de Riscos Corporativos
O gerenciamento de riscos corporativos é constituído de oito componentes
inter-relacionados, pela qual a administração gerência a organização, e estão
integrados com o processo de gestão. Esses componentes são as fases e/ou
etapas da Gestão de Riscos descritas no próximo subcapítulo.
4.2 – As Fases e/ou Etapas da Gestão de Riscos
4.2.1 - Ambiente Interno
O ambiente interno compreende o tom de uma organização e fornece a
base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a
filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores
éticos, além do ambiente em que estes estão.
4.2.2 - Fixação de Objetivos
Os objetivos devem existir antes que a administração possa identificar os
eventos em potencial que poderão afetar a sua realização. O gerenciamento de
riscos corporativos assegura que a administração disponha de um processo
implementado para estabelecer os objetivos que propiciem suporte e estejam
alinhados com a missão da organização e sejam compatíveis com o seu apetite a
riscos.
4.2.3 - Identificação de Eventos
28
Os eventos internos e externos que influenciam o cumprimento dos
objetivos de uma organização devem ser identificados e classificados entre riscos e
oportunidades. Essas oportunidades são canalizadas para os processos de
estabelecimento de estratégias da administração ou de seus objetivos.
4-2-4 - Avaliação de Riscos
Os riscos são analisados, considerando-se a sua probabilidade e o impacto
como base para determinar o modo pelo qual deverão ser administrados. Esses
riscos são avaliados quanto à sua condição de inerentes e residuais.
A análise de riscos estruturada possui dois parâmetros claros a serem
estudados:
♦ saber qual a chance, a probabilidade, dos perigos virem a acontecer,
frente a condição existente – risco;
♦ calcular o impacto, seja ele operacional como financeiro.
Com estes dois critérios bem definidos podemos calcular a Perda Esperada,
que é a probabilidade do risco vir a acontecer versus seu impacto financeiro.
A perda esperada é a fotografia de cada risco nas matrizes de
monitoramento, pois representa o patamar máximo de investimento a ser realizado
pela empresa na mitigação de seu risco. Os métodos de análise de riscos podem
ser divididos em duas categorias: métodos objetivos (quantitativos) e métodos
subjetivos (qualitativos).
♦ Avaliação de Risco Quantitativa - O objetivo das avaliações de risco
quantitativas é tentar calcular valores numéricos objetivos para cada um
dos componentes coletados durante as fases de análise de
custo/benefício e de avaliação de risco. Por exemplo, você pode estimar
o valor real de cada ativo de negócios em termos do custo de
substituição, do custo associado à perda de produtividade, do custo
representado pela reputação da marca e outros valores comerciais
diretos ou indiretos. Você deverá usar a mesma objetividade ao calcular
29
o custo de exposição do ativo, o custo dos controles e todos os outros
valores identificados durante o processo de gerenciamento de riscos.
♦ Avaliação de Risco Qualitativa - A diferença entre a avaliação de risco
qualitativa e a avaliação de risco quantitativa é que, na avaliação
qualitativa, você não tenta atribuir valores financeiros fixos aos ativos, às
perdas esperadas e ao custo de controles. Em vez disso, você tenta
calcular valores relativos. A análise de risco é geralmente conduzida
utilizando uma combinação de questionários e workshops colaborativos
envolvendo pessoas de diversos grupos na organização, como
especialistas em segurança, gerentes e gestores das áreas da empresa
e usuários de ativos de negócios. Em seguida, tentam reconhecer as
ameaças enfrentadas por cada ativo, e tentam imaginar quais tipos de
vulnerabilidades poderiam ser explorados por tais ameaças no futuro.
Por fim, os resultados são apresentados à gerência para serem levados
em conta durante a análise de custo/benefício.
A Microsoft, em seu Guia de Gerenciamento de Riscos, enfatiza que deve
haver uma declaração estruturada do risco, também sob os dois aspectos: Impacto
e Probabilidade.Conforme diagrama abaixo:
4.2.5 - Resposta a Risco
A administração escolhe as respostas aos riscos - evitando, aceitando,
reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar
os riscos com a tolerância e com o apetite a risco.
Impacto Probabilidade
Declaração de riscos bem estruturada
30
4.2.6 - Atividades de Controle
Políticas e procedimentos são estabelecidos e implementados para
assegurar que as respostas aos riscos sejam executadas com eficácia.
4.2.7 - Informações e Comunicações
As informações relevantes são identificadas, colhidas e comunicadas de
forma e no prazo que permitam que cumpram suas responsabilidades. A
comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos
níveis da organização.
4.2.8 – Monitoramento
A integridade da gestão de riscos corporativos é monitorada e são feitas as
modificações necessárias. O monitoramento é realizado através de atividades
gerenciais contínuas ou avaliações independentes ou de ambas as formas.
A rigor, o gerenciamento de riscos corporativos não é um processo em série
pelo qual um componente afeta apenas o próximo. É um processo multidirecional e
interativo segundo o qual quase todos os componentes influenciam os outros.
♦ Relacionamento entre Objetivos e Componentes:
Existe um relacionamento direto entre os objetivos, que uma organização
empenha-se em alcançar, e os componentes do gerenciamento de riscos
corporativos, que representam aquilo que é necessário para o seu alcance. Esse
relacionamento é apresentado em uma matriz tridimensional em forma de cubo.
31
As quatro categorias de objetivos (estratégicos, operacionais, de
comunicação e conformidade) estão representadas nas colunas verticais. Os oito
componentes nas linhas horizontais e as unidades de uma organização na terceira
dimensão. Essa representação ilustra a capacidade de manter o enfoque na
totalidade do gerenciamento de riscos de uma organização, ou na categoria de
objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos.
A determinação do grau de eficácia do gerenciamento de riscos corporativos
de uma organização corresponde ao julgamento decorrente da avaliação da
presença e da eficácia do funcionamento dos oito componentes. Desse modo, os
componentes também são critérios para o gerenciamento eficaz de riscos
corporativos. Para que os componentes possam estar presentes e funcionar
adequadamente, não poderá haver fraquezas significantes, e os riscos necessitam
ser enquadrados no apetite a risco da organização.
Quando se constata que o gerenciamento de riscos corporativos é eficaz em
cada uma das quatro categorias de objetivos, isso significa que o conselho de
administração e a diretoria executiva terão garantia razoável de que entenderam até
que ponto, os objetivos estratégicos e operacionais não estão realmente sendo
alcançados, o sistema de comunicação da empresa é confiável, e todas as leis e
regulamentos cabíveis estão sendo observados.
Os oito componentes não funcionarão de forma idêntica em todas as
organizações. A sua aplicação em organizações de pequeno e médio portes, por
32
exemplo, poderá ser menos formal e menos estruturada. Não obstante, as
pequenas organizações podem apresentar um gerenciamento de riscos eficaz,
desde que cada um de seus componentes esteja presente e funcionando
adequadamente.
O processo de avaliação de riscos compreende uma metodologia a ser
aplicada para a percepção do risco inerente a cada operação. Considerando a
necessidade de aperfeiçoamento contínuo desses critérios, haverá uma melhora na
compreensão relativa da vulnerabilidade correspondente a cada processo além de
propiciar a oportunidade de melhoria nos controles internos e a anulação ou
redução do risco identificado.
O Método Avançado de análise e Resposta aos Riscos Corporativos – é
formado por elementos alinhados com a Futura Norma ISO 31000. Os elementos
principais do processo estão integrados no ciclo do PDCA (Plan, Do, Check e
Action).
4.3 – As Normas da Gestão de Riscos
33
Neste subcapítulo iremos estudar das Normas que foram criadas
especificamente para atender as necessidades da Gestão de Riscos. São elas as
normas COSO e a ISO 31000.
O objetivo do COSO³ (Comittee of Sponsoring Organizations of the
Treadway Commission), norma criada em 1992, é o controle interno, ou seja,
elaborar um processo para garantir, com razoável certeza, que sejam atingidos os
objetivos das empresas.
Para gerar uma norma universal que englobasse os diferentes conceitos de
gestão de riscos, foi criada, em 2009, a norma ISO 31000 “General Guidelines for
principles and implementation of risk management” 4. A partir de sua criação foi
possível generalizar a gestão de risco independentemente do tipo, tamanho e área
de atuação da organização. Seu o objetivo é lidar com a incerteza que pode afetar
os objetivos empresariais.
Quando falamos em COSO estamos falando de Controle Interno, que
compreende o plano da organização e o conjunto coordenado de métodos e
medidas, adotados pela empresa, para: proteger seu patrimônio, verificar a exatidão
e a fidedignidade de seus dados contábeis, promover a eficiência operacional e
encorajar a adesão à política traçada pela administração.
Um dos objetivos é buscar através da norma, a eficiência e eficácia
operacional. Aqui esta categoria está relacionada com os objetivos básicos da
entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem
como a segurança e qualidade dos ativos.
Outro ponto da norma é a confiança nos registros contábeis e financeiros,
pois, toda transações devem ser registradas e todos os registros devem refletir
transações reais, consignadas pelos valores e enquadramento corretos. A empresa,
também, deve buscar a conformidade com as leis e normativos aplicáveis à
entidade e sua área de atuação.
Pelo COSO, o Controle Interno é um processo constituído de componentes,
que estão inter-relacionados e presentes em si.
Já a norma ISO 31000 foi criada com o objetivo de ser uma norma genérica
de gerenciamento de riscos, aplicável em qualquer tipo de organização
independente do tamanho e ramo de atividade. Sua metodologia visa identificar e
analisar os riscos e os cenários que serão enfrentados. A norma pode ser aplicada a
vários tipos de riscos, por exemplo: financeiro, operacional, de saúde, de projeto, de
³ Comitê das Organizações Patrocinadoras. 4 Diretrizes Gerais para os Princípios e Implementação da Gestão de Risco.
34
meio ambiente, de informação, de segurança empresarial, entre outros. A norma
serve para fazer com que as empresas não tratem os riscos de forma isolada, de
modo que possa haver um estudo de impactos cruzados entre as diversas áreas da
organização.
Assim sendo, a norma 31000 visa estabelecer uma linguagem comum e
padronizar as melhores práticas, para assim, criar a convergência, ou seja, a norma
visa a criação de uma gestão integrada dos riscos das diferentes áreas de uma
organização. Cada risco levantado deve se atrelar ao fator de risco - onde a
ferramenta acaba sendo escolhida pela empresa. Enquanto o processo de gestão
de riscos segundo a norma COSO é constituído de 8 componentes, já descritos
anteriormente, o processo de gestão de riscos da norma 31000 é dividido em sete
etapas:
• Comunicação e consulta: é importante desenvolver um plano de
comunicação com as partes internas e externas envolvidas, logo no
primeiro estágio do processo. A comunicação envolve diálogo entre as
partes, tendo como foco a consulta e não somente a comunicação de
via única. A comunicação, interna e externa, eficaz é importante para
que os responsáveis pela implementação da gestão de riscos e os
investidores compreendam quais são as decisões tomadas e por que
determinadas ações são necessárias;
• Contexto: é o ambiente no qual a organização está inserida,
compreendendo os tipos: estratégico; organizacional; de gestão de
riscos; de critérios (qual metodologia será utilizada); de estrutura e de
variáveis incontroláveis;
• Identificação dos riscos e perigos: para se ter uma visão efetiva dos
riscos e de seus fatores, existe a necessidade de se realizar uma
avaliação das condições de segurança da empresa. Após conhecer o
contexto em que a organização está inserida, é possível definir quais os
riscos que devem ser estudados. A identificação deve incluir todos os
perigos, estejam ou não sob o controle da Unidade de egócio. O
objetivo é gerar uma lista abrangente de eventos que possam afetar a
organização. Após identificar os riscos, a organização deve identificar
quais são seus fatores de risco;
35
• Análise de riscos: verifica o grau de criticidade dos riscos através de
sua probabilidade de ocorrência e impacto na organização. Aqui usamos
critérios prospectivos, pois os critérios projetivos não levam em conta o
contexto atual em que a organização está inserida;
• Avaliação de riscos: calculamos o grau de probabilidade através da
fórmula GP= fator de riscos (FR) x exposição (E). Após obtermos o Grau
de Probabilidade e seu impacto é possível criar uma matriz de
vulnerabilidade para cada risco;
• Tratamento dos riscos: dependendo do risco, a organização poderá,
através de sua avaliação e análise, reter, reduzir, transferir, explorar ou
até mesmo evitar orisco. Assim, a organização cria planos de ação com
o objetivo de propor soluções possíveis para mitigar os riscos e reduzir
suas consequências;
• Monitoramento: serve para acompanhar se as medidas do Plano de
Ação estão surtindo o efeito desejado e para verificar o nível de riscos
identificados através de seus fatores de riscos.
Levando em conta o framework de cada norma:
Apesar de existirem semelhanças entre as normas ISO 31000 e COSO -
como a identificação de riscos x identificação de eventos, análise de riscos x
avaliação de riscos, monitoramento e comunicação -, o foco de cada uma é
diferente. A norma 31000 tem um processo com foco principal no risco que afeta a
empresa, com o objetivo de mitigá-los, assumi-los ou evitá-los. Já a norma COSO
36
tem um processo com foco principal no controle, para garantir a eficiência e eficácia
do monitoramento das atividades que irão tratar os riscos.
A ISO 31000 busca integrar todo o processo de gestão de riscos da
empresa, mudando os conceitos tradicionais que prevêem a atuação independente
de cada área. Em seu framework, a norma recomenda que todas as áreas da
empresa interajam com um mesmo objetivo. Para isso, traz uma linguagem comum,
ou seja, a definição de uma metodologia igual para todas as áreas.
Além de abordar uma visão diferenciada, a norma terá aplicabilidade em
diversos tipos de riscos. Ela também insere em seu contexto as oportunidades para
o negócio. Outro ponto relevante na ISO 31000 é a recomendação em considerar
sempre os fatores humanos.
37
CAPÍTULO V
A INFLUÊNCIA DO GERENCIAMENTO DO RISCO
OPERACIONAL NA GESTÃO EMPRESARIAL
As vantagens do Gerenciamento dos Riscos estão na redução dos custos e
riscos trabalhistas, na participação intensa da continuidade dos negócios
organizacionais (presente/futuro).
Através de avaliações periódicas, o Gerenciamento de Riscos participa
efetivamente da melhoria da qualidade organizacional da empresa, minimizando
situações de “não conformidade” (descumprimento de especificações fixadas em
normas e manuais da qualidade e visa aperfeiçoar as práticas (processos e
resultados) assegurando assim metas e resultados planejados e ainda obtém total
segurança quanto ao sigilo das informações.
Mais do que mitigar riscos (internos ou externos) e buscar a redução de
danos à organização em situação de incidentes, sejam de ordem econômica, natural
ou até um incêndio, os executivos devem pensar em caminhos e ações que
garantam a continuidade de operação da corporação. As iniciativas de
desenvolvimento de políticas estruturadas e eficazes de gestão de riscos devem
atender toda a empresa e possibilitar a criação de diretrizes mais claras sobre quais
medidas a companhia adotará.
A importância de uma política de gerenciamento de riscos permanente, que
fiscalize todas as áreas de negócios da organização se dá como um processo de
conhecimento e reconhecimento da alma da corporação.
5.1 – A Importância da Realização de Testes do PCN: Fator Crítico
de Sucesso
O universo corporativo possui inúmeras necessidades que devem ser
supridas constantemente. Entre elas está o desenvolvimento preventivo de um
conjunto de estratégias e planos de ações, a fim de garantir que os serviços
38
essenciais - frente à ocorrência de um evento de grande magnitude -, sejam
devidamente identificados, preservados e, principalmente, mantidos operacionais.
Isso, até que a situação se estabilize e o funcionamento da organização seja
normalizado dentro de seu contexto de negócio, considerando duas variáveis
essenciais: os componentes e os processos.
Para isso há o Plano de Continuidade de Negócios (PCN), também
conhecido como Business Continuity Plan (BCP). Pesquisas realizadas em grandes
organizações de diversos segmentos constataram que apenas 8% das organizações
que não têm um PCN sobrevivem após um grande incidente. Tais pesquisas
revelaram que o risco mais temido pelas corporações é o de danos à reputação da
empresa, seguido pelo de interrupção de negócios e em terceiro lugar pelo de
responsabilidade civil, potencializado pela globalização.
Os testes de PCN são um ponto de gargalo da Gestão de Continuidade de
Negócio (GCN), por isso, desenvolve com sua metodologia e abordagem pró-ativa
uma estratégia que permite de forma clara e prática a aplicabilidade dos mesmos,
objetivando constatar se o plano de resposta da organização é factível.
A realização de testes no PCN é considerada um fator crítico de sucesso a
medida que permite a verificação pela organização da exequibilidade do conteúdo
do seu plano. Validar a operacionalidade das ações descritas por meio da realização
de testes é condição essencial para que o plano não seja apenas um documento
para cumprir protocolo, e sim para ser efetivo, eficiente e eficaz, atendendo a
necessidade para o qual foi desenvolvido.
“O importante nos testes é executar os procedimentos
previstos e torná-los de conhecimento do maior número de
colaboradores, para que em possível situação de contingência,
as ações necessárias e programadas sejam executadas
naturalmente, sem transtornos. Um segundo produto que se
obtém dos testes é a depuração do plano.” (Antonio Celso
Ribeiro Brasiliano).
Cabe ressaltar que para obter a certificação de sua GCN, uma organização
deve atender aos quinze aspectos da norma ABNT NBR 15999-2. Dentre esses
39
aspectos estão os testes, que deverão ser documentados, através de sua
formalização e registro.
Os testes devem ser de conhecimento do maior número de colaboradores,
para que as ações programadas sejam executadas naturalmente e sem transtornos
frente a um evento inesperado.
Um plano de testes pode ser executado para um único procedimento
operacional ou para um conjunto deles. Deve contemplar cenários e locais para
execução e, principalmente, as atividades que deverão ser validadas por uma
equipe de inspeção e acompanhamento durante a realização dos testes.
Os testes de PCN podem ser divididos para abranger as chamadas
camadas estratégicas (Figura 1), que são: áreas operacionais, áreas suporte e
comitê de gerenciamento de crise.
Figura 1
• Primeira Camada Estratégica (Áreas Operacionais): Diz respeito a
sensibilização e conscientização dos gestores e colaboradores das
áreas de negócio para que possam praticar seus processos críticos em
situações anormais, em situações de contingência com efetivo reduzido
– cerca de 30%.
• Segunda e Terceira Camada Estratégica (Áreas de
Suporte e Comitê de Crise): Diz respeito ao treinamento dos
componentes do Grupo de Respostas a Contingência, ou seja, são as
áreas responsáveis por dar suporte operacional no caso de uma
contingência. Neste caso específico para a EMPRESA, esse grupo será
40
o Comitê de Crise, tendo como integrantes as áreas de suporte. O
objetivo deste tipo de teste é confirmar a adequação dos procedimentos
documentados e identificar lacunas ou qualquer outro tipo de falha que
possa existir na estruturação do Plano.
Os testes são avaliados em relação aos objetivos específicos da infra-
estrutura e aos procedimentos que os colaboradores devem executar.
A validação dos testes exige critérios de avaliação em alguns casos, como:
• posse dos aplicativos necessários;
• realização de seus processos críticos – operacionalização no tempo
máximo de duas horas;
• conhecimento do PCN pelos colaboradores chave;
• ações do comitê de decisão;
• funcionamento dos equipamentos e da infra-estrutura;
• adequação do número de colaboradores para a execução dos
processos críticos;
• desmobilização dos colaboradores;
• processos de comunicação (Início da situação, evolução de
acontecimentos e no retorno a situação de normalidade).
• preparação do relatório (ações efetuadas, dificuldades e sugestões).
Embora haja um leque de modernos conceitos corporativos, muitas
organizações se deparam com quatro mitos envolvendo a aplicabilidade dos testes,
os quais são esclarecidos a seguir:
1º Diz respeito à idéia de que os testes são feitos para provar que o Plano
funciona. Nesse caso, um teste que vier a expor erros será um teste falho.
Não existem testes falhos. Os testes devem ser realizados para, entre
outros objetivos, identificar falhas.
2º Diz respeito ao REALISMO. Para alguns profissionais um teste de PCN
tem que reproduzir, do modo mais fiel possível, o ambiente de contingência
e, para isso, deve-se chegar ao ponto de interromper as atividades do dia-a-
dia para executá-lo. Tal procedimento é desnecessário e contraria a
41
essência do Plano de Continuidade que é garantir a continuidade das
operações vitais.
3º Diz respeito à TOTALIDADE. Este mito diz que um teste só é válido se
todo o plano for testado. A construção de um PCN é por módulo, portanto
deverá ser testado por módulo. Essa estratégia é mais factível, viabilizando
a realização de mais testes.
4º Diz respeito à CAPACITAÇÃO. Toda empresa deve estar suficientemente
preparada para enfrentar as contingências. Uma empresa jamais estará
preparada para enfrentar uma contingência. A não ser que “suficientemente
preparada” signifique estar consciente das ações básicas necessárias.
Fatores de Sucesso são: INTUIÇÃO, DEDICAÇÃO, EFETIVA
PARTICIPAÇÃO E CAPACIDADE GERENCIAL. Tudo isso somado à
capacidade técnica das equipes e do PCN.
É importante lembrar que o processo da GCN, também conhecido por “ciclo
de vida da continuidade de negócios”, é retro-alimentativo e representa a operação
de todo seu programa dentro da organização além de englobar o ciclo PDCA - o
meio de garantir que a continuidade de negócios esteja gerenciada e aprimorada de
forma eficaz - e se aplica a todas as partes do ciclo de vida da GCN. (Figura 2)
Um Plano de Continuidade de Negócios feito por especialistas embasados
em conhecimentos técnicos é capaz de manter uma corporação inabalável frente às
Figura 2
42
intempéries que possam ocorrer de toda e qualquer Análise natureza. A realização
de testes integra a prática de quem estabelece um processo para a realização do
PCN e constitui-se num fator essencial para que o plano ocorra com êxito e
mantenha o processo da GCN.
5.2 – A Tomada de Decisão
O modelo de decisão é um molde para escolher a alternativa a ser
objetivada, ou seja, para que a empresa atinja seus objetivos já planejados, e para
que surta efeito, tem que ser levado em consideração a racionalidade e o esforço do
tomador de decisão. Para Guerreiro (1996), "O modelo de decisão deve ser
específico para cada natureza de evento e corresponder ao processo decisório
lógico utilizado pelo gestor, o qual norteia a escolha das alternativas".
O processo de tomada de decisão pode ser caracterizado pela sequência
lógica dos eventos, podendo percorrer as seguintes etapas:
♦ O reconhecimento do problema;
♦ Obtenção dos fatos;
♦ Definir as alternativas de solução dos problemas;
♦ Avaliar e classificar as alternativas de solução;
♦ Validação da decisão tomada.
Existem ainda tipos de modelos de decisão que são:
♦ Simulação, onde o tomador de decisões pode viajar em possíveis
alternativas formuladas e avaliadas futuramente;
♦ Otimização, que são feitas através de estudos matemáticos e
estatísticos, para se chegar a uma única alternativa; e
♦ Heurísticos, que eliminam as alternativas menos prováveis por meio de
rotinas computadorizadas, para encontrar a solução ideal.
A informação é um recurso utilizado pelo gestor para alcançar os objetivos
de uma empresa, utilizando-a de forma eficiente e eficaz. Tem características como
relevância, custo-beneficio e a flexibilidade de adaptação ao usuário. Portanto, cada
43
informação fornecida ao gestor para tomada de decisão deve ser processada e
analisada cuidadosamente para que um fluxo muito grande de informações não
atrapalhe na tomada de decisões.
Não se pode falar do processo de gestão (planejamento, execução e
controle) sem mencionar os sistemas de informação, que são base de qualquer
processo que envolva a Contabilidade, pois é por meio da informação que os
gestores avaliam e identificam as oportunidades e as ameaças que rondam o
ambiente de uma empresa.
O sistema de informações gerenciais alimenta a base de dados dos
gestores para que tomem as decisões, para isso, deve-se filtrar e analisar as
informações existentes, assim quanto melhor possa se encaixar uma informação
dentro da necessidade do gestor, melhor será a decisão a ser tomada. E essas
informações devem ser precisas e na frequência correta.
44
CONCLUSÃO
Os escândalos cada vez mais expostos pela mídia de fraude e corrupção
despertaram a necessidade de se controlar, fiscalizar e auditar de uma forma mais
abrangente as organizações.
Estudiosos de economia, finanças, contabilidade e administração
começaram a dedicar mais atenção na “Avaliação de Riscos” diante dessa realidade
e a atuação das auditorias internas começou a se transformar, conforme
apresentamos no trabalho.
Essa atitude não significa que os riscos serão eliminados e extintos. Por
mais métodos de controle que se adote sempre haverá um risco residual. Importante
então, é concentrar os esforços na redução desses riscos, ou seja, minimizá-los ao
máximo controlando adequadamente as causas e reduzindo a possibilidade de que
se materializem, evitando, os seus efeitos.
A qualidade dos controles internos é uma forte medida de valor das
organizações.
Com o advento da globalização, a ênfase conferida aos controles internos
nas organizações é cada vez maior, pois reflete o nível de controle e conhecimento
que a administração tem sobre as operações e processos da organização,
impactando conseqüentemente a sua eficiência e o seu valor de mercado.
Conseqüentemente, os administradores se interessam cada vez mais pelo exercício
da boa governança e da transparência.
O maior efeito dos bons controles internos é que eles proporcionam a
normalidade do ambiente, necessária para a organização florescer. Muitas vezes o
benefício da existência de bons controles é subjacente, invisível, até o imprevisto
acontecer. A garantia da normalidade é uma prioridade para fazer negócios, além de
assegurar que as coisas certas sejam feitas como devem, cada vez melhor.
45
Muitas histórias de insucesso poderiam ter tido final diferente talvez, se os
controles internos fossem mais adequados.
O uso de controles organizacionais alia-se à própria gestão do negócio, pois
os instrumentos dessa prática, colocados à disposição dos administradores das
empresas, facilitam sobremaneira a tomada de decisões, dada a sua abrangência.
Os controles internos contribuem para a salvaguarda dos ativos das
empresas, para o desenvolvimento dos negócios e, conseqüentemente, para o
resultado das operações, agregando valor à entidade.
Os estudos realizados para o trabalho resultaram na convicção da
importância de se gerir uma organização focando nos fatores de risco presentes nas
atividades, processos, programas. É uma forma de se obter maior conforto de que
as atividades estão sendo desenvolvidas com atenção aos pontos que podem
sujeitar a organização a maiores riscos de não se concretizarem os objetivos
programados.
46
BIBLIOGRAFIA
1 - ALMEIDA, Marcelo Cavalcanti. Auditoria: um curso normal e completo. 6. ed.
São Paulo: Atlas, 2003.
2 - ANTUNES, Jerônimo. Contribuição ao estudo da avaliação de risco e controles
internos na auditoria de demonstrações contábeis no Brasil. São Paulo: editora
Faculdade de Economia, 1998.
3 - ATTIE, Willian. Auditoria: conceitos e aplicações. 3. ed. São Paulo: Atlas,
2000.
4 - BERNSTEIN, Peter L. Desafio dos Deuses: A Fascinante história do Risco.8a
edição, Rio de Janeiro: Campus, 1997, p.1
5 - BOCAYUVA, Luiz Gustavo Almeida. Matriz de Risco para Auditoria Integral.
1999. 100f. Monografia (conclusão de curso) – Fundação Getúlio Vargas,
Escola de Administração Pública, Brasília.
6 - www.brasiliano.com.br. BRASILIANO & ASSOCIADOS, Revista Eletrônica.
2005.
47
ÍNDICE
FOLHA DE ROSTO 02
AGRADECIMENTO 03
DEDICATÓRIA 04
RESUMO 05
METODOLOGIA 06
SUMÁRIO 07
INTRODUÇÃO 08
CAPÍTULO I
CONCEITO DE RISCO 10
1.1 – Caracterização de Risco 10
1.2 – Exposição ao Risco 11
CAPÍTULO II
DEFINIÇÃO DOS PRINCIPAIS TIPOS DE RISCO 12
2.1 – Risco de Mercado 12
2.2 – Risco de Liquidez 12
2.2.1 – Risco de Liquidez de Mercado/Produto 13
2.2.2 – Risco de Liquidez de Fluxo de Caixa/Obtenção de Recursos 13
2.3 – Risco de Crédito 14
2.4 – Risco País 14
2.5 – Risco Operacional 15
2.5.1 – Risco de Overload 15
2.5.2 – Risco de Obsolescência 15
2.5.3 – Risco de Presteza e Confiabilidade 16
2.5.4 – Risco de Equipamento 16
2.5.5 – Risco de Erro Não Intencional 16
2.5.6 – Risco de Fraudes 16
2.5.7 – Risco de Qualificação 17
2.5.8 – Risco de Produtos & Serviços 17
2.5.9 – Risco de Regulamentação 17
48
2.5.10 – Risco de Modelagem 17
2.5.11 – Risco de Concentração (operacional) 18
2.5.12 – Risco de Catástrofe 18
2.5.13 – Risco de Segurança 18
2.6 – Risco Legal 18
2.7 – Risco de Imagem 19
CAPÍTULO III
A IMPORTÂNCIA DE GERENCIAR RISCOS 20
CAPÍTULO IV
OS OBJETIVOS ESTRATÉGICOS, AS FASES E/OU ETAPAS E AS NORMAS A-
CERCA DA GESTÃO DE RISCOS 23
4.1 – Os Objetivos Estratégicos da Gestão de Riscos 23
4.1.1 - Eventos – Riscos e Oportunidades 24
4.1.2 - Definição de Gerenciamento de Riscos Corporativos 25
4.1.3 – Realização de Objetivos 26
4.1.4 – Componentes do Gerenciamento de Riscos Corporativos 27
4.2 – As Fases e/ou Etapas da Gestão de Riscos 27
4.2.1 – Ambiente Interno 27
4.2.2 – Fixação de Objetivos 27
4.2.3 – Identificação de Eventos 28
4.2.4 – Avaliação de Riscos 28
4.2.5 – Resposta a Risco 30
4.2.6 – Atividades de Controle 30
4.2.7 – Informações e Comunicações 30
4.2.8 – Monitoramento 30
4.3 – As Normas da Gestão de Riscos 33
CAPÍTULO V
A INFLUÊNCIA DO GERENCIAMENTO DO RISCO OPERACIONAL NA
GESTÃO
EMPRESARIAL 37
5.1 – A Importância da Realização de Testes do PCN: Fator Crítico de Sucesso 37
49
5.1 – A Tomada de Decisão 42
CONCLUSÃO 44
BIBLIOGRAFIA 46
ÍNDICE 47