1
UNIVERSIDADE CANDIDO MENDES
AVM – FACULDADE INTEGRADA
PÓS-GRADUAÇÃO LATO SENSU
GESTÃO DO RISCO OPERACIONAL
Vanessa Ferreira Ennes
ORIENTADORA:
Prof. Aleksandra Sliwowska
Rio de Janeiro 2016
DOCUMENTO PROTEGID
O PELA
LEI D
E DIR
EITO AUTORAL
2
UNIVERSIDADE CANDIDO MENDES
AVM – FACULDADE INTEGRADA
PÓS-GRADUAÇÃO LATO SENSU
Apresentação de monografia à AVM Faculdade
Integrada como requisito parcial para obtenção do
grau de especialista em MBA EM FINANÇAS E
GESTÃO CORPORATIVA
Por: Vanessa Ferreira Ennes
GESTÃO DO RISCO OPERACIONAL
Rio de Janeiro 2016
3
AGRADECIMENTOS
Aos meus familiares, pela compreensão de minha
ausência durante o desenvolvimento deste
trabalho, e ao meu chefe, pelo incentivo e apoio
para realização da pós-graduação.
4
DEDICATÓRIA
Dedico à minha família: aos meus pais, pelo
esforço e empenho na minha formação, às
minhas filhas, para que sirva de bom exemplo, e
ao meu companheiro, que serviu de inspiração
com sua monografia premiada pela ABRAPP em
2015.
5
RESUMO
O objetivo deste trabalho é estudar o risco e suas origens, com
enfoque no risco operacional, presente em todas as atividades das empresas.
Com maior probabilidade de ocorrência e maiores impactos financeiros, o risco
operacional pode decorrer de falha humana, de sistemas, de processos e até
de fatores externos. Assim, será abordado o processo de gestão dos riscos
operacionais, as principais formas de controlar sua execução, por meio de
auditorias e controles internos, e algumas ferramentas para identificação e
avaliação dos riscos. Com base nessas informações, serão analisados os
critérios e as condições para a estruturação de um processo de gestão do risco
operacional, bem como serão identificados os principais custos e benefícios
relacionados.
6
METODOLOGIA
Partindo do conhecimento intuitivo sobre riscos e sua gestão,
decorrente da percepção cotidiana de sua existência e necessidade de evitar
sua ocorrência, elaborei o plano de pesquisa com o problema, os objetivos e
hipótese. Por meio da metodologia de investigação científica, com enfoque
teórico, utilizei a pesquisa bibliográfica, por meio de consultas a livros, artigos,
legislações e publicações para buscar informações sobre o tema gestão de
risco operacional. Adicionalmente, foi utilizada a pesquisa descritiva para
correlacionar as informações teóricas obtidas com informações publicadas de
empresas sobre sua experiência de gestão de risco. Aplicando-se o método
dedutivo, as informações globais sobre gestão de risco foram utilizadas para
concluir sobre sua aplicabilidade em empresas diversas.
.
7
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I
Risco Operacional 10
CAPÍTULO II
Gestão do Risco Operacional 20
CAPÍTULO III
Ferramentas de Gestão do Risco Operacional 30
CAPÍTULO IV
Avaliação Dos Custos E Benefícios Da Gestão Do Risco Operacional 45
CONCLUSÃO 50
BIBLIOGRAFIA 52
ÍNDICE 54
ÍNDICE DE FIGURAS 55
ANEXOS 56
8
INTRODUÇÃO
O risco operacional é o mais iminente em todas as empresas, com
maior probabilidade de ocorrência e maiores impactos financeiros,
independentemente da área de atuação, pois é decorrente de fatores como
falha humana, de sistemas, de processos e até de fatores externos que
abrangem todo o tipo de operação. As instituições financeiras são atualmente
as empresas mais avançadas no Brasil em relação à gestão dos riscos, por
força das regulamentações do Banco Central. A legislação trabalhista também
impõe às empresas a gestão de riscos relacionados à segurança e saúde no
trabalho. Contudo, independentemente das exigências legais, a gestão dos
riscos pode e deve ser aplicada em todos os ramos da atividade econômica.
Mas quais critérios devem ser utilizados para avaliar o quanto uma
empresa deve investir em ferramentas e metodologias para a gestão do seu
risco operacional?
Para tomar essa decisão, as empresas precisam analisar as
ferramentas de gestão desse risco, os custos envolvidos na sua aplicação e a
comparação desses custos não só com as perdas que possam advir da
ocorrência de um evento de risco, mas principalmente com os ganhos
presentes e futuros de uma melhor estruturação de sua operação.
Mas essa análise não é simples. Ao avaliar as condições
necessárias para aplicação das metodologias de gestão de risco operacional,
várias dificuldades são encontradas na mensuração de custos e benefícios
decorrentes da gestão do risco operacional. E nem sempre essa mensuração é
possível.
Logo, a aplicabilidade, ou não, da gestão de risco nas empresas de
forma eficiente precisa considerar critérios como a atividade da empresa e sua
exposição aos riscos operacionais, a sua estrutura financeira e capacidade de
investimento, as exigências legais do seu segmento relativamente ao controle
9
dos riscos operacionais, o grau de automatização dos seus processos e a
qualificação dos seus funcionários.
Mas o mais importante, é que a gestão de risco seja uma ferramenta
que auxilie a empresa na sua estruturação, de modo a garantir sua
sobrevivência no mercado, ou seja, transcenderá a necessidade apenas da
gestão do risco.
Assim, nesta monografia se inicia com a conceituação de risco e seu
histórico, abordando as diversas definições possíveis, que variam conforme
enfoque e área de atuação, relacionando os vários tipos de risco e
aprofundando no risco operacional.
No segundo capítulo será abordado o processo de gestão do risco
operacional, passando pelo contexto das exigências legais, da cultura
organizacional, das atividades envolvidas no processo e das estruturas de
controle, quais sejam, o compliance e auditorias.
Contudo, para identificar, analisar, avaliar e priorizar os riscos que
serão geridos no processo, é necessário aplicar as metodologias e ferramentas
de gestão do risco operacional, que serão exemplificadas no Capítulo III.
Finalmente, no capitulo IV analisaremos as critérios que definem a o
nível de investimento das organizações na gestão dos riscos operacionais, os
custos e benefícios envolvidos nesse processo.
As principais bibliografias utilizadas foram Galante (2015), Brito
(2007) e Assi (2012), por apresentarem maior enfoque nos riscos operacionais.
O primeiro, abordando a gestão de risco em indústrias e os outros dois no setor
financeiro.
10
CAPÍTULO I
RISCO OPERACIONAL
Existem muitas definições para risco, que vão evoluindo conforme
o desenvolvimento das atividades humanas, cujo aumento da complexidade
implica também no aumento das incertezas envolvidas. O risco operacional é
um dos segmentos de estudo das incertezas que afetam os resultados das
empresas.
1.1. Definição de Risco e suas Origens
Tendo em vista a abrangência do conceito de risco, que afeta desde
as nossas atividades cotidianas, vinculadas à nossa própria sobrevivência, até
a mais complexa e tecnológica das atividades humanas, a literatura oferece
variadas definições de risco, conforme o foco de cada estudo.
Assim, exemplifico a seguir algumas delas que propiciarão o
desenvolvimento e aprofundamento desta pesquisa.
Da ciência atuarial, originada na Europa do século XVII, em função
da necessidade de proteção das famílias contra o risco de morte, temos que o
Risco é :
a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico. É importante diferenciar risco de probabilidade: a probabilidade é parte do risco, que para ser assim classificado precisa, basicamente, ser causador de uma perda econômica, reparável. Existem ainda outras exigências para a segurabilidade de um risco, a saber, o risco deve ser:
• Possível;
• Incerto;
• Futuro;
• Independer da vontade humana;
• Mensurável
11
• Homogêneo e não catastrófico.
(anexo 1).
Ou seja, dessas premissas surge toda a Teoria de Seguros,
baseada no princípio do mutualismo, no qual grupos de pessoas se organizam
para minimizar os prejuízos decorrentes de um risco ao qual todos os seus
membros estejam igualmente expostos. Ou seja, o seguro é uma das mais
antigas formas de estudo e mitigação de riscos.
Conforme a Fundação Dom Cabral, que destaca em seus temas
emergentes a Gestão de Riscos
Risco é uma expectativa de perda que se expressa como a probabilidade de que uma ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo. O termo risco é proveniente da palavra risicu ou riscu, em latim, que significa ousar. Costuma-se entender “risco” como possibilidade de “algo não dar certo”, mas seu conceito atual envolve a quantificação e qualificação da incerteza, tanto no que diz respeito às “perdas” como aos “ganhos”, com relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por organizações. (anexo 2)
Ainda segundo a norma Brasileira da Associação Brasileira de
Normas Técnicas que trata das Definições e Diretrizes para a Gestão de Risco,
temos:
Risco - efeito da incerteza nos objetivos.
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo).
NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos (2.17) potenciais e às consequências (2.18), ou uma combinação destes.
NOTA 4 O risco é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade (2.19) de ocorrência associada.
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua
12
compreensão, seu conhecimento, sua consequência ou sua probabilidade. (ABNT ISO 31000, 2009, p.1)
Apesar de todo evento de risco estar associado a uma possibilidade
de perda, na visão mais atual sobre o tema verificamos que também é possível
associá-lo, e estudá-lo, com o foco nos ganhos potenciais. Assim, tanto o
mercado financeiro quanto a gestão de projetos vêm adotando esse conceito
mais neutro de risco, no qual a incerteza associada ao risco pode representar
não só uma ameaça de perda, mas também uma oportunidade de ganhos,
para desenvolver ferramentas aplicadas de gestão de riscos.
Assim, segundo DAMODARAN, Aswath (2009, p.24), “o risco é
definido em termos da variabilidade dos retornos observados de um
investimento em comparação com o retorno esperado do investimento mesmo
quando esses retornos representam resultados positivos.” Ou seja, está
associado não só às possibilidades de recompensa, quanto também ao
projetos de inovação, nos quais as empresas têm dificuldade de prever e
precisar resultados futuros de um negócio, e precisam decidir o nível de
exposição a esse risco com base em estudos da variância dos resultados
possíveis, observados em negócios semelhantes (empresas de mesmo setor,
mesmo porte, etc). Diante desta definição, podemos resumir:
• Risco é a Exposição (a uma perda) em busca de uma Recompensa
• Risco é a probabilidade do resultado obtido ser diferente do planejado.
• Risco pode ser medido pela variância dos resultados em relação ao valor
em exposição.
Outra conceituação importante encontrada na literatura, refere-se à
relação entre Risco e Perigo. Para haver Risco (possibilidade de perda ou
dano) é necessária a interação com algum elemento ou fator que tenha como
característica algum Perigo (potencial para causar alguma perda ou dano).
Assim, o Risco passa a existir em função da opção, ou necessidade, de
interagir com aquele elemento, e seu grau depende da forma como se dá essa
interação. GALANTE (2015, p.31) exemplifica de forma muito didática essa
13
relação citando a gasolina como elemento potencialmente perigoso. Contudo, a
existência ou não de risco associado à gasolina vai depender das atitudes do
usuário em relação a este produto inflamável. E certamente o risco vai variar
em probabilidade de ocorrência e severidade da ocorrência de acordo com o
agente: o motorista do carro, o motorista do caminhão tanque, o funcionário de
uma refinaria, o ambiente onde está localizada a refinaria, os funcionários do
posto onde fica armazenada e é manipulada a gasolina, todos terão riscos
diferenciados em relação a um mesmo elemento perigoso, variando de risco
extremo a baixo risco. Contudo, ao existir a interação com um elemento ou
fator perigoso, o risco nunca será nulo.
O estudo dessa interação com fatores potencialmente perigosos é o
objeto da gestão de riscos. Daí GALANTE (2015, p.32 a 34) nos oferece as
seguintes definições de risco: “é a entidade a ser administrada, uma vez que
decorre da interação humana com o perigo, sendo este (o perigo) binário:
existe ou não”. E ainda o risco como uma função da frequência (probabilidade
de ocorrência do perigo, severidade (extensão do dano ou perda, se incorrido o
risco) e do cenário (as premissas de ambiente e interação com o perigo que
baseiam a estimativa de frequência e a severidade). Assim, temos que:
Segurança de MedidasPERIGO
RISCO =
( )Cenário,Severidade,Frequênciaf=RISCO
Graficamente, a função acima tem o seguinte comportamento:
14
Figura 1 – Frequência x Severidade (GALANTE, 2015, p.34)
Ou seja, conforme a combinação da frequência de ocorrência de um
risco e o grau de severidade da ocorrência temos uma relação direta no
aumento do risco.
1.2. Principais tipos de Risco
Como reflexo da diversidade de definições de risco, que variam
conforme área de atuação que se pretende estudar, também ao classificar e
segmentar os tipos de risco existem várias possibilidades de subdivisão. Um
exemplo de classificação utilizada por uma consultoria, em uma empresa do
setor de energia, citado em artigo publicado pela Fundação Dom Cabral, a
respeito do tema:
• Riscos Estratégicos: incapacidade de lidar com as mudanças interna e externas para realizar os objetivos empresariais.
• Riscos de Conformidade: não atendimento às legislações vigentes que impactam o negócio, e internamente, não conformidade aos regimentos e procedimentos estabelecidos.
• Riscos Financeiros: inadequada gestão de caixa, das aplicações de recursos em operações novas/desconhecidas e/ou complexas e/ou de alto risco.
Severidade
Frequência
RISCO
15
Estão associados à volatilidade do preço de ativos (taxa de juros, câmbio, patrimônio, instrumentos financeiros), liquidez (fluxo de caixa, custo de oportunidade, concentração) e crédito (cumprimento, concentração e garantia).
• Riscos na Gestão de Pessoas: desarticulação entre gestão estratégica e da gestão de pessoas.
• Riscos Ambientais: gestão ambiental inadequada às necessidades reais de impacto do negócio no meio do qual estão instaladas as operações.
• Riscos de Tecnologia da Informação e Telecomunicações: indisponibilidade ou ineficiência dos recursos de informática e telecomunicações (software e hardware).
• Riscos Operacionais: falta de confiabilidade ou incompatibilidade dos processos operacionais das unidades de negócio.
(anexo 2)
Ainda sob a ótica de empresas financeiras, a classificação mais
comum, resumindo as citadas por Duarte (2015) e Brito (2007), além do risco
operacional que veremos adiante, contempla os seguintes riscos:
• Risco de Mercado: relacionado às variações no preço dos ativos financeiros
da empresa em função da volatilidade do mercado, seja no mercado
acionário, o valor do câmbio, das commodities e a taxa de juros;
• Risco de Crédito: não recebimento dos valores nos prazos e com a
remuneração contratada, podendo seus devedores ser pessoas físicas,
jurídicas, órgãos públicos, estados, municípios e até países, sendo que
nesses últimos casos podem ser chamados de riscos políticos, ou risco
país;
• Risco Legal: é o risco de descumprimento de um contrato ou legislação, não
só no seu aspecto financeiro, mas vinculado à ilegitimidade, ilegalidade,
falta de representatividade ou qualquer não conformidade que sujeite a
operação à anulação, multas ou inexigibilidade;
• Risco de Liquidez: não conseguir honrar os pagamentos no prazo
contratado, não exatamente por falta de patrimônio, mas por
impossibilidade de transformá-los em moeda, por má gestão do fluxo de
caixa de ativos e de passivos a médio e longo prazo.
16
1.3. Risco Operacional
O risco operacional , como o nome diz, está relacionado a qualquer
perda ocorrida na operação da empresa. Assim, sua conceituação é bastante
ampla. Pode ser dividido basicamente em 3 grandes conjuntos, conforme a
sua origem. O primeiro vinculado à gestão da empresa, seus processos,
políticas, regras, controles e estratégias; o segundo vinculado à sua estrutura
física e recursos operacionais propriamente ditos e o terceiro vinculado às
pessoas que atuam na empresa:
“a) Risco organizacional está relacionado com uma organização ineficiente, administração inconsistente e sem objetivos de longo prazo bem definidos, fluxo de informações internos e externos deficientes, responsabilidades mal definidas, fraudes, acesso a informações internas por parte de concorrentes, etc.
b) Risco de operações está relacionado com problemas como overloads de sistemas (telefonia, elétrico, computacional, etc.), processamento e armazenamento de dados passíveis de fraudes e erros, confirmações incorretas ou sem verificação criteriosa, etc.
c) Risco de pessoal está relacionado com problemas como empregados não qualificados e/ou pouco motivados, personalidade fraca, falsa ambição, ‘carreiristas’, etc.”
(Duarte, 2015, pg.4)
Outras classificações são possíveis, relativamente a riscos
operacionais, conforme área de atuação de empresa. Nas instituições
financeiras, além dos 3 grandes conjuntos abordadas anteriormente, GESTÃO,
OPERAÇÃO E PESSOAS, identificamos os fatores de riscos relativos a
EVENTOS EXTERNOS. Em Brito (2007, pg.46), ele define Risco Operacional,
“também como perdas decorrentes de eventos externos, por exemplo,
catástrofes, crises sociais, problemas com infraestrutura pública, crises
sistêmicas, entre outros” que possam afetar a operação e os resultados da
empresa. Tal definição é corroborada pelo Banco Central do Brasil, em
17
cumprimento às orientações do Comitê da Basiléia, que define risco
operacional como sendo:
“a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.
§ 1º A definição de que trata o caput inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.
§ 2º Entre os eventos de risco operacional, incluem-se:
I - fraudes internas;
II - fraudes externas;
III - demandas trabalhistas e segurança deficiente do local de trabalho;
IV - práticas inadequadas relativas a clientes, produtos e serviços;
V - danos a ativos físicos próprios ou em uso pela instituição;
VI - aqueles que acarretem a interrupção das atividades da instituição;
VII - falhas em sistemas de tecnologia da informação;
VIII - falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição.”
(BANCO CENTRAL, Resolução 3.380 de 29.06.2006, artigo 2º)
Observamos que esses quatro principais fatores de risco operacional
estão contemplados na definição de risco operacional de Duarte et al.(1999,
pgs. 8 a 14), na qual “O risco operacional pode ser definido como uma medida
numérica da incerteza dos retornos de uma instituição caso seus sistemas,
práticas e medidas de controle não sejam capazes de resistir a falhas
humanas, danos à infraestrutura de suporte, utilização indevida de modelos
matemáticos ou produtos, alterações no ambiente dos negócios, ou a situações
adversas de mercado”. Na sequência, apresenta sua classificação para esses
riscos, a qual resumo:
• Risco de Overload: sobrecarga da infraestrutura operacional, ou seja, não
suportar o volume de demanda, seja no sistema, na rede elétrica ou
telefônica ou na estrutura de atendimento.
18
• Risco de Obsolescência: máquinas, equipamentos, sistemas, tecnologias
ou processos se tornarem defasados em relação às versões atuais;
• Risco de Presteza e Confiabilidade: informações, produtos ou serviços não
estarem disponíveis, de forma confiável, em tempo hábil;
• Risco de Equipamento: falha ou defeito nas máquinas, equipamentos de
segurança, computadores, telefonia, rede elétrica, entre outros;
• Risco de Erro Não Intencional: vinculados ao erro humano por distração,
omissão ou negligência dos funcionários;
• Risco de Fraude: também vinculados a pessoas, que podem se aproveitar
de fragilidades nos processos, controles e ou sistemas, para
intencionalmente provocar um erro contra a empresa em troca de alguma
contrapartida, podem ser funcionários ou pessoas externas à empresa;
• Risco de Qualificação: decorrentes da falta de formação, competência e/ou
treinamento adequados à função desempenhada;
• Risco de Produtos & Serviços: produtos e serviços inadequados às
especificações ou às necessidades do cliente;
• Risco de Regulamentação: produtos e serviços inadequados à legislação ou
normativos internos;
• Risco de Modelagem: no desenvolvimento do projeto considerar premissas,
modelos matemáticos, regras ou dados inadequados;
• Risco de Liquidação Financeira: falha nos procedimentos e controles
envolvendo operações financeiras (pagamentos e recebimentos);
• Risco Sistêmico: alterações não previstas no ambiente operacional da
empresa, como mercados, clientes, fornecedores, legislações;
• Risco de Concentração (Operacional): risco da dependência de poucos
produtos, ou clientes, ou fornecedores.
19
Assim, podemos concluir que os itens 1, 2, 3 e 4 enquadram-se na
dimensão dos riscos relacionados à OPERAÇÃO, os itens 5, 7 e 11 referem-se
aos riscos relacionados às PESSOAS, os itens 8, 10 e 13 à GESTÃO e o item
9 e 12 é decorrente de EVENTOS EXTERNOS. Apesar de uma maior
vinculação a uma ou outra dimensão do risco operacional, a maioria deles pode
envolver mais de uma, com destaque para o item 6, relacionado às fraudes,
que pode ocorrer em decorrência de qualquer uma das dimensões, mas
também em decorrência da conjugação de todas elas.
Ainda encontramos na literatura outras classificações, como a
relativa aos Riscos Ambientais, normalmente vinculados à operação de
indústrias, e sujeitos a controles e exigências legais, sendo assim um risco
operacional relevante. Para atendimento às legislações de licenciamento, são
necessárias prévias análises e avaliações dos riscos prováveis (GALANTE,
2015, pg.39 a 41).
Outro risco operacional que vem ganhando destaque atualmente,
especialmente em função da facilidade de divulgação e acesso às informações,
é o Risco Reputacional, ou de Imagem, “decorrente da veiculação de
informações que afetam negativamente a imagem da instituição, colocando em
risco a realização de transações com esses clientes.” (BRITO, 2007, pg.46).
Nesse caso, a divulgação de informações que afetem a reputação da empresa
estará previamente associada a um ou mais fatores de risco principais já
abordados.
Assim, para fins de simplificação ao longo dessa monografia,
trataremos os riscos operacionais com base nos seus 4 principais fatores,
quais sejam, GESTÃO, OPERAÇÃO, PESSOAS e EVENTOS EXTERNOS.
20
CAPÍTULO II
GESTÃO DO RISCO OPERACIONAL
A teoria da administração já considera a avaliação dos riscos para
fins de planejamento operacional, de modo que as empresas possam atingir
seus objetivos com o tempo, recursos, riscos e controles previamente
estimados. Segundo MAXIMIANO (2004, p.201), “No processo de
planejamento operacional, os riscos devem ser identificados e analisados, para
possibilitar o planejamento de ações que reduzam sua ocorrência ou
minimizem suas consequências”. Assim, devidamente identificados e
mensurados, classificados conforme o grau de impacto decorrente da
conjugação entre probabilidade de ocorrência (frequência) e impacto gerado
(severidade), serão planejados os controles necessários para mitigar os riscos
mais relevantes. Nesse planejamento serão levados em conta o tempo e os
recursos disponíveis, inclusive para realizar os controles, para o atingimento
dos objetivos da empresa.
Mas a principal função dos controles é obter informações confiáveis
sobre o desempenho da empresa, e os desvios observados entre o
planejamento e a execução, para redirecionar a empresa em direção aos seus
objetivos, ou até mesmo rever seus objetivos estratégicos.
A gestão do risco é uma forma das empresas efetivarem seu
controle, posto que é o processo de identificar, avaliar, medir, controlar e
divulgar os eventos incertos, eliminando ou minimizando os que podem afetar
os recursos do sistema.
Segundo Galante (2015, pg. 47), “a gestão de risco pode ser
definida como o conjunto de cultura, processos e estruturas que são orientadas
para a realização de oportunidades potenciais, enquanto há o manejo dos
efeitos adversos”. Ou seja, além de evitar potenciais perdas e prejuízos, a
21
gestão de risco é uma ferramenta para transformar potenciais perdas em
oportunidades de melhorias.
Um dos grandes propulsores para a gestão dos riscos foi o acordo
firmado entre os bancos centrais do G10 (10 países com as maiores
economias mundiais) o Acordo de Basiléia, a partir do qual os signatários
observam as recomendações do BIS (The Bank for International Settlements,
da Basiléia, Suíça), que institui medidas para diminuição dos riscos intrínsecos
aos sistemas financeiros. Mesmo países não signatários, como o Brasil,
adotam por meio de seus Bancos Centrais as normatizações do BIS, visando
maior solidez de seu sistema financeiro e consequentemente melhor reputação
e aceitação no mercado internacional. Especificamente em relação à gestão do
risco operacional, em função das normatizações pelos Acordos de Basiléia,
passa a ser obrigatório, a partir de 2011, a alocação de capital específico para
os riscos operacionais identificados (BRITO, 2007, pg.46). Quanto menor o
risco operacional, menor a necessidade das instituições financeiras
imobilizarem seu capital, gerando a motivação dos acionistas em reduzir esse
risco.
Ressaltamos, contudo, que a gestão de risco operacional nas
instituições financeiras é diferenciada em relação à gestão de risco nas
indústrias.
Nas indústrias, o controle de riscos de produção precisa ser
monitorado por força de lei. Em relação aos Riscos Ambientais, o Conselho
Nacional de Meio Ambiente (CONAMA) é o responsável por normatizar o
licenciamento ambiental, de modo que, antes mesmo da indústria iniciar sua
operação, precisa ter seus riscos prováveis identificados, analisados, avaliados
e com um plano de controle e prevenção aprovado (GALANTE, 2015, pg.39 a
41). Relativamente à produção industrial, a gestão de risco vem sendo
implementada por meio de programas de qualidade, dentre os quais podemos
citar Total Quality Management (TQM), Seis Sigma (6σ) e Controle Estatístico
de Processo (CEP). (BRITO, 2007, pg.46). Assim, os riscos são monitorados e
22
mitigados de forma a ser atingido o máximo nível de qualidade e redução de
custos.
Comum a todos os campos de atuação, a gestão dos riscos da
segurança do trabalho e da saúde ocupacional é obrigatória para todas as
empresas e instituições que se subordinam à CLT (Consolidação das Leis do
Trabalho). É preciso observar as Normas Regulamentadoras (NRs), que
definem os padrões técnicos e legais de segurança e saúde ocupacionais.
Assim, as empresas precisam atuar na gestão desse risco para atender a
várias NRs, que determinam o estabelecimento de serviço especializado em
engenharia de segurança e medicina do trabalho (SESMT), comissão interna
de prevenção de acidentes (CIPA) , programa de controle médico e de saúde
ocupacional (PCMSO), programa de prevenção de riscos ambientais (PPRA),
definição de critérios para caracterização de atividades e operações insalubres,
e atividades e operações perigosas, que envolvem remuneração diferenciada
aos trabalhadores (GALANTE, 2015, pg.17 a 27).
Conforme artigo publicado no site da Fundação Dom Cabral (anexo
2), a gestão de risco é um item do Código das Melhores Práticas de
Governança Corporativa do Instituto Brasileiro de Governança Corporativa
(Código do IBGC), que visa a longevidade das corporações. Ao promover a
adequada identificação, mitigação e divulgação dos riscos às quais a empresa
está exposta, o valor da organização é aumentado e preservado, pois reduz a
percepção de risco por seus financiadores, seguradores e mercado.
Assim, todas as empresas atuam de alguma forma na gestão de
riscos operacionais. Para executar as atividades relacionadas à gestão de
risco, a alta administração das empresas precisa investir na cultura do controle
dos riscos e a participação de todos os seus funcionários é fundamental. Para
tanto, é preciso ter as regras, normas e padrões bem documentados,
sistematizados e divulgados em toda empresa. Brito (2007, pg.54) denomina
esse conjunto de “ambiente de riscos operacionais”.
Algumas empresas podem constituir estruturas específicas para
organização, centralização, divulgação e acompanhamento de todas as
23
atividades relacionadas ao processo de gestão dos riscos, a área de Controles
Internos, Conformidade (Compliance) e/ou a Auditoria, que pode ser interna,
externa ou ambas, para avaliar a eficácia do ambiente de controle interno.
Mas dependendo do porte da empresa, a gestão de risco e os
controles internos podem ser centralizados na alta administração por meio dos
relatórios e informações consolidados pelos diversos segmentos, de gestão de
pessoas, contábil, operacional, financeiro, etc.
2.1. O processo de Gestão de Riscos Operacionais:
O processo de gestão de riscos operacionais, assim como o de
outros riscos, deve observar algumas etapas preliminares de mapeamento dos
riscos, seguidas pela análise do cenário em que podem ocorrer, com
estimativas de sua frequência e abrangência, associando um planejamento
para tratamento dos riscos ocorridos e outro para mitigar a sua ocorrência.
A partir desse planejamento inicial, as ocorrências e suas
consequências precisam ser monitoradas, devidamente registradas e
reportadas, de modo a subsidiar as revisões futuras do plano de gestão de
riscos. A figura abaixo demonstra graficamente esse fluxo.
24
Figura 2 – O processo de Gestão de Risco baseado na ISSO 31000:2009
(GALANTE, 2015, p.50)
Importante ressaltar que o Processo de Gestão de Risco visa focar
nos riscos mais relevantes, que justifiquem o investimento em sua mitigação,
considerando que sempre há a necessidade de avaliação dos custos-
benefícios associados à cada decisão. Sempre haverá um nível de aceitação
de risco, mesmo que a meta seja aproximar-se da segurança operacional
máxima. Segundo Galante (2015, pgs. 51 a 62), o processo de gestão de
riscos operacionais se divide basicamente em quatro etapas principais:
• Identificação dos riscos: fase na qual todos os perigos precisam ser
elencados e o risco identificado conforme o cenário no qual estão inseridos.
A atenção principal nessa fase é não descartar nenhum risco em função de
uma prévia avaliação da sua baixa probabilidade de ocorrência, ou
ausência de ocorrências conhecidas, pois não existe imunidade a nenhum
risco. Se a sinistralidade é baixa, provavelmente a qualidade do fator
humano, do equipamento, dos sistemas, dos processos e da
regulamentação é alta, mas o risco precisa ser mapeado para evitar
alterações nesses fatores que aumentem ou a probabilidade ou a
severidade do risco. É crucial nesta fase a participação dos funcionários
envolvidos diretamente no processo, com uma cultura de gestão de risco
que evite resistências resultantes do medo de vinculação entre a existência
do risco à baixa qualidade do trabalho dos funcionários.
• Análise dos riscos: nesta etapa os riscos identificados são amplamente
discutidos visando o seu pleno entendimento, as suas possíveis causas e
consequências, são investigadas as ocorrências anteriores e todas as
outras possibilidades de novas ocorrências, buscando estimativas de
probabilidades e de severidade. Os participantes dessa etapa precisam ter
uma visão sistêmica do processo, dos subsistemas e suas inter-relações.
Nesta fase já são identificados os riscos mais relevantes que devem ser
aprofundados nas fases seguintes, de modo a otimizar os recursos
despendidos.
25
• Avaliação dos riscos: nesta fase, o objetivo é mensurar os riscos,
quantitativamente e/ou qualitativamente. Assim, procura-se estimar suas
probabilidades, frequências e impactos, de modo que seja possível
comparar os riscos e priorizá-los. Nesta fase também são avaliados os
níveis de aceitação de riscos. Com essas informações, é possível
selecionar os riscos mais relevantes e que estejam acima dos níveis de
aceitação de riscos para definir os investimentos necessários à sua
mitigação.
• Tratamento dos riscos: definidos os riscos prioritários, nesta etapa são
elaborados os planos de ação para mitigá-los, ou seja, evitar ou minimizar
sua ocorrência e/ou seus impactos. Ás vezes o risco não pode ser
reduzido, mas seus impactos sim. Logo, as possibilidades de tratamento de
um risco passam por eliminar ou reduzir a probabilidade de consumação do
risco; assumir o risco por um autosseguro (constituindo provisões, por
exemplo), transferir o risco para terceiros (por cláusulas contratuais, por
exemplo) ou contratando seguros. A definição sobre os riscos a mitigar e o
tratamento a ser dado precisa observar as exigências regulamentares e
legais.
2.2. Controles Internos, Compliance e Auditoria:
Para a execução do processo de Gestão de Riscos Operacionais, as
empresas podem constituir estruturas organizacionais específicas para definir e
aplicar as ferramentas de gestão, coordenando as áreas operacionais na
realização efetiva dos controles internos no seu cotidiano. E também são
necessárias funções específicas para acompanhar os riscos consumados,
consolidar e reportar os resultados obtidos e fomentar a mitigação dos riscos
mais relevantes.
Segundo Brito (2007), as instituições financeiras, por exemplo,
investem em estrutura de Controles Internos, ou Compliance, e em estruturas
de Auditorias. Tais estruturas, contudo, aplicam-se a quaisquer outras
empresas, como podemos observar pelas suas principais funções e atividades.
26
A área de Controles Internos normalmente participa da fase inicial do
processo. Inicialmente avalia se os processos estão corretamente descritos, se
estão previstas segregações de função, se estão atendidas as exigências
legais, coordena as atividades de identificação, análise e avaliação dos riscos
pelas áreas operacionais, promove a cultura de gestão de risco por meio de
programas de treinamento, padroniza os relatórios de ocorrências de falhas
operacionais, consolida e reporta os resultados à alta administração, auxilia as
áreas na elaboração dos planos de ação para mitigar os riscos mais relevantes
e acompanha sua execução.
Essa mesma estrutura pode assumir, ainda, as funções de
Compliance, ou Conformidade, que:
“tem a função de harmonizar os requerimentos reguladores com a estrutura organizacional da instituição, transformando leis, normas e padrões éticos em condutas corporativas, além dos procedimentos operacionais e atividades de treinamento específicas, com o objetivo de assim evitar sanções reguladoras. O objetivo é assegurar, em todos os casos, que as irregularidades sejam identificadas, reportadas e resolvidas tempestivamente, habilitando a corporação a apresentar aos órgãos reguladores, comprovações de que as suas instituições possuem organização, procedimentos e meios adequados às suas atividades”
(Brito, 2007, pg. 55)
Por outro lado, segundo Brito (2007, pg. 54), as estruturas de
Auditoria visam a verificação do cumprimento correto dos processos, das
normas, dos relatórios, dos controles e dos planos de ação que foram
determinados no processo de controle interno e atestar a fidedignidade das
informações financeiras e contábeis. E ainda, mesmo que todos os requisitos
estejam sendo cumpridos, deve avaliar se estão sendo eficazes na gestão dos
riscos, podendo identificar se os procedimentos e o sistema de controles
internos devem ser adaptados às novas circunstâncias.
Para efetividade do seu trabalho, portanto, é imprescindível que a
Auditoria seja independente e não tenha vinculação hierárquica com nenhuma
outra estrutura da organização, reportando-se diretamente à alta
administração, como seus Conselhos de Administração, por exemplo.
27
Contudo, é necessária a atuação em parceria com a estrutura de
Controles Internos. Segundo exposto no Anexo 4, ao estabelecer suas
atividades a auditoria “...deve estabelecer planos com base em análise de
risco para determinar as prioridades da atividade de auditoria interna,
consistentes com as metas da organização.” Ainda, segundo o mesmo anexo:
“A atividade de auditoria interna deve assistir à organização através da identificação e avaliação de exposições significativas a riscos e da contribuição para a melhoria dos sistemas de gerenciamento de riscos e de controle.
– A atividade de auditoria interna deve monitorar e avaliar a efetividade do sistema de gerenciamento de risco da organização.
– A atividade de auditoria interna deve avaliar os riscos de exposição no que diz respeito à governança corporativa da organização, operações e sistemas de informação relativos a:
• Confiabilidade e integridade das informações financeiras e operacionais.
• Efetividade e eficiência das operações.
• Salvaguarda do patrimônio.
• Obediência às leis, regulamentos e contratos.”
(anexo 4)
Assim, o resultado do trabalho da auditoria é fundamental para a
retroalimentação do processo de gestão de riscos operacionais, avaliando o
tratamento efetivo dado aos riscos mais relevantes identificados e apontando
os ajustes, necessários, subsidiando um novo ciclo de identificação, análise,
avaliação e tratamento dos riscos operacionais.
Por outro lado, segundo Brito (2007, pg. 56), a área de
Conformidade também auxilia a Auditoria, informando as regulamentações
mais relevantes e os riscos mais significativos identificados, fornecendo os
relatórios de controles e ocorrências, acompanhando o efetivo cumprimento
das recomendações de auditoria, auxiliando nas inspeções.
28
2.3. Falhas a evitar no processo de gestão de risco
Mesmo com estruturas e processos bem estabelecidos para a
gestão dos riscos operacionais, algumas organizações podem fracassar em
seus controles internos e incorrer em prejuízos relevantes que podem ameaçar
inclusive a perenidade da empresa.
Lições aprendidas com alguns fracassos são apresentadas por Brito
(2007, capítulo 4.10) e precisam ser observadas de modo que os investimentos
no processo de gestão de risco operacional não sejam desperdiçados por uma
falsa sensação de conforto em relação aos reais riscos da empresa. Quais
sejam:
• Omissão da administração, que implica em fraca cultura de gestão de
riscos: falta de coerência da alta gestão, em suas decisões, prioridades,
políticas de recompensa aos funcionários, cobranças de resultados, etc.
com os processos de gestão de risco implementados; sem esse foco da
administração, os funcionários também não ficarão comprometidos com
o cumprimento das ações cotidianas para mitigação do risco.
• Avaliação de risco inadequada: ao desprezar riscos atualmente com
baixa sinistralidade, ou não revisar a avaliação dos riscos e/ou os
processos de controle à medida que os normativos, cenários, produtos,
estruturas e recursos se alteram pode levar à ocorrência de riscos não
tratados;
• Atividades de controle insuficientes: centralizar funções de controle e
execução num mesmo responsável, ou centralizar funções conflitantes,
ou ausência de revisão pelos níveis superiores pode dificultar a
identificação do risco e de sua ocorrência.
• Falta de informação, comunicação restrita ou não-confiável: falhas na
divulgação das regras e responsabilidades, informações incorretas ou
não confiáveis ou insuficientes dificultam a mitigação do risco.
29
• Ausência de monitoramento: apesar de existirem, e serem cumpridos e
reportados os controles, os resultados podem não ser monitorados com
a frequência necessária pelos níveis superiores, ou monitoradas por
profissionais que não tenham a visão geral dos processos operacionais
e, portanto, não conseguem vislumbrar adequadamente os riscos.
30
CAPÍTULO III
FERRAMENTAS PARA GESTÃO DO RISCO
OPERACIONAL
As ferramentas para gestão de risco operacional são modelos e
esquemas que visam apoiar a análise do risco, e por meio do princípio da
compartimentação, propiciar a compreensão completa do risco, passando
pelos processos e subprocessos em que ele possa ocorrer, identificando
possíveis causas, estimando sua frequência, probabilidade e dano, com base
em cenários pré-estabelecidos. Ao analisar e avaliar os riscos de forma
sistêmica, eles poderão ser mensurados e priorizados para que seja possível
definir as melhores formas de mitigação.
Segundo Galante (2015, Capítulo 5), as ferramentas de gestão de
risco operacional podem ser classificadas simultaneamente em duas categorias
de análise, uma em relação aos resultados obtidos e outra em relação à forma
de análise:
• Qualitativa ou quantitativa;
• Em planilha ou em árvore.
Na análise qualitativa, o risco é avaliado por suas características,
mas sem mensuração de suas características de sua frequência, probabilidade
ou dano. Assim, falham em estabelecer as prioridades entre os riscos.
Na análise quantitativa, essas características podem ser
mensuradas em números. É, portanto, sempre preferível em relação à análise
qualitativa. Essa análise, contudo, só é possível quando há um registro
histórico das ocorrências do risco que possibilitem essa mensuração.
Sobre o outro aspecto, que é a forma de análise, o esquema em
árvores foca-se na determinação da cadeia de eventos que levam ao risco,
31
podendo ser utilizada, inclusive, uma abordagem estatística, com apuração de
médias e desvios padrão das ocorrências em estudo. Essa análise em árvore
foca na estimativa de frequências e probabilidades, não abordando a
severidade dos danos.
A análise em planilha avalia o processo no qual o risco pode ocorrer
e avalia em cada “nó” do fluxograma a probabilidade e severidade do risco. Um
“nó” do processo é uma etapa ou um ponto notável do processo, que pode ser
utilizado como ponto de corte para a avaliação do risco.
Uma combinação das metodologias de árvore e planilha, mais
abrangente e flexível, é denominada de esquema Matricial.
A seguir serão citadas algumas ferramentas, mas destaca-se que as
mesmas podem e devem ser adaptadas, conforme o tipo de risco e processo,
conforme evolui a maturidade do processo de gestão do risco operacional e se
consolidam as informações.
Em qualquer caso, as ferramentas de gestão de risco devem ser
aplicadas por profissionais experientes no processo sob análise e por outros
qualificados em gestão de risco, pois pior que um risco não tratado é aquele
tratado de forma indevida, gerando uma falsa sensação de que está mitigado.
3.1 Mapa de Riscos
Essa é uma ferramenta obrigatória para identificação de riscos dos
ambientes e dos locais de trabalho (Lei 6.514/77 e Norma Reguladora 5). Nas
empresas com mais de 19 funcionários, é a CIPA – Comissão Interna de
Prevenção de Acidentes, a responsável por elabora o Mapa de Riscos.
Atualmente não há mais um padrão para o Mapa de Risco, mas
essa ferramenta visa avaliar o tipo de risco e grau de severidade,
qualitativamente.
32
Alguns padrões que vigoraram anteriormente, ainda são adotados. A
identificação visual das diversas classes de risco, por cores, é um exemplo. As
classes de risco de ambiente de trabalho podem ser:
• Riscos Físicos: verde,
• Riscos Químicos: vermelho;
• Riscos Biológicos: marrom;
• Riscos Ergonômicos: amarelo;
• Riscos de Acidentes: azul.
A tabela abaixo lista os riscos associados a cada classe:
Figura 3 – Tabela das Classes de Risco (GALANTE, 2015, p.99)
33
Segundo a legislação, os riscos físicos, químicos e biológicos, se
identificados, podem gerar o pagamento do adicional de insalubridade ou de
periculosidade.
Para melhor mensuração dos riscos, seria necessário associar
outras ferramentas, pois esta visa apenas a identificação e normalmente os
membros da CIPA apenas classificam os riscos identificados como PEQUENO,
MÉDIO ou GRANDE.
3.2 Matriz de Relevância
A Matriz de Relevância é uma ferramenta que permite priorizar os
diversos riscos e, segundo Galante (2015, pg. 101), “fundamenta-se no
conceito de risco como uma função da sua gravidade e da probabilidade de
ocorrência”.
Sua aplicação baseia-se numa matriz (figura 4) na qual cada setor
da empresa (S) é uma linha e as colunas são os riscos identificados (H). A
cada setor é associada a quantidade de trabalhadores expostos aos riscos (W).
Para cada binômio setor/risco, é estabelecido um Código de Risco
(R), que é um valor numérico definido com base na percepção de risco, no
limite de tolerância pré-definido e no nível de ação contra o risco, que na
legislação brasileira é 50% do limite de tolerância. Assim, o Código de Risco
pode assumir os seguintes valores:
0 – risco inexistente no setor estudado;
1 – exposição ocorre ocasionalmente, abaixo do nível de ação;
3 – exposição ocorre continuamente, mas abaixo do nível de ação;
6 – nível de exposição acima do nível de ação;
9 – o nível de exposição encontra-se acima do limite de tolerância.
34
Preenchidos o Código de Risco para cada setor e cada risco,
calculam-se as “frequências de risco”, para cada Risco (H), ou seja, para cada
coluna somam-se os produtos da quantidade de trabalhadores pelo código de
Risco (Wi*Rij), chegando à “frequência do risco” (fHj). Somando-se todas as
“frequências de risco”, obtém-se a “frequência global de risco”, que será
utilizada para calcular as “relevâncias” de cada risco (%Hj), que é a
percentagem que cada risco representa no total.
Concluída a análise por risco, passamos à análise por setor,
repetindo basicamente o mesmo processo, dessa vez por linha. Calculam-se
as “frequências de exposição”, para cada Setor (S), somam-se os produtos da
quantidade de trabalhadores pelo código de Risco (Wi*Rij), chegando à
“frequência de exposição” (fSi). Somando-se todas as “frequências de
exposição”, obtém-se a “frequência global de exposição”, a que está sujeita
cada setor, que será utilizada para calcular as “relevâncias” de cada setor
(%Sj), que é a percentagem que cada setor representa no total.
A matriz plenamente preenchida é apresentada abaixo. Com os
valores numéricos obtidos em cada empresa e processo é possível identificar
os riscos mais relevantes (maiores %Hj) e os setores mais expostos (maiores
%Sj), permitindo que os investimentos em mitigação sejam melhor
direcionados.
Figura 4 – Matriz de Relevância (GALANTE, 2015, p.107)
35
3.3 Estudo de Causas e Efeitos
Como o nome diz, essa metodologia de análise do risco visa
identificar, dentro de um processo sujeito a um ou mais riscos, qual a
sequência de eventos pode levar à efetivação do risco principal e a eventuais
danos. Essa relação de causa e efeito é uma análise em árvore, construída
com base em perguntas que visam identificar o que ocorre se um determinado
evento ocorrer.
A aplicação desta ferramenta de Estudo de Causa e Efeitos,
segundo Galante (2015, cap. 8), é feita em quatro etapas:
Etapa 00 - Discussão do Problema: identificado previamente o risco, os
membros da equipe envolvida no processo e na gestão de riscos identifica em
um brainstorming as possíveis causas que podem levar à realização do risco e
as suas possíveis consequências, construindo um relatório preliminar de
causas e efeitos;
Etapa 01 – Causas e Efeitos: com base no resultado da Etapa 00, evolui-se na
análise criteriosa dos riscos, de modo a ordenar as ideias preliminares em
EVENTOS, CAUSAS, EFEITOS e IRRELEVANTES.
Etapa 02 – Diagrama de Blocos: nesta fase, as causas e respectivos efeitos
são ordenados de modo que é possível visualizar e mitigar o primeiro evento
que gera ou deflagra todos os demais eventos que culminam no risco principal.
Etapa 03 – Medidas Mitigadoras – utilizando-se o Diagrama de Blocos,
identificam-se os pontos críticos que necessitam ser tratados para evitar a
ocorrência do risco.
Na figura abaixo, apresenta-se um exemplo do Diagrama de
Blocos, com as Medidas Mitigadoras, resultado da aplicação da metodologia de
Estudo de Causas e Efeitos.
36
Figura 5 – Diagrama de Blocos do Estudo de Causas e Efeitos (GALANTE,
2015, p.116)
3.4 Análise Probabilística de Segurança (APS)
Assim como o Estudo de Causas e Efeitos, essa ferramenta é uma
análise em árvore que também “procura relacionar o conjunto de falhas que
ocasionariam o evento indesejado, calculando a probabilidade de este sinistro
acontecer.” (GALANTE, 2015, pg. 119).
Observa-se que esta ferramenta não é só qualitativa, pois também
contempla o aspecto quantitativo, decorrente do cálculo da probabilidade de
ocorrência do sinistro. Assim, para que possa ser mais eficaz, é necessária a
existência dos registros de falhas.
Essa ferramenta é comumente utilizada em sistemas complexos e
de alta tecnologia, no qual as falhas dos componentes ou sistemas podem ser
mensuradas e evitados:
37
“A APS tem que ser realizada de forma que possa assegurar
que um sistema analisado terá confiança para cumprir os seus
objetivos de segurança e demonstrar que o projeto escolhido
consegue manter a segurança mesmo frente a desvios dos
sistemas sem aumentar o risco total de forma exagerada. A
APS é considerada uma ferramenta importante para garantir a
segurança da planta em relação aos potenciais eventos
iniciadores que podem ser causados por falhas de
componentes e erros humanos, influenciados tanto por fatores
internos quanto externos.” (DA SILVA, 2015, pg. 2)
A mensuração das probabilidades é feita por álgebra Booleana,
na qual são possíveis apenas 2 valores, como por exemplo, sim ou não, 0 ou 1,
sucesso ou fracasso, verdadeiro ou falso. Assim, a árvore de eventos é
construída com o sequenciamento dos eventos e a probabilidade é calculada
pela conjugação dos resultados possíveis, utilizando-se a ciência estatística.
3.5 Análise Preliminar de Risco (APR)
Esta ferramenta apresenta-se uma pouco mais completa em relação
às anteriores porque conjuga vários critérios que visam identificar, analisar,
avaliar e classificar os riscos. Para tanto, o risco é decomposto em frequência
e severidade e essas variáveis são avaliadas de forma independente.
O valor atribuído à frequência e o valor atribuído à severidade das
consequências, são ponderados para chegar ao valor RAC – Risk Assessment
Code (código de gradação do risco). Para avaliar essas variáveis, é necessário
considerar o cenário no qual o risco pode ocorrer.
Inicialmente é necessário estabelecer as tabelas com parâmetros
numéricos para as frequências e outra para o nível de severidade. Uma
sugestão é apresentada por Galante (2015, pg.127), mas essas faixas podem e
devem ser ajustadas conforme o processo e risco em análise.
38
CATEGORIA DENOMINAÇÃO DESCRIÇÃO FAIXA DE FREQUÊNCIA
A IMPROVÁVEL Extremamente improvável, podendo ser considerado que o evento não ocorrerá
Menor que 10-6
B REMOTA Improvável, mas possível de ocorrer na vida útil do item / processo
Entre 10-6 e 10-3
C OCASIONAL Esperado de ocorrer durante a vida útil do item / processo
Entre 10-3 e 10-2
D PROVÁVEL Ocorrerá várias vezes durante a vida útil de um item / processo
Entre 10-2 e 10-1
E FREQUENTE Provável de ocorrer diversas vezes durante a vida útil de um item / processo
Superior a 10-1
Figura 6 – Tabela de Categorias de Frequência (GALANTE, 2015, p.127)
CATEGORIA DENOMINAÇÃO DESCRIÇÃO FAIXA DE VALOR
I CATASTRÓFICA Podem provocar mortes, lesões graves com incapacitação permanente, ou danos severos ao e irreparáveis ao meio ambiente, que viole Lei ou regulamento.
Superior a 1 milhão
II CRÍTICA Podem provocar lesões graves com incapacitação parcial, ou doença ocupacional que resulte em hospitalização de ao menos 3 pessoas, ou danos irreparáveis ao meio ambiente, que viole Lei ou regulamento
Entre 200 mil e 1 milhão
III MARGINAL Podem provocar lesões ou doença ocupacional que resulte em um ou mais dias não trabalhados, ou danos mitigáveis ao meio ambiente, sem violação de Lei ou regulamento, onde as atividades podem ser restabelecidas
Entre 10 mil e 200 mil
IV DESPREZÍVEL Podem provocar lesões ou doença ocupacional que não resulte em prejuízo em dias de trabalho, ou danos ambientais mínimos, sem violação de Lei ou regulamento.
Entre 2 mil e 10 mil
Figura 7 – Tabela de Categorias de Severidade (GALANTE, 2015, p.127)
39
A partir da conjugação das categorias de frequência e severidade, é
possível observar o valor atribuído ao risco e sua prioridade.
SEVERIDADE FREQUÊNCIA
A B C D E
I 12 8 4 2 1
II 15 10 6 5 3
III 17 14 11 9 7
IV 20 19 18 16 13
Figura 8 – Matriz de Risco - Prioridades (GALANTE, 2015, p.128)
PRIORIDADE (RISCO) CATEGORIA DE RISCO INDICAÇÃO
De 1 a 5 Alto Vermelho
De 6 a 9 Sério Laranja
De 10 a 17 Médio Amarelo
De 18 a 20 Baixo Verde
Figura 9 – Legenda da Matriz de Risco (GALANTE, 2015, p.128)
Após todos os levantamentos e avaliações, as informações podem
ser consolidadas numa matriz completa, incluindo as recomendações para
tratar os riscos identificados como prioritários, após a conjugação da
severidade e frequência dos riscos identificados, conforme exemplo abaixo:
40
Figura 10 – Exemplo da aplicação da APR (GALANTE, 2015, p.140)
O modelo basicamente organiza as informações para concluir que o
risco que causa danos muito severos e tem uma previsão de maior ocorrência
deve ser prioritário em relação a outro, que pode até ser mais severo, mas com
possibilidade remota de ocorrência. Essa ferramenta é usualmente aplicada em
etapas iniciais de projetos ou em reavaliações periódicas da segurança de
sistemas e/ou instalações já em operação.
3.6 Estudo de Perigos e Operabilidade (HazOp)
A ferramenta de gestão de risco HazOp (Hazard and Operability
Study) utiliza análise em árvore, e portanto traz resultados qualitativos sobre
possíveis desvios operacionais nos processos, equipamentos ou sistemas que
possam, não só causar danos aos empregados, fábricas e ambientes, mas
também comprometer o fluxo da operação e/ou perdas decorrentes da falta da
qualidade esperada em relação à especificação.
Sua metodologia consiste em aplicar perguntas baseadas em
“palavras-guia” de modo a identificar os desvios do processo, considerando
alguns de seus parâmetros. Para tanto, é pré-requisito a existência de
fluxogramas, esquemas e especificações detalhados e a participação de
equipe multidisciplinar com conhecimento do funcionamento da operação, dos
resultados esperados e de todas as anomalias possíveis.
41
Essa ferramenta é mais indicada para riscos relacionados a
processos contínuos, nos quais possam ser identificados “nós” para análise
dos parâmetros.
A tabela abaixo exemplifica uma lista de parâmetros, palavras-guia e
possíveis desvios, que devem ser conjugados visando um raciocínio
abrangente para detectar todo e qualquer problema possível:
Figura 11 – Lista de Desvios para HazOp (GALANTE, 2015, p.147)
Após análise do processo, os resultados são documentados para
orientar a forma de identificação e tratamento dos desvios, conforme
exemplificado na planilha abaixo:
42
Figura 12 – Planilha de HazOp (GALANTE, 2015, p.148)
3.7 Políticas e Práticas para o ambiente de Gestão de Riscos
As ferramentas anteriores visam às etapas da identificação, análise
e avaliação de riscos, objetivando identificar os riscos mais relevantes que
merecerão tratamento. Existem outras ferramentas e modelos matemáticos de
maior complexidade que podem ser utilizados e agregados conforme
especificidades do risco em estudo.
Elas podem e devem ser aplicadas de forma conjugada, propiciando
o aprofundamento da análise, da mensuração e da mitigação do risco, para
aqueles que vão sendo identificados como mais prováveis e danosos. O
esquema apresentado na figura abaixo exemplifica a conjugação de diversas
ferramentas de gestão de risco para uma visão ampla do risco da empresa:
43
Figura 13 – Metodologia de Avaliação Completa de Riscos (GALANTE, 2015,
p.93)
Contudo, o processo de gestão de riscos operacionais precisa
ocorrer no cotidiano das empresas, e para isso, algumas políticas e práticas
precisam ser implementadas nas organizações para efetivar a cultura de
gestão de risco.
44
Segundo Brito (2007, capítulo 7), a gestão de risco passa por um
processo integrado de gestão, que permeia toda organização.
Inicia-se no recrutamento e seleção dos profissionais qualificados
para exercerem as suas funções. Pressupõe a realização de treinamentos para
constante aperfeiçoamento dos quadros, e um justo processo de avaliação de
desempenho e recompensa aos funcionários.
As responsabilidades, processos, alçadas, acessos e segregação de
funções precisam estar bem definidos, atualizados e comunicados a todos.
Os sistemas operacionais precisam contemplar esses requisitos e
serem permanentemente adequados às alterações do ambiente (normativos,
produtos, etc.). Devem prever a formação de base de dados com históricos de
ocorrências de riscos e as perdas associadas, o cálculo de indicadores de
desempenho para subsidiar as revisões das avaliações de risco.
A estrutura responsável pela gestão de risco deve estabelecer
conjuntamente com as áreas operacionais e a alta administração os níveis de
aceitação de risco, comunicá-los e acompanhá-los nos diversos níveis
hierárquicos, já que o risco é intrínseco a todas as atividades.
Todas as operações precisam ser corretamente documentadas, e o
seu registro armazenado de forma acessível pelos responsáveis pelo seu
controle.
As condutas éticas esperadas precisam estar formalizadas e claras
para todos os funcionários.
A conjugação dessas práticas e políticas, que é a maior ferramenta
para a criação de um ambiente de gestão de risco, a organização estará mais
próxima do objetivo final de minimizar as ocorrências de efetivação do risco e
de sofrer as perdas associadas, mantendo ou melhorando sua posição no
mercado.
45
CAPÍTULO IV
AVALIAÇÃO DOS CUSTOS E BENEFÍCIOS DA GESTÃO
DO RISCO OPERACIONAL
Conforme descrito nos capítulos anteriores, a Gestão do Risco
Operacional envolve a necessidade de investimentos e a mudança de cultura
na organização. Também observa-se grande diversidade de riscos, impactos e
regras que são determinantes no nível de gestão de risco que a empresa irá
adotar. A mensuração desses critérios, custos e benefícios, portanto, é muito
variável. Contudo, abordamos a seguir alguns aspectos comuns a todas as
empresas.
4.1. Critérios para aplicabilidade da Gestão de Risco
Operacional
Conforme foi visto no desenvolvimento deste trabalho, todas as
empresas precisam implantar algum nível de gestão de risco operacional, por
exigências legais, no mínimo de ordem trabalhista. Contudo, para definição da
aplicabilidade da gestão de risco operacional nas empresas, de forma eficiente,
e compatível com as necessidades da organização, deve-se observar os
seguintes critérios:
• a atividade da empresa e sua exposição aos riscos operacionais:
quanto maior a exposição, maior o investimento;
• a sua estrutura financeira e a sua capacidade de investimento: quanto
maior a estrutura, maior o investimento;
• as exigências legais do seu segmento relativamente ao controle dos
riscos operacionais: se a legislação exigir, os investimentos serão
obrigatórios. Nesse caso estão as empresas de capital aberto, com
ações na Bolsa de Valores, que devem seguir as regras da CVM
46
(Comissão de Valores Mobiliários), se possuir ações negociadas nos
Estados Unidos da América, deverá seguir a SOX (Lei Sarbanes-
Oxley), seguradoras devem seguir regras da SUSEP, instituições
financeiras devem cumprir a regulamentação do Banco Central do
Brasil e observar o Acordo de Basiléia, regulamentados pelo Banco
Central, e todas as empresas devem observar os aspectos
relacionados aos riscos ambientais, segurança e medicina do trabalho
impostos pela CLT. (ASSI, pg.7 e GALANTE, 2015, capítulo I)
• o grau de automatização dos seus processos e a qualificação dos
seus funcionários: se a empresa estiver bem estruturada e com
funcionários bem qualificados, a exposição ao risco tende a ser menor
e também o investimento. Contudo, no caso contrário, o investimento
na estruturação da empresa será indispensável para sua
sobrevivência no mercado, ou seja, transcenderá a necessidade
apenas da gestão do risco;
• o tamanho e complexidade da organização e/ou de seus produtos:
quanto maiores, mais complexa a estruturação do processo de gestão
de riscos e controles internos, pois serão mais necessários. (ASSI, pg.
12).
4.2. Principais custos decorrentes da Gestão do Risco
Operacional:
A estruturação de um processo de gestão dos riscos operacionais,
exige alguns pré-requisitos e, portanto, são necessários investimentos iniciais e
outros, contínuos, para a manutenção permanente dos controles internos que
irão acompanhar a evolução dos riscos e execução dos controles. A alta
administração precisa transmitir de forma clara aos seus empregados a
relevância e necessidade da cultura de risco e é necessária uma qualificação
técnica específica para elaboração dos processos, normativos, aplicação das
ferramentas de gestão de risco e acompanhamento do processo.
47
“O controle interno pode ter custo sim, mas esse custo dependerá do
modo como o controle é realizado. É possível implementar um sistema de
controles internos com os recursos existentes. Para isso, basta identificar as
fragilidades nos processos e aplicar alguns controles.” (ASSI, 2012, pg. 6)
Inicialmente será necessário dedicar tempo de profissionais
experientes e comprometidos na análise e avaliação dos riscos, que possam
identificar formas eficazes de mitigar o risco, ou seja, muito eficientes com o
menor custo possível. Caso a empresa não possua expertise no assunto, ou
esteja com sua estrutura organizacional muito pouco estruturada, poderão
ocorrer custos para contratação de consultorias para prévio desenho dos
processos, normativos, manuais, alçadas. Somente com esse arcabouço
concluído poderão ser aplicadas as ferramentas de gestão do risco
operacional, que também podem exigir contratação de profissionais
especializados, temporários ou não.
Para estabelecer um ambiente de gestão de risco e controles
internos, também será necessário investir em treinamentos para todos os
empregados.
Adicionalmente será necessário definir sobre a estrutura necessária
para os Controles Internos e Auditorias, de modo a garantir que todos os
controles identificados e definidos sejam efetivamente realizados, fazendo com
que o investimento na gestão do risco operacional reverta em melhoria efetiva
da organização.
Caso os resultados das ferramentas de gestão de risco operacional
apontem muitos riscos relevantes, a organização precisará iniciar os
investimentos em sua mitigação, que podem ser reformulação de
equipamentos industriais, desenvolvimento de novos sistemas ou outros
aspectos de infraestrutura que podem ser bem custosos.
Os valores relacionados ao custo da gestão do risco operacional
estarão diretamente relacionados aos critérios para sua aplicabilidade,
relacionados no item 4.1 acima.
48
4.3. Principais benefícios decorrentes da Gestão do Risco
Operacional:
Segundo ASSI (2012, pg. 97), os ganhos decorrentes da gestão do
risco operacional e do controle interno são difíceis de mensurar, pois
normalmente controlamos e medimos os riscos decorridos. Esses geram
efetivamente custos, despesas, indenizações, perdas, etc. Mas como
demonstrar o ganho sobre os incidentes que não ocorrem, aqueles que foram
evitados pela sua correta identificação, avaliação e mitigação? Para que
possam ser efetivamente medidos esses benefícios, será necessário mudar a
cultura vigente para que os gestores busquem novas formas de reportar seus
resultados, explicitando aqueles decorrentes de controles eficazes.
Contudo, sabemos que “a ausência deles pode causar danos
irreparáveis a qualquer organização ou empresa, e os riscos podem aflorar em
seus demonstrativos financeiros e no caixa da empresa” (ASSI, 2012, pg. 11).
Assim, podemos relacionar como principais benefícios da gestão de
risco operacional e respectivos controles internos:
• evitar erros, fraudes e desperdícios;
• evitar pagamento de multas por descumprimento de legislações e normas
técnicas;
• evitar indenizações judiciais, ou não, por danos causados aos empregados,
terceiros ou meio-ambiente;
• otimizar os processos, tornando-os não só mais seguros, mas também mais
produtivos;
• identificar oportunidades de melhorias e novos investimentos;
• tornar as informações e produtos, e consequentemente a organização, mais
confiáveis para o mercado, clientes e investidores, aumentando seu valor.
Além desses benefícios mais objetivos, a implementação de
melhorias nos processos, em decorrência dos resultados da gestão do risco
operacional, trazem ganhos intangíveis pelo aumento da produtividade e
qualidade final dos produtos ou serviços gerados na organização.
49
Adicionalmente, ao se estabelecer a cultura de gestão de risco e dos
controles internos em todos os níveis hierárquicos, é estimulado, em cada
empregado, o senso crítico sobre o processo, seus riscos e melhorias
possíveis para evitá-los, o que gera um ciclo virtuoso de aperfeiçoamento
contínuo e motivação nos empregados, pois eles entendem que identificar e
apontar fragilidades no processo sob sua condução não é motivo de demérito
em um ambiente de gestão de risco.
50
CONCLUSÃO
Ao estudar os riscos operacionais e as metodologias disponíveis
para sua gestão, foi possível avaliar as condições necessárias e as dificuldades
para implantação da gestão de risco operacional.
Inicialmente verificamos a diversidade de conceitos de risco, em
especial do risco operacional, que envolve a interação de 4 principais fatores,
quais sejam, GESTÃO, OPERAÇÃO, PESSOAS e EVENTOS EXTERNOS.
Apesar de toda essa diversidade, todas as empresas atuam de
alguma forma na gestão de riscos operacionais, minimamente para cumprir
exigências legais de ordem trabalhista, além de outros requisitos exigidos pelo
seu ramo de atuação.
Como requisito mínimo para implementar um processo de gestão de
risco, a alta administração das empresas precisa patrocinar uma cultura
propícia à gestão dos riscos, com a participação de todos os seus funcionários
e com regras, normas e padrões bem definidos e comunicados por toda
empresa. Somente assim será possível aplicar as ferramentas de gestão do
risco operacional e cumprir as quatro etapas principais do processo:
• Identificação dos riscos:
• Análise dos riscos:
• Avaliação dos riscos:
• Tratamento dos riscos:
Assim, ratificou-se a hipótese de que os critérios para aplicabilidade
da gestão de risco nas empresas variam conforme o ramo de negócio e a
atividade da empresa, que podem implicar em maior ou menor exposição a
riscos operacionais e maiores ou menores exigências legais. Confirmou-se
também que empresas com melhor estrutura financeira e capacidade de
investimento terão maior possibilidade de utilizar a gestão de riscos
operacionais como propulsor de melhorias estratégicas em seu negócio. E,
51
ainda, constatou-se que empresas com baixo nível de estruturação de seus
processos, sistemas, normativos e qualificação profissional precisam investir na
sua gestão para garantir sua perenidade no mercado.
Por todos esses aspectos, verificou-se que é possível mensurar
apenas parte dos custos e dos benefícios decorrentes da gestão do risco
operacional, posto que muitos deles são intangíveis. E que não há uma
metodologia única para essa mensuração, em função da diversidade de fatores
e aspectos envolvidos na gestão do risco operacional e que variam de empresa
para empresa.
52
BIBLIOGRAFIA
ABNT. Apresentação de relatórios técnico-científicos. Rio de Janeiro, 2001.
ABNT. Referências Bibliográficas. Rio de Janeiro, 2001.
ABNT. Apresentação de citações em documentos. Rio de Janeiro, 2001.
ABNT NBR ISO 31000:2009 Gestão de Riscos, Princípios e Diretrizes. Rio de Janeiro, 2009
ASSI, Marcos. Gestão de Riscos Com Controles Internos. Saint Paul, São Paulo, 2012
BANCO CENTRAL DO BRASIL. RESOLUÇÃO N° 3.380 de 29/06/2006.
BRITO, Osias. Gestão De Riscos - Uma Abordagem Orientada A Riscos Operacionais - 1ª Edição. Editora Saraiva, São Paulo, 2007.
CALDART, Paulo Roberto. Matemática Atuarial e Teoria Matemática do Seguro
DAMODARAN, Aswath. Gestão Estratégica do Risco – Uma Referência para a Tomada de Riscos Empresariais, Wharton School Publishing-Bookman, 2008 https://books.google.com.br/books?id=SAC_xaM8-wQC&printsec=frontcover&hl =pt-BR&source=gbs_ge_summary_r&cad=0#v=onepage &q&f=false , acessado em 29/11/2015
DA SILVA, Thiago Padilha. Metodologia para a Determinação da Frequência de Degradação do Núcleo de uma Instalação Propulsora Nuclear de um Submarino , UFRJ/ESCOLA POLITÉCNICA, Rio de Janeiro, 2015.
DUARTE Jr. A.M; PINHEIRO F.A.P; JORDÃO M.R.; e N.T.Bastos, Gerenciamento de Riscos Corporativos: Classificação, Definições e Exemplos. Resenha BM&F, 134, 45-52, 1999.
DUARTE Jr. A.M. A Importância do Gerenciamento de Riscos Corporativos em Gestão de Riscos no Brasil (organizadores: DUARTE Jr., A.M e VARGA, G.) Editora FCE, Rio de Janeiro, 2003.
http://lojavirtual.bmf.com.br/LojaIE/Portal/Pages/Publicacoes/Resenhas/arquivos/143/art03_143.pdf acessado em 09/01/2016.
DUARTE Jr. A.M. Risco: Definições, Tipos, Medição e Recomendações para seu Gerenciamento. http://docslide.com.br/documents/risco-definicoes-tipos-medicoes-e-recomendacoes-para-o-seu-gerenciamento.html acessado em 13/12/2015.
GALANTE, Erick. Princípios da Gestão de Risco. Appris, Curitiba, 2015
53
LAROSA, Marco Antônio; AYRES, Fernando Arduini. Como Produzir uma Monografia Passo a Passo...Siga o mapa da mina. Rio de Janeiro, A Vez do Mestre, 2010.
MAXIMIANO, Antônio. Introdução à Administração – 6ª Edição Revista e Ampliada. São Paulo: Atlas, 2004 (Capítulo 8 e 16)
REVISTA GESTÃO UNIVERSITÁRIA, Controle Interno Vs Auditoria Interna: Uma Reflexão Sobre seus Procedimentos & Objetivos, Artigo de 14/07/2014, http://gestaouniversitaria.com.br/artigos/controle-interno-vs-auditoria-interna-uma-reflexao-sobre-seus-procedimentos-objetivos# acessado em 03/01/2015
54
ÍNDICE
FOLHA DE ROSTO 01 AGRADECIMENTOS 03 DEDICATÓRIA 04 RESUMO 05 METODOLOGIA 06 SUMÁRIO 07 INTRODUÇÃO 08 CAPÍTULO I RISCO OPERACIONAL 10 1.1. Definição de Risco e suas Origens 10 1.2. Principais tipos de Risco 14 1.3. Risco Operacional 16 CAPÍTULO II GESTÃO DO RISCO OPERACIONAL 20 2.1. O processo de Gestão de Riscos Operacionais 23 2.2. Controles Internos, Compliance e Auditoria 25 2.3. Falhas a evitar no processo de gestão de risco 28 CAPÍTULO III FERRAMENTAS PARA GESTÃO DO RISCO OPERACIONAL 30 3.1. Mapa de Riscos 31 3.2. Matriz de Relevância 33 3.3. Estudo de Causas e Efeitos 35 3.4. Análise Probabilística de Segurança (APS) 36 3.5. Análise Preliminar de Risco (APR) 37 3.6. Estudo de Perigos e Operabilidade (HazOp) 40 3.7. Políticas e Práticas para o ambiente de Gestão de Riscos 42 CAPÍTULO IV AVALIAÇÃO DOS CUSTOS E BENEFÍCIOS DA GESTÃO DO RISCO OPERACIONAL 45 4.1. Critérios para aplicabilidade da Gestão de Risco Operacional 45 4.2. Principais custos decorrentes da Gestão do Risco Operacional 46 4.3. Principais benefícios decorrentes da Gestão do Risco Operacional 48 CONCLUSÃO 50 BIBLIOGRAFIA 52 ÍNDICE 54 ÍNDICE DE FIGURAS 55 ANEXOS 56
55
ÍNDICE DE FIGURAS
Figura 1 – Frequência x Severidade 14
Figura 2 – O processo de Gestão de Risco baseado na ISSO 31000:2009 23
Figura 3 – Tabela das Classes de Risco 32
Figura 4 – Matriz de Relevância 34
Figura 5 – Diagrama de Blocos do Estudo de Causas e Efeitos 36
Figura 6 – Tabela de Categorias de Frequência 38
Figura 7 – Tabela de Categorias de Severidade 38
Figura 8 – Matriz de Risco - Prioridades 39
Figura 9 – Legenda da Matriz de Risco 39
Figura 10 – Exemplo da aplicação da APR 40
Figura 11 – Lista de Desvios para HazOp 41
Figura 12 – Planilha de HazOp 42
Figura 13 – Metodologia de Avaliação Completa de Riscos 43
56
ANEXOS
Índice de anexos
Anexo 1 >> Internet - Site WIKILIVROS – Introdução à Atuária
Anexo 2 >> Internet - Site da Fundação Dom Cabral – Temas Emergentes
Anexo 3 >> Internet - Site IT FORUM 365 - Controles Internos, Compliance ou Conformidade? Controles Internos? Precisamos disso em nossas empresas?
Anexo 4 >> Internet – Site AUDITORIA OPERACIONAL – Escola De Auditoria - Gerenciamento da Atividade de Auditoria Interna.
Anexo 5 >> Internet – Site BRASIL ESCOLA - ÁLGEBRA BOOLEANA
57
ANEXO 1
INTERNET
https://pt.wikibooks.org/wiki/Introdu%C3%A7%C3%A3o_%C3%A0_Atu%C3%A1ria/Origens_e_evolu%C3%A7%C3%A3o_da_ci%C3%AAncia_atuarial acessado em 29/11/2015 WIKILIVROS
Introdução à Atuária/Origens e evolução da ciência atuarial Mesmo parecendo uma ciência recente, as origens da atuária remontam as primeiras preocupações em criar garantias aos indivíduos de uma sociedade e se estudar o nascimento e a morte das pessoas.
No século XVII, na Inglaterra e na Holanda, os governos empenhavam-se em vender aos seus súditos títulos públicos que asseguravam ao tomador a recepção de uma renda vitalícia. Assim, foi tornando-se necessário determinar com a maior precisão a importância em dinheiro que deveria ser cobrada em contraprestação ao serviço, para que não houvesse prejuízo à coroa. Esse trabalho foi destinado aos melhores matemáticos da época.
Com isso, foi-se criando a base para o surgimento da matemática atuaria, principalmente a partir do cálculo da probabilidade de Pascal. Graunt e Edmond Halley, na Inglaterra, e De Witt, na Holanda, fizeram estudos levando em conta as leis da probabilidade e a expectativa de vida humana a partir dos registros de nascimentos e óbitos.
Formalmente, a ciência atuarial nasceu no final da primeira metade do século XIX, na Inglaterra. Os primeiros estudos destinavam-se para entidades da área de pensão e aposentadoria, basicamente com o objetivo de estudar a mortalidade da população.
No século XX, a área de seguros expandiu a abrangência do estudo atuarial, e a inserção cada vez mais freqüente das empresas de seguro e pensão no mercado financeiro, fez com que as ciências atuariais especializassem-se cada vez mais em campos econômicos e financeiros.
A atuária se desenvolveu principalmente à medida que matemáticos, economistas e filósofos se interessaram pelo assunto. Entre os séculos XVIII e XX, tivemos a construção de várias tábuas de mortalidade, como também o desenvolvimento das comutações, ferramenta do cálculo atuarial. Também aconteceu nesse período o 1º Congresso Internacional de Atuária em Bruxelas, no ano de 1895.
A partir de então, as empresas seguradoras passaram a oferecer programas de seguro de vida e outras especializações, cada vez mais desenvolvidos cientificamente.
58
Fundamentos
A Ciência Atuarial - assim como seu principal campo de estudo: o seguro - desenvolveu-se desde os seus primórdios sob o principio do mutualismo, onde os indivíduos se organizam em grupos com o interesse de proteger-se de tragédias e perdas.
Outro caráter importante para que os cálculos atuariais correspondam o máximo a realidade e a utilização da Lei dos grandes números.
O Risco
Pense em risco como a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico. É importante diferenciar risco de probabilidade: a probabilidade é parte do risco, que para ser assim classificado precisa, basicamente, ser causador de uma perda econômica, reparável.
Existem ainda outras exigências para a segurabilidade de um risco, a saber, o risco deve ser:
• Possível;
• Incerto;
• Futuro;
• Independer da vontade humana;
• Mensurável
• Homogêneo e não catastrófico
Seguro
O seguro é uma operação formalizada por um contrato, no qual uma parte se compromete a cobrir eventuais prejuízos no caso de um acidente coberto pelo contrato, e em troca recebe para isso uma quantia em dinheiro para que possa fazer frente a esse prejuízo. A esse pagamento dá-se o nome de prêmio de seguro.
O seguro surge da necessidade do homem em controlar o risco.
Existem indícios que já na Babilônia, 23 séculos antes de Cristo, caravanas de cameleiros que cruzavam o deserto mutualizavam entre si os prejuízos com morte de animais. Na China antiga e no Império Romano também havia seguros rudimentares, através de associações que visavam ressarcir membros que tivessem algum tipo de prejuízo.
Com o Renascimento e a expansão marítima da época Mercantilismo a cobertura aos riscos ganhou nova importância. Tornaram-se comuns operações chamadas de Contrato de Dinheiro e Risco Marítimo que consistia num empréstimo dado a um navegador, e que previa uma cobrança maior no caso de sucesso da viagem e o perdão da dívida se a embarcação e a carga fossem perdidas. Foi em virtude dos seguros marítimos que se desenvolveu a gestão de risco na maior parte do mundo.
No século XVII, o mercado securitário se expandiu e ganhou novos produtos de cobertura terrestre, especialmente em decorrência do Grande Incêndio de Londres de 1666, que destruiu cerca de 25% da cidade.
59
ANEXO 2
INTERNET
https://www.fdc.org.br/hotsites/mail/livro_sustentabilidade_poder/temas-emergentes/dimensao-organizacao/gestao-de-riscos.html acessado em 15/11/2015 FUNDAÇÃO DOM CABRAL TEMAS EMERGENTES
GESTÃO DE RISCOS Risco é uma expectativa de perda que se expressa como a probabilidade de que uma
ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo. O termo
risco é proveniente da palavra risicu ou riscu, em latim, que significa ousar. Costuma-se
entender “risco” como possibilidade de “algo não dar certo”, mas seu conceito atual envolve a
quantificação e qualificação da incerteza, tanto no que diz respeito às “perdas” como aos
“ganhos”, com relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por
organizações.
Conforme Bernstein:
Quando investidores compram ações, cirurgiões realizam operações,
engenheiros projetam pontes, empresários abrem seus negócios e políticos
concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas
ações revelam que o risco não precisa ser hoje tão temido: administrá-lo
tornou-se sinônimo de desafio e oportunidade. (IBGC, 2007,
p.11 apud BERNSTEIN, 1996, p. VII).
É da própria natureza humana o desenvolvimento do aprendizado para conviver com o
risco na busca de melhorias. Esse processo, contudo, foi refinado com a introdução de
instrumentos formais.
60
Tradicionalmente, as organizações e as pessoas buscam o equilíbrio entre riscos e
custos. Mas o termo “Gestão de Riscos” consolidou-se apenas recentemente, no começo como
riscos relacionados aos ativos financeiros (seguros, créditos, taxas de câmbio, empréstimos
etc.) e atualmente como riscos operacionais de todas as fases do processo, principalmente
com as categorias corporativa e empresarial. Dentro delas, ainda podem ser consideradas
outras categorias, como: risco de mercado; risco de crédito, risco operacional e risco legal.
(DUARTE JR.; VARGA apud SANTOS, 2010).
A gestão dos riscos seria, portanto, o processo de identificar, avaliar, medir, controlar e
divulgar os eventos incertos, eliminando ou minimizando os que podem afetar os recursos do
sistema. Um dos grandes propulsores foi o acordo firmado entre os bancos centrais de diversos
países, Comitê da Basileia, que instituiu medidas para diminuição dos riscos intrínsecos aos
sistemas financeiros que, integrados, apresentam uma probabilidade de contágio mais
acentuada.
As atividades envolvidas na gestão de riscos das corporações devem contribuir para a
longevidade da organização, atendendo aos seus objetivos estatutários e estratégicos. Isso vai
ao encontro dos objetivos da sustentabilidade. Um item do Código das Melhores Práticas de
Governança Corporativa do Instituto Brasileiro de Governança Corporativa (Código do IBGC)
trata do gerenciamento de riscos:
Gerenciamento de riscos: o Conselho de Administração deve assegurar-se de
que a Diretoria identifique preventivamente – por meio de sistema de
informações adequado – e liste os principais riscos aos quais a sociedade está
exposta, sua probabilidade de ocorrência, bem como as medidas e os planos
adotados para sua prevenção ou minimização. (IBCG, 2007, p.32).
A gestão de riscos, portanto, faz parte da governança corporativa, princípio fundamental pra as
ações de sustentabilidade das organizações.
Pelo IBGC, as vantagens de se fazer uma gestão dos riscos são preservar e aumentar o valor
da organização, mediante a redução da probabilidade e/ou impacto de eventos de perda,
combinada com a diminuição de custos de capital, que resulta da menor percepção de risco por
parte de financiadores e seguradoras e do mercado em geral; promover maior transparência,
ao informar aos investidores e ao público em geral os riscos a que a organização está sujeita,
as políticas adotadas para sua mitigação, bem como a eficácia das mesmas; melhorar os
padrões de governança, mediante a explicitação do perfil de riscos adotado, em consonância
com o posicionamento dos acionistas e a cultura da organização, além de introduzir uma
61
uniformidade conceitual em todos os níveis da organização, seu conselho de administração e
acionistas. (IBCG, 2007).
Um estudo da PriceWaterhouseCoopers (2002) mostrou iniciativas para que a gestão de risco
seja incorporada na organização: alinhamento estratégico; adequação da estrutura
organizacional, com profissional habilitado e com poder para tratar do assunto; processos e
metodologias comuns que permitam comparações e medição da evolução, e infraestrutura que
possibilite o tratamento de informações confiáveis.
As organizações, preocupadas com a permanência no mercado, devem coletar informações e
gerir os riscos e oportunidades que têm surgido. As instituições financeiras, em sua maioria,
possuem gestão do risco operacional, seja através da base de dados de perda, seja através de
análises exploratórias com ferramentas específicas. Diversas empresas fizeram sua gestão do
risco, como a utilizada por uma consultoria, em uma empresa do setor de energia, que
desenvolveu uma matriz e categorizou seus riscos:
• Riscos Estratégicos: incapacidade de lidar com as mudanças interna e externas para
realizar os objetivos empresariais.
• Riscos de Conformidade: não atendimento às legislações vigentes que impactam o
negócio, e internamente, não conformidade aos regimentos e procedimentos
estabelecidos.
• Riscos Financeiros: inadequada gestão de caixa, das aplicações de recursos em
operações novas/desconhecidas e/ou complexas e/ou de alto risco. Estão associados à
volatilidade do preço de ativos (taxa de juros, câmbio, patrimônio, instrumentos
financeiros), liquidez (fluxo de caixa, custo de oportunidade, concentração) e crédito
(cumprimento, concentração e garantia).
• Riscos na Gestão de Pessoas: desarticulação entre gestão estratégica e da gestão de
pessoas.
• Riscos Ambientais: gestão ambiental inadequada às necessidades reais de impacto do
negócio no meio do qual estão instaladas as operações.
• Riscos de Tecnologia da Informação e Telecomunicações: indisponibilidade ou
ineficiência dos recursos de informática e telecomunicações (software e hardware).
• Riscos Operacionais: falta de confiabilidade ou incompatibilidade dos processos
operacionais das unidades de negócio.
62
Há uma necessidade de melhorar os parâmetros de avaliação de riscos, principalmente em se
tratando de riscos não financeiros, que envolvem, por exemplo, aspectos operacionais e
estratégicos. Os sistemas de gestão, portanto, são ferramentas muito relevantes no sistema de
gestão de risco, por identificarem e avaliarem aspectos e impactos, perigos e riscos próprios
das operações das organizações. A ISO 31000 é uma norma que estabelece princípios,
estrutura e um processo para gerenciar qualquer tipo de risco, de forma transparente,
sistemática e credível em qualquer âmbito ou contexto. A ISO 31000 fornece ainda os
parâmetros para a gestão de risco, com os princípios e as diretrizes, e pode ajudar as
organizações de todos os tipos e tamanhos para gerir o risco de forma eficaz. Através da
adoção da ISO 31000, as organizações têm a possibilidade de comparar as suas práticas de
gestão de risco com um parâmetro de referência reconhecido internacionalmente,
proporcionando bons princípios de gestão eficaz.
A gestão de risco é uma tendência de gestão para proteção dos investidores e demais partes
interessadas e das corporações.
63
ANEXO 3
INTERNET
http://itforum365.com.br/blogs/post/72/compliance-ou-conformidade-controles-internos-precisamos-disso-em-nossas-empresas acessado em 03/01/2016 IT FORUM 365 CONTROLES INTERNOS
Compliance ou Conformidade? Controles Internos? Precisamos disso em nossas empresas?
MARCOS ASSI Socio diretor
Publicado em 14 de Agosto de 2013 às 09h51
Geralmente me perguntam o que é Compliance? E para não complicar
muito simplifico, é a atividade que tem como objetivo manter a empresa
em conformidade com leis, normativos e regulamentos externos e
internos, e sempre
Geralmente me perguntam o que é Compliance? E para não complicar muito simplifico, é a atividade que tem como objetivo manter a empresa em conformidade com leis, normativos e regulamentos externos e internos, e sempre que possível manter o respeito às normas e procedimentos da empresa.
64
Simples não é? Pelo jeito não, pois os conceitos são muitos, mas a aplicabilidade ainda depende de vontade ou obrigatoriedade dos órgãos reguladores. Seja compliance ou conformidade, devemos buscar a melhoria dos processos, dos controles internos e da gestão dos riscos corporativos, através do respeito aos normativos internos, sejam para os colaboradores e para os gestores do negócio.
Portanto devemos implementar uma política da função e atividade de compliance, para que possamos esclarecer as funções de cada um na organização, afinal a gestão de compliance é de responsabilidade de todos na organização, portanto é necessário definir as funções do compliance, dos controles internos, gestão de riscos, da auditoria e enfatizar que a alta administração é quem proporciona uma boa gestão.
Os programas de compliance devem contemplar as responsabilidades e o que a área deve realizar durante o período de atividades de validação e ou monitoramento. Mas uma coisa me vem à mente, a sua empresa já montou uma matriz de Riscos de Compliance? Não, mas os riscos de não conformidade estão registrados, não estão? Pense nisso, pois sem registros de incidentes nada poderá ser realizado, e tão pouco identificado.
Normas e procedimentos das áreas operacionais, departamentos, produtos, dos sistemas informatizados e dos treinamentos aos funcionários devem ser no mínimo cobrado dos gestores das áreas, para que possamos realmente implementar uma gestão de compliance efetiva e participativa.
Outra informação importante são os relatórios de monitoramento a exposição aos riscos de compliance e a devida comunicação dos resultados para a Alta Administração, para que possamos em conjunto buscar melhorias e identificar onde estão localizadas as vulnerabilidades de nossos controles internos e de nossa consciência de riscos, para que a tomada de decisão possa realmente agregar valor à organização.
Por esses motivos que se torna tão importante a disseminação de cultura, afinal somente possuir as normas, os procedimentos e os sistemas não são o suficiente, chamamos de “fraude inocente” se considerássemos que apenas por existir uma equipe de Compliance em
65
uma empresa, ela por si só, asseguraria todo atendimento às regras pelas áreas comerciais e administrativas da empresa. Isso não só seria inviável como também fugiria do que o objetivo maior do conceito Compliance significa, ou seja: difundir uma cultura de padrões legais e éticos na conduta de todas as áreas da corporação por meio de todos seus funcionários e estrutura de colaboradores.
* Marcos Assi é professor do MBA Gestão de Riscos e Compliance da Trevisan Escola de
Negócios, da Saint Paul Escola de Negócios e da FIA (Labfin), autor dos livros ?Controles
Internos e Cultura Organizacional ? como consolidar a confiança na gestão dos negócios?
e ?Gestão de Riscos com Controles Internos - Ferramentas, certificações e métodos para
garantir a eficiência dos negócios? pela (Saint Paul Editora) e consultor de finanças do
programa A Grande Idéia do SBT. Sócio Diretor da Daryus Consultoria e Treinamento.
66
ANEXO 4
INTERNET
http://auditoriaoperacional.com.br/gerenciamento-da-atividade-de-auditoria-interna/ acessado em 03/01/2016 AUDITORIA OPERACIONAL – ESCOLA DE AUDITORIA
Gerenciamento da Atividade de
Auditoria Interna
O diretor executivo de auditoria deve gerenciar de forma eficaz, a atividade de
auditoria interna para assegurar que adicione valor à organização.
– Planejamento
O diretor executivo de auditoria deve estabelecer planos com base em análise de
riscos para determinar as prioridades da atividade de auditoria interna,
consistentes com as metas da organização.
- O plano de trabalhos de auditoria da auditoria interna deve ser baseado na
avaliação de risco e realizado pelo menos uma vez ao ano. Informações
apresentadas pela alta gerência e o conselho de administração devem ser
consideradas nesse processo.
– O diretor executivo de auditoria deve considerar a aceitação de trabalho de
auditorias propostos para consultoria baseado no potencial destes para melhorar o
gerenciamento de riscos, adicionar valor e melhorar as operações. Os trabalhos de
auditoria aceitos devem ser incluídos no plano.
Comunicação e Aprovação
67
O diretor executivo de auditoria deve comunicar à alta administração e ao
Conselho para revisão e aprovação, os planos de atividades da auditoria e
necessidades de recursos, incluindo mudanças temporárias significativas. Deve
também comunicar o impacto de limitações de recursos.
Gerenciamento de Recursos
O diretor executivo de auditoria deve assegurar que os recursos de auditoria
interna sejam apropriados, suficientes e efetivamente utilizados para cumprimento
do plano aprovado.
Políticas e Procedimentos
O diretor executivo de auditoria deve estabelecer políticas e procedimentos para
orientar a atividade de auditoria interna.
Coordenação
O diretor executivo de auditoria deve compartilhar informações e coordenar
atividades com outros fornecedores internos e externos de serviços relevantes de
auditoria e de serviços de consultoria para assegurar apropriada cobertura e
minimizar a duplicação de esforços.
Comunicação com o Conselho e a Alta Administração
O diretor executivo de auditoria deve apresentar relatórios periódicos ao Conselho
e à alta administração sobre o propósito, autoridade, responsabilidade e
desempenho em relação a seus planos. Tais relatórios devem também incluir a
exposição a riscos significativos e matérias sobre controle, governança corporativa
e outras matérias necessárias ou solicitadas pelo Conselho ou pela alta
administração.
Natureza do trabalho
A atividade de auditoria interna deve avaliar e contribuir para a melhoria dos
processos de gerenciamento de riscos, de controle e de governança corporativa
aplicando uma abordagem sistemática e disciplinada.
Gerenciamento de Riscos
68
A atividade de auditoria interna deve assistir à organização através da identificação
e avaliação de exposições significativas a riscos e da contribuição para a melhoria
dos sistemas de gerenciamento de riscos e de controle.
– A atividade de auditoria interna deve monitorar e avaliar a efetividade do sistema
de gerenciamento de risco da organização.
– A atividade de auditoria interna deve avaliar os riscos de exposição no que diz
respeito à governança corporativa da organização, operações e sistemas de
informação relativos a:
• Confiabilidade e integridade das informações financeiras e operacionais.
• Efetividade e eficiência das operações.
• Salvaguarda do patrimônio.
• Obediência às leis, regulamentos e contratos.
– Durante o trabalho de consultorias, os auditores internos devem remeter-se ao
risco consistente com os objetivos do trabalho de auditoria e estar alertas à
existência de outros riscos significativos.
– Os auditores internos devem incorporar o conhecimento sobre riscos obtido em
trabalhos de consultorias, ao processo de identificar e avaliar exposições
significativas de riscos da organização.
Fonte: Curso – Auditoria, Controles e Gestão de Riscos
69
ANEXO 5
http://brasilescola.uol.com.br/informatica/algebra-booleana.htm acessado em 24/01/2015 BRASIL ESCOLA
ÁLGEBRA BOOLEANA
George Boole George Boole nasceu em Lincoln - Inglaterra em 2 de Novembro de 1815, filho de um
sapateiro pobre. A sua formação base na escola primária da National Society foi muito rudimentar.
Autodidata, fundou aos 20 anos de idade a sua própria escola e dedicou-se ao estudo da Matemática.
Em 1840 publicou o seu primeiro trabalho original e em 1844 foi condecorado com a
medalha de ouro da Royal Society pelo seu trabalho sobre cálculo de operadores.
Em 1847 publica um volume sob o título The Mathematical Analysis of Logic em que
introduz os conceitos de lógica simbólica demonstrando que a lógica podia ser
representada por equações algébricas.
Este trabalho é fundamental para a construção e programação dos computadores eletrônicos iniciada cerca de 100 anos mais tarde.
Na Álgebra de Boole existem apenas três operadores E, OU e NÃO (AND, OR, NOT).
Estas três funções são as únicas operações necessárias para efetuar comparações ou as quatro operações aritméticas base.
Em 1937, cerca de 75 anos após a morte de Boole, Claude Shannon, então estudante no
MIT - Boston, USA - estabeleceu a relação entre a Álgebra de Boole e os circuitos
eletrônicos transferindo os dois estados lógicos (SIM e NÃO) para diferentes diferenças de potencial no circuito.
Atualmente todos os computadores usam a Álgebra de Boole materializada em
microchips que contêm milhares de interruptores miniaturizados combinados em portas
70
(gates) lógicos que produzem os resultados das operações utilizando uma linguagem binária.
Álgebra Booleana Para descrever os circuitos que podem ser construídos pela combinação de portas
lógicas, um novo tipo de álgebra é necessário, uma em que as variáveis e funções
podem ter apenas valores 0 e 1. Tal álgebra é denominada álgebra booleana, devido ao seu descobridor, o matemático inglês George Boole (1815 - 1864).
Do mesmo modo que existem funções em álgebra "comum", também existem funções
na álgebra booleana. Uma função booleana tem uma ou mais variáveis de entrada e fornece somente um resultado que depende apenas dos valores destas variáveis.
Como uma função de n variáveis possui apenas 2n conjuntos possíveis de valores de
entrada, a função pode ser descrita completamente através de uma tabela de 2n linhas,
cada linha mostrando o valor da função para uma combinação diferente dos valores de
entrada. Tal tabela é denominada tabela verdade.
A B C 0 0 0 0 1 0 1 0 0 1 1 1
Acima temos a tabela verdade de uma função básica a função AND , ela e um conjunto
de funções da álgebra booleana têm implementação eletrônica através de transistores e são conhecidas como portas lógicas.
Um circuito digital é regido pela álgebra de Boole, e com as portas lógicas existentes é
possível implementar qualquer função da álgebra booleana. A seguir veremos as principais portas lógica, simbologia e tabela verdade.
-NOT
A função NOT é implementada na conhecida porta inversora.
A B 0 1 1 0 (a)
(b)
(a) tabela verdade, (b) símbolo
-AND
A função AND pode ser definida em linguagem natural como 1 se todas as entradas forem 1 e 0 se apenas uma das entradas for 0.
71
A B S 0 0 0 0 1 0 1 0 0 1 1 1
-OR
A função OR também pode ser definida em linguagem natural ela é 0 se todas as entradas forem 0 e 1 se existir uma entrada em 1.
A B C 0 0 0 0 1 1 1 0 1 1 1 1
-XOR
A função XOR conhecida como exclusive OR é muito parecido com a OR.
A B C 0 0 0 0 1 1 1 0 1 1 1 1
Temos acima algumas das principais portas lógicas existente, não são as únicas mas as
outras portas existentes são combinações destas portas básicas, e todos os circuitos digitais podem ser montados somente com estas portas.
Bibliografia: Trabalho por Ricardo K. L. Ferreira
Estudante de Ciência da Computação – Mackenzie
E-Mail: [email protected]
Top Related