Os Pilares da
índice
Gestão de Risco
1.1. Definição
1
Framework
2.1. Business Awereness
2.2. Risk Assessement
2.3. Vulnerability Assessement
2.4. Mitigação de Riscos
2.5. Transferência & Retenção
Atualmente, o tema tem estado em voga e tomado mais e mais espaço na mídia e nos grupos de discussão em fóruns especializados.
O Portal da Gestão de Riscos, reconhecendo a importância do tema e consciência de seu papel no suporte ao desenvolvimento do assunto nas empresa vem, através deste e-book, apresentar uma proposta de
metodologia para a análise e gestão de riscos.
metodologia
A metodologia base escolhida
para este e-book foi Análise de
Risco Parametrizada 2.0. Uma
metodologia com mais de 15
anos de existência, alinhada com
as melhores práticas do mercado
(ISO 31.000, COSO, COSO ERM,
ISO 14.000, ISO 27.000, ISO
28.000, dentre outras) e que
conta com o suporte do Instituto
de Auditoria, Risco e Compliance
em seu desenvolvimento.
A metodologia passou por um
rigoroso escrutínio materializado
por uma análise crítica conduzida
na FIESP – Federação das
Indústrias do Estado de São
Paulo com a participação de
representantes das mais variadas
indústrias (químicas, financeiras,
varejo, mineração, etc),
consultores e acadêmicos
sêniores com larga experiência no
tema em diversas instituições de
renome.
Este rigoroso
processo além de
dar credibilidade ao
método, possibilitou
avaliar o seu grau de
aderência e robustez
Para se ter um correto entendimento
em análise e gestão de riscos, faz-se
necessário a apresentação de alguns
conceitos basilares para o seu
entendimento.
gestão
de riscos
1.1.definições
1
RiscoÉ uma ameaça real ou potencial que poderá vir a concretizar-se e causar perdas ou impedir a consecução de algum objetivo ou resultado para a empresa ou organização em questão.
2
Gestão de RiscosÉ o correto balanceamento entre o nível de risco com os
mecanismos de proteção para mitiga-lo, levando-se em consideração o apetite e
tolerância a risco da organização na busca de seus objetivos.
3
Ameaçaframework
2.1. businees awareness
M E N S U R A Ç Ã O D O A P E T I T E1
O início da análise de risco passa pelo entendimento do negócio em questão:✓ Missão da organização ✓ Sua proposta de valor ✓ Sua visão
✓ Seus fatores críticos de sucesso
Sem o correto entendimento do negócio o gestor de risco irá entregar soluções que não são aderentes ou até mesmo inviabilizariam o negócio em si
2
Na fase de identificação de riscos é criada a lista geral de riscos baseada na análise do negócio, entrevista aosexecutivos e responsáveis por processos críticos e análise do histórico de sinistros, dentre outras informações.
3
O ponto crucial nesta fase é a capacidade de resumir com assertividade a Lista Geral de Riscos em uma Lista de Riscos Críticos que definem quais riscos impactamsignificativamente os fatores críticos de sucesso da
organização. Esta lista servirá de base para as fases
risk assessment
2.2.
M E N S U R A Ç Ã O D O R I S C O
Genericamente falando, Risk Assessment consiste na identificação, avaliação e mensuração dos Riscos Críticos em termos de quantificação do seu impacto (severidade) e sua estimativa de probabilidade (frequência) de sua ocorrência. Para tal fazemos esta avaliação de riscos de forma quantitativa quando
possuímos bases de dados consistentes ou de forma qualitativa quando não possuímos estas bases e necessitamos estimar o impacto e a possibilidade de tais riscos virem a concretizar-se.
Perda Financeira
Avalia o efeito relativo da concretização de determinado
risco sobre a capacidade financeira da organização
quantificação do impacto
Recovery
Avalia o efeito de determinado risco sobre o tempo necessário para a organização voltar ser capaz de cumprir sua missão e entregar sua proposta de valor
Imagem
Avalia o efeito negativo de determinado risco na imagem da
organização em termos de desgaste na credibilidade e na
extensão dada pela mídia ao fato
Legal
Avalia as perturbações, desgastes e sanções jurídicas
para a organização em decorrência da concretização de
estimativa de probabilidade
Histórico de Ocorrência Avalia o histórico de ocorrência de determinado risco em termos de frequência esperada ExposiçãoAvalia a frequência (risco dinâmico) ou o montante (risco estático) que cada operação está exposta a
determinado risco
Vulnerabilidade (Índice de Vulnerabilidade)
Avalia o nível de efetividade de sistemas de proteção e/ou mecanismos
de controle para a mitigação de determinado
risco em questão
Ao final desta fase temos
a Matriz de Riscos que
permite ao gestor ter
uma clara ideia dos
efeitos dos riscos de sua
organização em termos
de Quantificação de
Impacto e de Estimativa
A Matriz de Riscos é uma das formas mais comuns de apresentação de riscos para a alta, média gestão e acionistas. Elas podem ser
confeccionadas utilizando-se modelos qualitativos (exemplo acima à direita) ou modelos
quantitativos (exemplo acima à esquerda). Tal ferramenta ficou extremamente conhecida tendo em vista a sua facilidade de interpretação e por ser extremamente visual. Em que pese sua popularidade, cabe lembrar que durante um processo de análise e de gestão de riscos outras ferramentas devem ser utilizadas de forma complementar para que se tenha uma análise bastante robusta e efetiva.
matriz de risco
A fase de Vulnerability Assessment avalia o quanto
determinado patrimônio ou operação está vulnerável a
determinado tipo de risco. Nesta fase é definido o grau
de efetividade dos sistemas de proteção, chegando-se
ao Índice de Vulnerabilidade (IV).
A definição do Índice de Vulnerabilidade é obtida por
meio de auditorias de riscos nos sistemas, mecanismos
de proteção e controles existentes para mitigar cada
Risco Crítico da organização, contrastando a situação da
empresa com as melhores práticas existentes.
vulnerability assessment
M E N S U R A Ç Ã O D A E F E T I V I D A D E D O S C O N T R O L E S
E S T E S S I S T E M A S I N C L U E M Capital intelectual Recursos humanos acrescido de suas competências essenciais. Recursos Materiais Aparatos tecnológicos (software, hardware,
infra-estrutura, etc) utilizados para determinado fim.
Normas e procedimentos
(fluxogramas, procedimentos operacionais, políticas, diretrizes, etc) que definem
processos e forma de agir dos recursos humanos para
a consecução de determinada tarefa, que
atuando em conjunto visam impedir ou mitigar a
concretização de determinado risco ou conjunto de riscos. Cultura Organizacional Grau de resiliência da cultura organizacional referente ao tema avaliado, ou seja, seus valores, comportamento, ambiente organizacional, mind set e como estas pessoas aceitam e aderem espontaneamente às ações
que visam diminuir os riscos de determinada
organização.
Capacidade de Gestão
Refere-se à capacidade de controle dos processos, dos sistemas de gestão de risco e de seus indicadores
e controles críticos de forma contínua e aderente
mitigação dos riscos
2.4.
É através de ações de mitigação bem estruturadas e planejadas (controles, projetos direcionados, instalação de sistemas etc) que o gestor de riscos consegue deslocar os riscos dentro da Matriz de Riscos de forma consistente e assertiva.
Todo gestor de risco deve conhecer claramente a capacidade de sua
organização de absorver impactos dos seus riscos (tolerância) e da
predisposição de seus acionistas para assumirem estes riscos (apetite), bem como de sua capacidade global de tomada de riscos. Baseado nestes fatores e sob a orientação da cúpula da empresa, os gestores de riscos devem definir quanto de risco reter e quanto transferir (programas de seguros, hedges, etc).
Basicamente, em gestão de riscos, segue-se uma lógica para a aceitação, eliminação, transferência e mitigação de riscos. A lógica baseia-se na análise criteriosa da Matriz de Riscos. Por consequência temos que ter modelos de mensuração bastante robustos e
2.5.
A N Á L I S E D A M AT R I Z D E R I S C O S( A N Á L I S E D E Q U A D R A N T E )
E N T R E E M
