Análise · a ter um valor notório e difícil de ser mensurado. ... agregar valor ao negócio e...

Análise de risco pArAmetrizAdA: manual prático de gestão

de riscos e seguros

prof. José augusto guagliard, phdnelson ricardo fernandes da silva , msc, mBa

alfredo chaia filho, mBa | lázaro ramos Junior, Bel.

ANÁLISE DE RISCO PARAMETRIZADA: MANUAL PRÁTICO DE GESTÃO DE RISCOS E SEGUROS

Copyright © 2016 by José Augusto Guagliard, Nelson Ricardo Fernandes da Silva, Alfredo Chaia Filho e Lázaro Ramos Junior

O conteúdo desta obra é de responsabilidade dos autores, proprietários do Direito Autoral.

Proibida a venda e reproduçãoparcial ou total sem autorização.

Projeto gráfico, editoração e impressão:

[email protected]

(11) 2478-3413

Dados Internacionais de Catalogação na Publicação (CIP) (Câmara Brasileira do Livro, SP, Brasil)

Análise de risco parametrizada : manual prático de gestão de riscos e seguros / José Augusto Guagliardi...[et al.]. -- São Paulo : All Print Editora, 2016.

Outros autores: Nelson Ricardo Fernandes da Silva, Alfredo Chaia Filho, Lazaro Ramos Junior

1. Administração de risco 2. Análise de riscos 3. Empresas - Medidas de segurança 4. Planejamento I. Guagliardi, José Augusto. II. Silva, Nelson Ricardo Fernandes da. III. Chaia Filho, Alfredo. IV. Ramos Junior, Lazaro.

16-03722 CDD-658.155

Índices para catálogo sistemático:

1. Administração de risco : Empresas 658.155

“Risco está relacionado à escolha, não ao acaso, pois decorre da incerte-za inerente ao conjunto de possíveis consequências (ganhos e perdas) que resultam de decisões tomadas diariamente pela organização”.

Prefácio

A Análise de Risco Parametrizada, metodologia base de todo o nosso processo de Análise de Risco Operacional, foi inicialmente desenvolvida por um grupo interdisciplinar de practicionários e de pesquisadores do NAIPPE (Núcleo de Análise Interdisciplinar Planejamento Político e Estra-tégia)/USP. Após ter sido consolidada, foi utilizada como base do módulo de Análise de Riscos de alguns MBAs e cursos de extensão acadêmica da USP.

Tal metodologia baseia-se num processo de integração de conhecimentos específicos por meio de listas padroniza-das de parâmetros que servem de base para avaliar os diver-sos sistemas, o grau de treinamento e adequabilidade dos recursos humanos envolvidos, bem como a efetividade do processo empregado. Além disto, são sempre levados em consideração os riscos críticos da organização e o quanto tais riscos afetam os fatores críticos de sucesso da mesma.

A busca incessante em se conseguir um maior grau de aderência entre a referida metodologia e as reais necessida-des do mercado, ensejou sua migração para a GV Consult, na Fundação Getúlio Vargas, onde foi criteriosamente exa-minada e submetida à crítica pela banca de sua diretoria executiva e presidência, foi utilizada no desenvolvimento de diversos pilotos em empresas de renome internacional de variados setores, assegurando assim sua exequibilidade.

Com a consolidação e consagração da metodologia, sur-giu a ideia da confecção de um livro que pudesse facilitar sua divulgação no mercado.

Tal solução tem se mostrado bastante aderente para as áreas de auditoria e de consultoria. Contudo, a flexibilidade

de sua aplicação permite a sua utilização para processos de gerenciamento de risco por permitir a identificação das vul-nerabilidades existentes.

Embora a confecção das listas de parâmetros seja traba-lhosa na fase inicial, tal metodologia apresenta custo redu-zido e agrega eficiência ao processo de verificação do grau de eficiência dos sistemas de proteção.

Outra vantagem refere-se à possibilidade de sua apli-cação por profissionais mais juniores utilizando o conheci-mento daqueles mais experientes que foram elicitados nas listas de parâmetros.

Este encaminhamento faz com que se ganhe tempo na execução do processo, economize recursos e que seja man-tido o nível de qualidade da análise desenvolvida.

Outra vantagem da padronização dos critérios de aná-lise é permitir uma visão das vulnerabilidades da empresa por unidades de negócio, e permitindo homogeneidade em seu processo de gestão dos riscos.

Entretanto, a maior vantagem desta metodologia é per-mitir, a aplicação de um modelo qualitativo com precisão considerável baseado em metodologia científica, mesmo quando não se tem dados suficientes para aplicar ferramen-tas quantitativas.

José Augusto GuagliardiProfessor FEA/USP

Coordenador do Projeto de Desenvolvimento do Centro de Estudos Estratégicos de Riscos Corporativos (CEERC)

Sumário

1. Introdução .......................................................................... 111.1. Objetivos .....................................................................13

2. Conceitos Básicos ..............................................................192.1. Risco .............................................................................192.2. Gestão de Risco ...........................................................242.3. Mitigação .....................................................................262.4. Contingência ................................................................272.5. Resiliência ....................................................................282.6. Perda .............................................................................282.7. Riscos Críticos .............................................................302.8. Fatores Críticos de Sucesso .........................................302.9. Riscos Residuais ..........................................................312.10. Apetite a Risco ...........................................................322.11. Tolerância a Risco ......................................................332.12. Cultura de Risco ........................................................342.13. Perigo .........................................................................352.14. Vulnerabilidades ........................................................352.15. Ameaças .....................................................................362.16. Análise de Risco ........................................................362.17. Retenção de Risco .....................................................372.18. Tratamento dos Riscos ..............................................372.19. Riscos catastróficos ...................................................39

3. Análise de Risco Parametrizada .....................................413.1. Método de Análise de Risco Parametrizada ...............43

3.2. Análise de Risco Parametrizada: Fases ......................48

4. Análise de Risco Parametrizada: passo a passo ..........554.1. Entendimento do Negócio ..........................................554.2. Identificação dos Riscos Críticos ................................584.3. Definição do Modelo de Racional ..............................654.4. Avaliação dos Riscos Críticos .....................................774.5. Análise de Vulnerabilidades ........................................964.6. Classificação ..............................................................1074.7. Balanceamento em Gestão de Riscos .......................1204.8. Tratamento/Mitigação dos Riscos Críticos ..............1274.9. Política de Alocação de Custos de Gestão de Riscos/Seguros .............................................................1344.10. Desenvolvimento da Cultura Organizacional ........136

5. Plano de Gestão de Risco Corporativo .......................1415.1. Introdução .................................................................1415.2. Plano de Gestão de Riscos .......................................1435.3. Identificação/descrição dos Riscos Críticos .............1445.4. Identificação da origem dos riscos críticos .............1455.5. Identificação dos cenários de riscos (Matriz de Cenários) ..............................................1465.6. Quantificação do impacto e probabilidade dos Riscos Críticos ...........................................................1475.7. Quadro de classificação .............................................1495.8. Estimativa da perda esperada ....................................1495.9. Matriciamento dos Riscos Críticos ..........................1525.10. Análise de vulnerabilidade dos sistemas de proteção (Heat Maps) ..................................................154

5.11. Análise de criticidade dos riscos críticos em relação as vulnerabilidade dos sistemas de proteção (Matriz de criticidade) .......................................1555.12. Ações de mitigação (Plano de mitigação, projetos e investimentos) ..................................................1575.13. Definição de responsáveis pelos Riscos Críticos (ownership) e controles .....................................1595.14. Transferência de riscos (seguros, auto-seguro e mutualização).............................................1605.15. Política de rateio de seguros ...................................162

6. Retenção de Risco & Resiliência Financeira ..............1656.1. Introdução (overview) ...............................................1656.2. Resiliência Financeira ...............................................1716.3. Indicadores de Resiliência Financeira ......................1736.4. Margem de Lucro Bruto ............................................1736.5. Current Ratio ..............................................................1746.6. Acid Test .....................................................................1746.7. Geração de Caixa Operacional para obrigações de curto prazo ....................................................................1756.8. Ciclo de Fluxo de Caixa Operacional .......................1766.9. Interest Cover Ratio ...................................................1776.10. Free Cash Flow ........................................................1776.11. Reservas/Fundos ......................................................1786.12. Análise Integrada dos Indicadores ..........................1786.13. Retenção de Risco ...................................................1786.14. Análise de Custo de Transferência de Risco ..........180

11

1. Introdução

A partir do dia 11 de setembro de 2001, caracterizado pelo evento do World Trade Center, a Gestão de Riscos nos mais variados países do mundo passou por uma profunda reformulação em todos os seus conceitos e paradigmas – o impossível e inimaginável acontecera.

Pela primeira vez a humanidade viu diante dos seus olhos tudo àquilo que ela jamais suscitara acontecer, e res-sentiu-se por ter agido de forma contingencial e amadora durante tantos anos seguidos. Viu que o custo da ausência de mecanismos sólidos de Gestão de Riscos é mais alto que o custo que se paga com a implantação e manutenção de uma Gestão de Riscos bem estruturada. Passou-se a pensar de forma proativa e progressivamente, sistemas preventivos passaram a ter maior relevância.

Em 2008, por ocasião da crise do sub-prime que quase devastou todo o sistema capitalista do planeta, novamente o mundo parou para refletir sobre a necessidade de possuir mecanismos de controle capazes de manter os níveis de ris-cos das operações e apetite ao risco dos investidores sob controle e balanceados. Desde então, quase todos os dias os jornais descrevem as sérias consequências de frustrar as expectativas dos investidores, mesmo em empresas com grande margem de lucro.

Um mundo com novos desafios, onde os bens de produ-ção cedem lugar aos intangíveis, e onde a informação passa a ter um valor notório e difícil de ser mensurado.

Diante deste cenário tão desafiador e complexo, o pro-fissional de Gestão de Riscos passa a ter que repensar como agregar valor ao negócio e buscar formas de gerar vantagem

12

Análise de Risco Parametrizada

competitiva para a empresa ou propiciar as condições para que os objetivos estratégicos da organização sejam atingi-dos, dentro dos limites de tolerância adequados e de acordo com o apetite a risco de seus investidores.

O novo cenário não admite mais a tendência em ava-liar as situações segundo as próprias opiniões ou intenções, muitas vezes sem justificação. Esta nova realidade impõem cada vez mais competências essenciais capazes de entender os desafios da organização a qual faz parte.

Faz-se necessário o uso de ciência aplicada e metodolo-gia cada vez mais sofisticada. A gestão de risco deixa de ser o departamento que cria procedimentos limitantes e coerci-tivos dentro da empresa para ser uma área que entende os objetivos estratégicos do negócio e define estratégias para permitir a concretização destes objetivos dentro de níveis de risco aceitáveis.

Tudo isto ocorre por meio de um perfeito entendimento da missão da empresa, de uma compreensão de sua pro-posta de valor (o que promete entregar ao seu cliente) e sobretudo da capacidade de inovar em soluções capazes de diminuir o grau de vulnerabilidade em seus processos por meio do emprego de tecnologia e capital intelectual ade-quados, e adoção de Política de Gestão de Riscos ajustada à necessidade do negócio.

Cria-se valor para o acionista quando a re-compensa excede o custo do risco e embora alguns investidores sejam indiferentes às fer-ramentas ou aos modelos que as empresas utilizam, eles pagarão um prêmio para a com-panhia que melhor souber lidar com o risco.

13

1. Introdução

Assim é possível aumentar o nível de tolerância ao risco por parte dos investidores, permitindo aproveitar oportuni-dades que antes pareceriam inviáveis em função dos riscos que representavam.

Neste momento, gestão de riscos deixa de ser custos e passa a ser considerada vantagem competitiva para a organização.

Para assumir mais riscos é primordial ter a exata no-ção da sua dimensão e do grau de vulnerabilidade nos sis-temas de proteção para fazerem frente a estes riscos (caso os mesmos venham a se concretizarem). Isto significa ter ferramentas para quantificação, análise, classificação, prio-rização, mitigação, monitoramento, controle e transferência dos riscos.

1.1. Objetivos

Esta obra apresenta o modelo de Análise de Risco Para-metrizada (ART), e pretende contribuir para a solução de 3 problemas básicos do gestor de riscos corporativos:

1 – Ausência de base de dados confiáveis (que invia-biliza o emprego de modelos quantitativos).

A criação de um modelo para a quantificação de riscos efetivo, capaz de auxiliar o Gestor de Risco na realização dessa tarefa, mesmo quando ferramentas quantitativas tra-dicionais não podem ser aplicadas, em função da inexis-tência de base de dados confiáveis.

14


Este ponto é fundamental, pois a maioria dos gestores de riscos deparam-se com este problema devido à falta de históricos de perdas nas organizações e no mercado.

Este fato inviabiliza o emprego de ferramentas es-tatísticas bastante conhecidas. Por vezes, os aplicativos de gestão de riscos que trabalham com modelos quali-tativos disponíveis no mercado apresentam matrizes de riscos com cenários catastróficos em termos de previ-sões probabilísticas. Isto se deve a fragilidade da mode-lagem matemática utilizada na definição das equações destas matrizes, tirando a credibilidade da metodologia empregada.

A Análise de Risco Parametrizada, metodologia en-sinada neste livro, busca reduzir/eliminar tal lacuna por meio de modelos qualitativos estruturados que apresen-tam resultados muito próximos àqueles que seriam atin-gidos se utilizássemos modelos quantitativos com base estatística.

2 – Montagem do Plano Diretor de Gestão de Riscos Corporativos

Usualmente, riscos e perigos podem ser claramente identificados, permitindo que sejam tratados e mitigados com medidas práticas.

Esta proteção dá-se pela redução do potencial e/ou pro-babilidade de ocorrência de perdas antes que as mesmas ocorram, adotando-se políticas de Avaliação de Riscos, Controle de Perdas, Transferência de Riscos e Monitora-mento de Riscos; e outros meios aplicáveis a cada caso.

Quais riscos podem ser aceitos e quais devem ser elimi-nados depende do tipo de negócio, da operação, da política,

15

1. Introdução

do apetite, do grau de tolerância a risco e dos recursos dis-poníveis em cada empresa. A alocação de esforços para minimizar os riscos associados aos mesmos é um processo técnico-gerencial.

Enquanto para empresas de grande porte o desenvolvi-mento de programas de prevenção de perdas é importante para proteger os investimentos dos acionistas; para empre-sas de pequeno porte a adoção desses programas transforma sua operação mais atrativa para investidores.

Soma-se a isso, as exigências de regulamentação (inclu-sive ambiental) e fica evidente por que controle dos riscos é tão importante para as empresas.

Assim, o segundo objetivo é dar subsídios ao leitor para montagem de um Plano Diretor de Gestão de Riscos Cor-porativos, documento central do processo de gestão de ris-cos de uma empresa.

Nele encontra-se a lista de riscos considerados críti-cos para determinada organização, sua quantificação em termos de Probabilidade (Frequência) e Impacto (Severi-dade). Tal documento também endereça a priorização e formas de mitigação destes riscos, além da definição dos responsáveis por monitorar e controlar estes riscos, segun-do opções de assunção, gerenciamento ou transferência dos riscos.

Embora estes conceitos sejam bastante claros para os gestores de riscos, a forma de como estruturá-los “passo a passo” ainda tem sido um aspecto critico para a gestão dos riscos.

16


3 – Ponto ideal entre transferência e assunção de riscos

A premissa inerente ao gerenciamento de riscos corpo-rativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incer-tezas e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos (po-sitivos ou negativos) e oportunidades, com potencial para destruir ou agregar valor.

Assim, o último ponto refere-se à definição sobre quais riscos serão assumidos pela organização e quais serão tra-tados e transformados em riscos residuais. Outra definição trata sobre quais riscos devem ser transferidos por meio de coberturas securitárias, mútuos ou outra ferramenta de transferência de riscos (contratos, Hedge, outros).

Características dos modelos de Gestão de Risco

Modelo amador Modelo estruturado (Modelo de Análise de Risco Parametrizado)

Opiniões e IntençõesModelo Estruturado, com eficiência comprovada ao longo de vários trabalhos de campo e cases. Falta de embasamento

científico

Conhecimento prático adquiri-do ao longo dos anos

Conhecimento de especialistas elicitados em check lists e organizados de forma lógica e eficiente, per-mitindo que sua execução seja realizada com similar eficiência por profissionais mais juniors

Não utilização de lógica entre causa e efeito

Modelo permite estabelecer uma clara realização de causa e efeito entre o nível de vulnerabilidade dos sistemas de proteção e a probabilidade de con-cretização de determinados riscos.

Falta de definição de conceito Conceitos claros para toda a organização dando pouca margem a interpretações difusas

Síndrome do “sempre foi feito assim”

Decisões baseadas em lógica e racionalidade apoiadas em modelos qualitativo e quantitativo

Síndrome do “todo mercado utiliza isso”

Falta de estatísticas, índices e indicadores

Modelo proporciona índices, indicadores permitin-do ao gestor identificar as principais vulnerabilida-des das unidades de negócio analisadas.

Falta de padronização de pro-cessos e análise crítica

Modelo baseado em ferramentas de processo, per-mitindo a identificação de pontos de fragilidade vi-sando à diminuição de risco

Não utilização de modelo ma-temático para mensuração de risco

Modelo matemático robusto para mensuração dos riscos

Não utilização de modelo es-truturado para definição de valores para retenção de risco

Modelo permite o cálculo do nível adequado entre retenção x transferência de risco

19

2. Conceitos Básicos

Embora o propósito principal desta obra seja o de apre-sentar uma metodologia simples para ser usada pelos Ges-tores de Riscos e que forneça o suporte necessário ao plane-jamento e à implantação de um plano de gestão de riscos, é importante apresentar alguns conceitos considerados básicos.

Uma breve recapitulação e revisão dos conceitos de ges-tão de riscos, que por vezes ficam esquecidos no dia a dia, e que contribuem para uma melhor análise de cenários, e que asseguram a correta interpretação de conceitos utilizados.

2.1. Risco

Risco é o potencial de perda existente em determi-nada ação (ou ausência de determinada ação), sendo in-certa a sua ocorrência e que ocorre quando uma ameaça encontra uma vulnerabilidade ou um conjunto de vulne-rabilidades nos sistemas de proteção, permitindo a con-cretização do risco.

É uma ameaça real ou potencial que poderá vir a con-cretizar-se e causar perdas para a empresa ou organização em questão.

Risco sempre está ligado ao impacto sofrido com a per-da (severidade) e ao grau de incerteza deste evento que pode causar (probabilidade).

Risco (Hazard) – uma ou mais condições de uma va-riável com o potencial necessário para causar danos. Esses danos podem ser entendidos como lesões a pessoas, danos a

20


equipamentos ou estruturas, perda de material em processo, ou redução da capacidade de desempenho de uma função, etc. Havendo um risco, persistem as possibilidades de efei-tos adversos.

Situação Risco Variável Condição

Trabalho em fornos

com paredes aquecidas

Queimaduras Temperatura da parede

Temperatura da parede muito maior que a

temperatura da pele

Trabalho em altura Queda Fatal Altura de

trabalho

Altura de traba-lho muito maior que a altura do

indivíduo

Definição de Risco I – representa a incerteza quanto à ocorrência de um determinado evento (acidente); a chance de perda ou perdas que uma empresa pode sofrer em função de um acidente ou série de acidentes. Ou ainda, ... “Uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular poderá explorar uma vulne-rabilidade e causar um possível prejuízo”.

Definição de Risco II – expressa uma probabilidade de possíveis danos dentro um período especifico de tempo ou número de ciclos operacionais. Na maioria das vezes é indicado pela PROBABILIDADE de um acidente ocorrer multiplicada pela SEVERIDADE (valor do dano que pode provocar – vidas, perdas materiais ou financeiras (interrup-ção de negócios, prejuízos etc.). (ISO/IEC Guide 73).

21


O Risco depende simultaneamente da PROBABILI-DADE e SEVERIDADE de ocorrência de todas e cada uma das exposições identificadas.

ESTIMATIVA DA PROBABILIDADE E DO IMPACTO – A incerteza de eventos em potencial é avaliada a partir de duas perspectivas: Probabilidade e Impacto. A probabilidade repre-senta a possibilidade de que um determinado evento ocorrerá, enquanto o impacto representa o seu efeito.

Probabilidade e impacto são termos de uso comum, em-bora algumas organizações utilizem termos, como probabi-lidade, severidade, gravidade ou consequência.

Definição de Risco III – Risco Puro e Risco Especu-lativo – expressa uma ameaça de que um evento ou ação (interno ou externo) possa afetar negativa ou positivamente o ambiente no qual se está inserido.

Definição de Risco IV – é uma função da natureza do perigo, acessibilidade ou potencial de exposição, probabi-lidade de ocorrência e a magnitude das consequências...)” (KOLLURU, 1996),

Definição de riscos (V) – Podemos considerar riscos como eventos ou condições incertas, que caso ocorram, podem gerar impactos negativos (ameaças) ou positivos (oportunidades) nos objetivos do empreendimento (por exemplo: objetivos de prazo, custo, qualidade, escopo e imagem) de programas, projetos ou serviços a serem entre-gues à sociedade.

Alinhado com esta definição, a ISO 31000 define risco como sendo “o efeito da incerteza nos objetivos” (Norma

22


ABNT ISO 31000:2009). Um risco pode ser expresso pela combinação percebida da sua probabilidade de ocorrên-cia e do(s) impacto(s) resultante(s) da(s) ameaça(s) ou oportunidade(s).

2.1.2. Outras Interpretações para Risco

• Incerteza no que se refere à ocorrência de perdas (chan-ce de perdas).

• Chance de um resultado diferir significativamente do que era esperado.

• Algumas vezes designado como um bem material em análise.

• Sempre se refere ao futuro.

• Normalmente refere-se a algo adverso.

• É sempre um elemento de incerteza.

Perigo (condição insegura) – expressa uma exposição relativa a um risco, que leva a sua materialização em danos pessoais ou materiais.

“Um perigo é um agente químico, biológico ou físico ou um conjunto de condições que apresentam uma fonte de risco, mas não o ris-co em si” (KOLLURU, 1996).

Um risco pode estar presente, mas pode haver baixo ní-vel de perigo, devido às precauções tomadas. São várias as situações onde os níveis de perigo diferem, ainda que o

23


risco se mantenha o mesmo. Uma delas é o grau de vulne-rabilidade existente nos sistemas de proteção empregados para mitigar tal risco.

Caso Prático: Um painel de força elétrica possui um risco inerente de eletroplessão, enquanto esteja energizado.

Há um alto nível de perigo se o painel estiver com seus barramentos desprotegidos e expostos aos operadores que ligam e desligam máquinas por meio de seus disjuntores.

O mesmo risco estará presente quando o painel estiver trancado num cubículo. Entretanto, o perigo agora será mínimo para os operadores, mas ter-se-á de promover o acionamento das máquinas de outra forma, ou seja, o ní-vel de vulnerabilidade dos sistemas de proteção influen-ciam diretamente na probabilidade que um risco possui de se concretizar.

Dano – é a gravidade da perda humana, material ou fi-nanceira que pode resultar, se o controle sobre um risco é perdido.

Caso Prático: Um operário sem cinto de segurança pode cair de uma viga a 2 metros de altura, resultando como dano físico, por exemplo, uma fratura na perna. Ele com certeza estaria morto se a viga estivesse no 12º pavi-mento de uma edificação. A possibilidade de o risco con-cretizar-se e o perigo (exposição) de queda são os mesmos, entretanto, a diferença reside apenas na gravidade do dano que poderia ocorrer com a queda.

24


Causa – é a origem de caráter humano ou material rela-cionada com o evento (incidente/acidente), pela materiali-zação de um risco, resultando ou não danos.

Incidente – é qualquer evento ou fato negativo com potencial para provocar danos. É também chamado “quase-acidente”.

Acidente: É a materialização de um incidente conside-rando-se a falta de prevenção.

Perda – é o prejuízo sofrido por uma organização ou pessoa, sem garantia de ressarcimento por instrumentos de transferência de riscos.

Definição de Segurança I – Pode ser definida como “isenção de riscos”; ainda que a eliminação efetiva de todos os riscos seja custosa ou praticamente impossível de efetivar. Segurança é, portanto, um compromisso com uma relativa proteção da exposição a riscos. É o antônimo de perigo.

Definição de Segurança II – Também se entende por segurança, os meios, formas, métodos, tecnologias e ações utilizados na intervenção e prevenção do evento de risco.

2.2. Gestão de Risco

Toda atividade humana inclui riscos, sendo necessário gerenciar os riscos de modo a contê-los em níveis aceitá-veis pela organização. O gerenciamento de riscos consiste na aplicação de princípios e processos para identificação e

25


avaliação de riscos ao planejamento, à implementação e ao controle das respostas aos riscos.

O Gerenciamento de Riscos tem por objetivo a proteção dos ativos e dos lucros de qualquer instituição. Esta prote-ção dá-se pela redução de ocorrência de perdas antes que as mesmas ocorram; ou pela mitigação das consequências de ocorrências danosas, adotando-se políticas de revisão legal, contratual, contratação de seguros e outros meios disponí-veis e aplicáveis a cada caso.

Plano de gestão de riscos: Segundo a ISO 31.000, con-siste de esquema dentro da estrutura da gestão de riscos, especificando a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciá-los.

Também se define como o conjunto de políticas, prá-ticas, ferramentas e metodologias, possibilitando uma alo-cação de recursos adequados, destinados a permitir a orga-nização e a consecução de seus objetivos estratégicos de acordo com o apetite de risco de seus acionistas, bem como com a sua tolerância e resiliência, levando-se em conside-ração os possíveis reveses que possam ocorrer durante este processo de atingir seus objetivos estratégicos.

Notem que o gestor de risco não irá (pois não é viável) assegurar risco zero, ou seja, admite-se que se corra certo grau de risco, desde que esteja de acordo com o apetite de risco dos acionistas e com o grau de tolerância e de resiliên-cia da empresa em suportar estes riscos. Na realidade, cabe ao gestor de risco identificar os riscos, analisá-los, priori-zá-los, definir políticas, metodologias e ferramentas para tratá-los, bem como definir a melhor forma de alocação de recursos (tecnológicos, humanos etc.) para mitigá-los.

Para SALLES JUNIOR et. AL, a mitigação de riscos visa redução da probabilidade ou do impacto de um evento de

26


risco adverso até um limite em que o valor esperado resul-tante seja aceitável.

Exemplo prático: Uma organização financeira identifi-cou e avaliou o risco de seus sistemas permanecerem inope-rantes por um período superior a três horas e concluiu que não aceitaria o impacto dessa ocorrência. A organização investiu no aprimoramento de sistemas de autodetecção de falhas e de back-up para reduzir a probabilidade de indis-ponibilidade do sistema.

2.3. Mitigação

Mitigar um risco consiste em Minimizar a probabilida-de de ocorrência; ou o impacto (Perda, Prejuízo) decorren-te da consecução de determinado risco.

Mitigar não significa reduzir determinado risco à zero, mas reduzir as vulnerabilidades existentes nos sis-temas de proteção existentes para proteger a organização deste risco.

Normalmente, quando mitigamos determinado risco, diminuímos a probabilidade de sua ocorrência ou conse-guimos diminuir o impacto, em caso de sua concretização.

Mitigação de Riscos & Contenção de Perdas

Exemplo prático: Mitigar determinado risco apresenta um caráter preventivo de medidas que envolvem o empre-go de tecnologias e sistemas de monitoramento e contro-le, a criação de planejamentos, normas, procedimentos, utilização de recursos humanos especializados ou sua

27


preparação para desempenhar determinada função de ma-neira eficiente e eficaz, tudo isto visando que a probabilida-de e as consequências da ocorrência de determinado risco seja diminuída.

2.4. Contingência

Contingência são as capacidades de se criarem planos e sistemas para lidar com as consequências da concretização de determinados riscos, evitando assim sua propagação ou limitando assim a sua perda.

Um plano de contingência robusto aumenta o grau de resiliência da organização para se restabelecer dos riscos. As duas principais características de uma ação de contin-gência é a capacidade de limitar a perda e a velocidade em se voltar a operar e permitir a organização o cumprimento de sua missão, ainda que de forma precária.

Plano de Emergência & Plano de ContingênciaCriar definição de plano de emergência

e plano de contingência

Interdependências:Via de regra; os eventos não ocorrem de forma iso-

lada. Um evento poderá desencadear outro, e ocorrer concomitantemente. Para identificar os eventos, a ad-ministração deve entender o modo pelo qual eles se inter-relacionam.

A avaliação dos relacionamentos permite determinar em que pontos os esforços da gestão de riscos estarão bem direcionados.

28


Exemplos: uma mudança na taxa de juros do Banco Central afeta as taxas de câmbio, que é relevante aos ganhos e às perdas nas transações de moeda de uma organização.

A decisão de reduzir o investimento em capital poster-gará um aperfeiçoamento dos sistemas de gestão de dis-tribuição e ocasionará um tempo de paralisação adicio-nal e uma elevação nos custos operacionais.

2.5. Resiliência

Resiliência consiste na capacidade de se retornar ao “sta-tus quo” original após ter sido atingido por determinado ris-co, ou seja, quão rápido a empresa consegue voltar a cumprir sua missão após determinado risco, catástrofe, acidente ou incidente que a impeça momentaneamente de cumprir a sua atividade fim.

2.6. Perda

Perda consiste em um resultado negativo causado por um evento específico. Normalmente, perda está diretamen-te ou indiretamente ligada à perda financeira. Geralmente, a concretização de riscos implica em perdas.

VALOR MÁXIMO EM RISCO: é definido considerando a perda total da instalação; tendo como origem incêndio do armazém ou veículo; ou eventos catastróficos como queda de aeronaves, terremotos, maremotos, furacões, ciclones e outros desastres naturais.

29


PERDA MÁXIMA POSSÍVEL: é definida como a maior perda estimada em decorrência do pior dano possível em um local, com ampla propagação às áreas vizinhas. Exem-plo: ocorrência de incêndio do armazém ou veículo. Não se consideram quaisquer sistemas de proteção.

PERDA MÁXIMA PROVÁVEL: é definida como a maior perda estimada em decorrência do pior dano possí-vel em um local, com ampla propagação às áreas vizinhas. Exemplo: ocorrência de incêndio do armazém ou veículo. Considera-se que os sistemas de proteção foram efetivos para limitar as perdas. Ex.: resistência ao fogo, integridade estrutural, carga combustível, continuidade dos combustí-veis, e qualidade dos esforços do Corpo de Bombeiros, Bri-gada de Emergência e Plano de Auxílio Mútuo.

PERDA NORMAL ESPERADA: estima a ocorrência de um cenário de perdas durante condições normais de ope-ração, considerando a existência de proteções adequadas e em funcionamento.

O conceito de perda esperada significa o impacto (seve-ridade) de determinada perda multiplicado pela probabili-dade (frequência) de sua ocorrência.

Exemplo Prático: Digamos que determinada empresa tem uma média de 100 carregamentos por mês e apresen-ta 1 avaria por mês com um valor de perda média de R$ 150.000,00 por cada evento de avaria. E que esta média vem-se mantendo praticamente inalterada nos últimos 3 anos. Logo, sua perda esperada por carregamento é de R$ 150.000,00 X 1/100 = R$ 1.500,00 por carregamento.

Grosso modo, poderíamos dizer que deveríamos des-contar R$ 1.500,00 por carregamento para fazer um fundo

30


para cobrir perdas futuras ou contratar uma apólice e in-cluir seus custos como custo do negócio. Caso contrário, podemos estar esperando um lucro que não irá ocorrer ou será bastante afetado em termos de resultado devido a um sinistro que irá ocorrer.

2.7. Riscos Críticos

São os riscos que afetam os Fatores Críticos de Sucesso de uma organização. Estes riscos, em decorrência de suas consequências, são considerados. prioritários para o gestor de risco de qualquer organização; e devem ser identifica-dos, quantificados, mitigados e monitorados com especial cuidado pela equipe de gestão de riscos.

2.8. Fatores Críticos de Sucesso

São os fatores (variáveis) que suportam uma empresa na consecução de sua missão e para atingir sua visão de futuro, ou ainda de entregar a sua proposta de valor.

Os Fatores Críticos de Sucesso de uma organização podem ser tangíveis (ex.: sistemas de controle, capacidade de armaze-nagem etc...) ou intangíveis (ex.: imagem, credibilidade etc...).

Estes fatores são definidos de acordo com o tipo de ne-gócio da organização, e independentemente de como eles são apresentados ou classificados, são considerados vitais para a organização, e devem receber uma atenção especial e contínua.

Qualquer evento que venha afetá-los pode potencialmen-te gerar prejuízo às atividades correntes da organização, seus objetivos estratégicos ou o cumprimento de sua missão.

31


Seguem abaixo, exemplos de fatores críticos de sucesso de uma indústria do ramo farmacêutico:

• Know-How• Qualidade• Pesquisa & Desenvolvimento• Capital Intelectual• Credibilidade• Marca

Se utilizarmos como exemplo uma empresa do ramo siderúrgico, outros fatores críticos de sucesso são normal-mente considerados:

• Capacidade Logística• Capilaridade • Parcerias Estratégicas• Acesso a Recursos naturais • Capacidade Gerencial• Capacidade Operacional

2.9. Riscos Residuais

Os riscos já identificados e tratados podem não ser total-mente mitigados ou eliminados por inviabilidade financei-ra, técnica, apetite a risco, mecanismos de transferência de riscos ou outro fator a ser considerado.

Essa parcela é considerada como risco residual.

32


2.10. Apetite a Risco

Refere-se à predisposição de uma determinada organi-zação, ou grupo de acionistas, a aceitarem determinados ní-veis de risco em suas operações.

Apetite pelo risco: segundo a ISO 31.000, consiste na “dimensão e tipos de riscos” que uma organização está pre-parada para buscar, manter ou assumir.

Aversão ao risco: atitude de afastar-se dos riscos.

De acordo com a 5 ª edição do Guia PMBOK, o apetite de risco é o grau de incerteza que a entidade está disposta a assumir, em antecipação de uma recompensa.

O apetite de risco de uma organização mostra o quanto uma organização está disposta a assumir um risco, a fim de crescer. É a quantidade de risco que uma organização está disposta a aceitar para atingir seu objetivo de negócios.

Algumas organizações podem estar dispostas a assu-mir um risco elevado se a se o retorno pelo investimento é considerado alto; outras podem querer manter uma postu-ra mais segura e conservadora.

Se a organização está disposta a assumir um risco, você diria que seu apetite de risco é alto, e se a organização atua de forma conservadora, ela tem um apetite de risco baixo.

Reflete a forma como cada organização está disposta a admitir a “probabilidade” de ocorrência de perdas, ou acei-tar que eventual ganho em outra perspectiva supera o po-tencial prejuízo advindo do risco em análise.

33


2.11. Tolerância a Risco

De acordo com a 5ª edição do Guia PMBOK, tolerância ao risco é o grau, quantidade ou volume de risco de que uma organização ou indivíduo irá suportar.

Tolerância ao risco lhe diz o quão sensível a organi-zação ou as pessoas são aos riscos. Alta tolerância sig-nifica que as pessoas podem suportar um risco elevado e baixa tolerância significa que as pessoas não conse-guirão suportar muito risco. Ela também diz respeito à resiliência/capacidade financeira que a empresa tem para suportar perdas.

Enquanto “apetite ao risco” está associado ao nível de risco que a organização pode aceitar na busca e realização de sua missão/ visão (análise ex-ante), “tolerância ao risco” diz respeito ao nível aceitável de variabilidade na realização das metas, objetivos definidos (atividade mais associada ao monitoramento, ex-post) e suportabilidade/capacidade de absorção das perdas.

Vamos considerar que você está fazendo uma proposta para um projeto. Suas estimativas aproximadas dizem que o custo do projeto será de cerca de US$ 100.000. Você está no processo de submeter sua proposta, e sua organização disse que eles não podem permitir que você exceda mais de 10% deste montante.

Este 10% é o seu limite de tolerância.

Resumo:

O apetite de risco pode ser considerado como uma tendên-cia de um indivíduo ou grupo de pessoas para assumir riscos.

34


Tolerância ao risco é uma variação aceitável, por exemplo entre 5% e –5%. A tolerância é um limite de suportabilidade.

Caberá ao Comitê de Administração, ou Diretoria Executiva na inexistência do CA, a discussão e a clara definição do apetite a riscos da organização e a direção adequada a ser sugerida como orientação emanada da alta administração.

A este comitê também caberá sugerir os limites de to-lerância aos diferentes riscos identificados como aceitáveis pelo conselho de administração.

Os limites constituirão a ferramenta para a área executi-va conduzir as políticas da empresa.

2.12. Cultura de Risco

Refere-se à postura adotada por determinada organiza-ção para lidar com riscos. Ela define o grau de sensibilida-de com que determinada organização trata riscos e como ela leva em conta os fatores de risco para tomar determi-nadas decisões.

À medida que as empresas ganham mais maturidade nesta questão, elas são capazes de levar em conta os fa-tores de risco em suas decisões de forma quase que au-tomática. Todos os executivos reconhecem a importância do tema e levam em consideração para o seu processo de tomada de decisão.

Atitude perante o risco: segundo a ISO 31.000, repre-senta a abordagem da organização para avaliar e eventual-mente buscar, manter, assumir ou afastar-se do mesmo.

35


2.13. Perigo

Como indicado anteriormente, Perigo (condição insegu-ra) – expressa uma exposição relativa a um risco, que leva a sua materialização em danos pessoais ou materiais.

Normalmente, perigo está ligado a situações de risco que podem gerar ameaças ou consequências graves para a vida ou segurança física das pessoas.

2.14. Vulnerabilidades

Refere-se às falhas ou deficiências existentes em nossos sistemas de proteção.

Estes sistemas incluem:

• Capital Intelectual – são os recursos humanos e suas competências essenciais necessárias para performarem adequadamente suas funções,

• Tecnologia – refere-se aos softwares, hardwares e in-fraestrutura empregada para operar os sistemas de se-gurança e monitoramento de riscos (sensores, detecto-res, monitoradores, bloqueadores, etc..) e

• Normas e procedimentos – são as políticas, os planos, os procedimentos operacionais padrão, fluxogramas, etc... que servem para fazer a ligação entre o capital intelectual e a tecnologia, assegurando que a operação ocorra dentro de um nível de risco aceitável e de forma eficiente e eficaz.

36


2.15. Ameaças

Ameaças são considerados todos os agentes capazes de performar qualquer ação que possa culminar com a concre-tização de determinado risco.

As ameaças são os agentes que causam ou permitem que os riscos possam ocorrer.

As ameaças podem ser externas ou internas a uma or-ganização. Não necessariamente é um agente humano. O raio é um exemplo claro de ameaça (oriunda de agente não humano) que pode causar um risco de incêndio.

2.16. Análise de Risco

Análise de risco é o processo composto das seguintes fases:

• Levantamento dos riscos,

• Identificação dos riscos críticos,

• Avaliação e classificação dos mesmos.

Tais informações subsidiarão as fases seguintes:

• Análise das vulnerabilidades (gaps) nos sistemas de proteção,

• Análise custos X benefício das soluções,

• Definição dos riscos a serem eliminados, assumidos e transferidos;

37


• Confecção dos planos de ação para diminuir os gaps identificados,

• Priorização da implementação das soluções.O primeiro passo para definir qual tratamento será dado a

cada risco consiste em determinar o grau de exposição da or-ganização àquele risco, e seu efeito potencial – a probabilida-de de ocorrência e o impacto da potenciais perdas ou ganhos.

Em geral, os impactos são medidos pelos prejuízos fi-nanceiros, no período de tempo. Entretanto, é importante incorporar na análise os impactos mais difíceis de mensurar – imagem, mercado, retenção de pessoas e muitas outras.

A quantificação do grau de exposição nem sempre é tri-vial, podendo haver interdependência entre os riscos. Assim, um determinado evento pode gerar “impactos múltiplos”, com efeitos sobre diferentes tipos de riscos, em diversas áreas.

Neste caso, o grau de exposição irá depender do impac-to financeiro consolidado e da probabilidade conjunta de todos os eventos.

2.17. Retenção de Risco

Refere-se ao fato da organização assumir toda responsa-bilidade pelo pagamento das consequências de determinado risco, sem realizar qualquer forma de transferência (seguro, mutuo, etc..)

2.18. Tratamento dos Riscos

Partindo-se do princípio de que não existe atividade sem riscos, a alternativa é administrá-los segundo tratamen-to adequado a cada caso.

38


Para tal poderemos optar por eliminar operações que não estejam de acordo com o apetite de risco da organização, tra-balhar na sua prevenção ou no seu tratamento trazendo-os para um patamar de risco aceitável.

Após tratá-los, eles passam a ser considerados riscos resi-duais. Só então, eles devem ser transferidos. Transferir riscos sem tratá-los, significa assumir custos altos de prêmios de se-guros. Logo, é de bom alvitre que somente os riscos residuais sejam inseridos em programas de seguros.

A Gestão de Riscos tem de oferecer medidas práticas e eficazes, com base na vulnerabilidade existente interferindo o mínimo possível no dia a dia da empresa.

Os custos da gestão de risco não podem ser maiores do que o custo da concretização do risco, bem como as medidas de gestão de risco não podem ser impeditivos para que a empresa cumpra a sua missão ou entregue a sua proposta de valor.

Cabe lembrar, que todo risco, após sua concretização, pos-sui consequências diretas e indiretas, atinge ativos tangíveis (imóveis, utensílios etc...) e ativos intangíveis (marca, ima-gem, credibilidade etc...). Logo, é importante levar em consi-deração os efeitos dos ativos intangíveis no cálculo do custo da solução a ser empregada para mitigá-los.

A contratação de seguro é uma das formas mais conheci-das de financiamento de risco, constituindo-se de mecanismo de Transferência de Risco.

Na realidade o efeito deste risco é diluído por aqueles que contratam o mesmo tipo de seguro. O risco encontra--se “mutualizado” pelas diversas empresas que compõem aquela carteira.

Alternativamente, a empresa pode decidir por assumir (totalmente ou parcialmente) os riscos e estabelece fundo

39


com recursos financeiros para suportar eventual perdas. Caso não ocorram, o recurso é convertido em lucro.

Nesse caso, é importante certificar-se estar lidando com riscos residuais, ou seja, diminua ao máximo o nível de vulnerabilidade em seus sistemas de proteção referen-tes a estes riscos.

A empresa pode decidir eliminar determinado risco decli-nando da operação ou do negócio que traria este risco.

Um dos erros mais comuns em gestão de risco consiste na adoção de processos de transferência de riscos sem antes tratá-los. Neste caso dizemos que está sendo transferido o risco puro.

Conclusão: Um dos objetivos da Gestão de Risco Cor-porativo é buscar um nível confortável e balanceado de re-tenção, redução, exploração e transferência de riscos, ade-quado a seu apetite definido estrategicamente, envolvendo os objetivos, os riscos respectivos e os controles internos

2.19. Riscos catastróficos

Seres humanos não são evolutivamente adaptados a li-darem com riscos catastróficos devido a suas probabilidades

40


baixas, impossibilidade de evitá-los e improvável sobrevi-vência a eles.

Isto, aliado a viéses cognitivos, faz com que tenhamos uma predisposição a negligenciá-los apesar da sua enorme importância.

Uma catástrofe é, efetivamente, um evento raro, com probabilidade de ocorrência inferior a 10-5 (outra vez, nos referimos a critérios e estatísticas de países desenvolvidos, porque aqui no Brasil são poucas as atividades com regis-tros históricos, confiáveis e representativos). Todavia, sua elevada gravidade atrai muito mais a atenção do público que os pequenos e frequentes acidentes.

De certa forma, é um mecanismo idêntico ao que se pas-sa nas empresas, em que pequenos e frequentes acidentes não conseguem despertar o interesse dos executivos, em comparação com os acidentes de maior vulto e de frequên-cia extremamente baixa.

Se temos a ocorrência repetitiva destes riscos (indepen-dentemente do seu nível de impacto) é sinal que estamos diante de um processo operacional falho ou pouco robusto. A grande preocupação neste caso é que este processo pos-sa gerar a ocorrência de grandes perdas ocasionais ou gere contínuo desgaste com o cliente.

Por vezes a concretização do risco pode assumir propor-ções de tal monta que geraria um impacto catastrófico para a empresa, podendo resultar em perdas de vidas humanas, destruir investimentos, desorganizar a sociedade e fazê-la desaparecer.

Alguns exemplos – grande incêndio ou eventos da natu-reza com efeitos catastróficos (vendaval, furação, terremo-to, dentre outros).

41

3. Análise de Risco Parametrizada

A Análise de Risco Parametrizada emprega um modelo qualitativo baseado em tabelas de referência e em audito-rias “in loco” para mensurar os “gaps” existentes nos siste-mas de proteção existentes.

Esta metodologia fornece 2 importantes “outputs”: a matriz de riscos críticos e o “heat map” de vulnerabilida-des. A matriz é o resultado da quantificação dos riscos de forma gráfica, permitindo ver os impactos (severidade) e a frequência (probabilidade esperada) de cada risco. O “heat map” fornece uma visão clara dos “gaps” existentes nos sis-temas de proteção.

O principal conceito que norteia a Análise de Risco Parametrizada é balancear o nível de risco com o nível de vulnerabilidade existente nos sistemas de proteção, ou seja, quanto maior o risco da operação, melhor devem ser os sis-temas de proteção (menor devem ser os gaps). Isto significa que os gestores de risco podem aceitar determinados riscos, desde que eles diminuam as vulnerabilidades existentes em seus sistemas de proteção. Ou seja, se o nível de risco au-mentar pela aceitação de um novo risco crítico, o gestor de risco deve diminuir o seu grau de vulnerabilidade em proporção similar a fim de manter risco e vulnerabilidade equilibrados. O gestor de risco, neste caso, age em 4 prin-cipais vetores: tecnologia (sistemas, softwares, hardwares, infraestrutura etc.), capital intelectual (recursos humanos + as competências essenciais necessárias para perfomarem adequadamente suas funções), normas e procedimentos (fluxogramas, procedimentos operacionais, políticas, dire-trizes etc.) e cultura organizacional.

42


Todas as organizações enfrentam incertezas e o desafio de seus administradores é determinar até que ponto acei-tar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interes-sadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor.

A avaliação dos riscos tem como principal objetivo determinar a probabilidade do risco vir a se concretizar e quais as principais consequências dele advindas.

O desafio é estabelecer critérios confiáveis de avaliação e tomada de decisão em relação ao nível de proteção ideal.

Quando se possui um histórico com um universo amos-tral adequado podemos utilizar processos objetivos por meio de ferramentas estatísticas, contudo quando não temos uma base de dados suficiente ou sem a devida confiabilidade po-demos parametrizá-los através de processos subjetivos.

43


Tais processos embora subjetivos são processos científicos e apresentando relativa confiabilidade. Dentre eles podemos citar os Métodos de Mosler, T – Fine, Método Brasiliano e Método de Análise de Risco Parametrizada. Quando temos a opção de utilizar o Método Estatístico este deverá ser em-pregado em detrimento dos demais, uma vez que o grau de assertividade é maior. Tanto os Métodos de Mosler quanto o de T-Fine e Método Brasiliano não serão tratados neste livro.

Com a grande vantagem de aproveitar o conhecimen-to dos métodos anteriores, o Método de Análise de Risco Parametrizada insere alguns novos elementos e leva em consideração a definição de dois grandes componentes: a probabilidade e o impacto por meio da Quantificação do Impacto (QI) e da Estimativa da Probabilidade (EP).

3.1. Método de Análise de Risco Parametrizada

A Análise de Risco Parametrizada emprega um mode-lo que pretende reduzir a análise dos riscos executada de maneira subjetiva, através da incorporação de referências objetivas para mensuração das brechas e vulnerabilidades existentes nos sistemas de proteção.

Outra importante referencia é a de estabelecer uma me-todologia que contribua para auxiliar a análise dos riscos, e decisão do estabelecimento do nível ótimo de balancea-mento entre RISCOS e VULNERABILIDADES.

Alguns riscos podem ser assumidos, desde que os siste-mas de proteção existentes tenham contribuído para reduzir as vulnerabilidades da instalação ou processo em análise.

44


Ou seja, o gestor de risco deve indicar a necessidade de implantação das proteções necessárias a fim de manter RISCO e VULNERABILIDADE equilibrados.

A metodologia propõem 4 principais vetores a serem analisados:

• Tecnologia – infraestrutura, sistemas etc.,

• Elemento humano – competências essenciais para exe-cução das funções,

• Normatização – fluxogramas e procedimentos opera-cionais, políticas, diretrizes etc.) e

• Cultura organizacional.

A metodologia de Análise de Risco Parametrizada consiste basicamente na aplicação direta de listas verifica-ção, que incorporam parâmetros predefinidos para determi-nação do grau de vulnerabilidade dos sistemas de proteção.

Para tal, utilizar-se uma lista de parâmetros em cin-co níveis de classificação – onde cinco refere-se ao nível mais baixo de efetividade do item avaliado (ou seja, maior vulnerabilidade).

Desta forma, pretende-se obter melhor grau de precisão da avaliação, e maior assertividade pela menor variação dos critérios utilizados.

Outra característica da Análise de Riscos Parametri-zada é sua facilidade na aplicação devido ao grau de deta-lhamento dos parâmetros em questão, conforme podemos constatar no quadro a seguir:

45


PLANILHA DE ANÁLISE DE RISCO PARAMETRIZADA

ÁREA ÁREAS E INSTALAÇÕES

GRUPO – TIPO: SISTEMAS DE BARREIRA PERIMETRAL

PARAMETRIZAÇÃO VALOR GRAU

Qualidade/Estrutura

A) A empresa possui barreira periférica constituída de alve-naria tipo “muro de fábrica” (4 metros ou mais de altura) com espessura do tipo “tijolo deita-do” ou de bloco de concreto em torno de 40 cm de largura, pos-suindo vigas de sustentação a cada 4 metros ou menos.

1

B) A empresa possui barreira periférica constituída de alve-naria (2,5 metros ou mais de altura) com espessura de um muro normal ou de bloco de concreto normal, possuindo vi-gas de sustentação a cada 5 à 8 metros.

2

C) A empresa possui barreira periférica constituída de pla-cas de concreto ou tijolos co-merciais (2 metros ou mais de altura)

3

D) A empresa possui barreira periférica constituída de placas de concreto relativamente anti-gas ou tijolos comerciais sem embolso em um ou nos 2 lados

4

E) A empresa possui barreira periférica constituída de placas de maderite ou cercas de ara-me (tipo industrial ou não)

5

46


A simplicidade e uniformidade de sua aplicação podem contribuir para ampliação da aplicação do protocolo de aná-lise a um numero maior de processo, e o engajamento de uma quantidade de maior de pessoas; mesmo que não te-nham formação profissional especifica.

A Análise de Risco Parametrizada também pode ser aplicada aos mais variados campos de atividade, sendo ne-cessária somente a realização de um processo de “Elicita-cão do Conhecimento” por especialistas da área para a defi-nição das Tabelas de Análise de Risco Parametrizado que serão utilizadas posteriormente nos trabalhos de campo.

Nesse sentido, este processo demanda a realização de discussões com especialistas da área para a definição dos grupos de aspectos a serem avaliados, e dos parâmetros a serem utilizados. Normalmente, cobrindo 4 conjuntos a se-rem avaliados/auditados a saber:

Sistemas Protecionais – grau de aderência dos meios tecnológicos ou infraestrutura existente e/ou necessários para o desenvolvimento de determinada atividade, ou seja, se estes meios tecnológicos auxiliam para diminuir o nível de vulnerabilidade (exemplos: CFTV, sensores, atuadores, rastreadores, etc.)

Segurança de Processos – grau de robustez dos pro-cessos em vigor, ou seja, qual o número de mecanismos e ações que asseguram que determinado processo transcorra dentro de um padrão sem ocorrer desvios (procedimento operacional, check list, indicadores, auditorias, etc.)

Elemento Humano – grau de adequabilidade do ca-pital intelectual em relação à quantidade e sua capacidade

47


para desenvolver suas funções, ou seja, se o número é sufi-ciente e se os mesmos possuem as competências essenciais adequadas para bem desenvolver suas funções (treinamen-tos, diálogo semanal de segurança, simulados, tarefas de rotina etc.)

Politica e Cultura – grau de resiliência da cultura or-ganizacional referente ao tema avaliado, ou seja, como as pessoas aceitam e aderem espontaneamente às ações que visam diminuir os riscos de determinada organização.

3.1.1. Outras vantagens da metodologia

A metodologia permite a criação de parâmetros não só para a obtenção de indicadores para os processos de Audi-toria e Gestão de Riscos, mas também para a definição de indicadores de controle rotineiros.

Também é possível utilizar os sistema de indicadores para a definição de metas em contratos com terceiros na forma de Service Level Agreement (sistema de medição de entregas que vincula o valor do pagamento pela presta-ção do serviço ao desempenho obtido).

Tais indicadores são facilmente sistematizados por meio de “Heat Maps” (quadros coloridos que apresentam as vul-nerabilidades dos sistemas de proteção de cada área da em-presa baseado no resultado das auditorias utilizando-se os parâmetros) e podem ser atualizados de tempos em tempos à medida que novas tecnologias vão surgindo.

48


3.2. Análise de Risco Parametrizada: Fases

Apresentamos a seguir as diversas etapas da Análise de Risco Parametrizada.

3.2.1. Entendimento do Negócio

O início de qualquer análise de risco séria e consistente passa pelo correto entendimento do negócio em questão. Esta fase consiste de se ter um correto entendimento da pro-posta da missão da organização em questão, de sua propos-ta de valor, de sua visão de futuro e de seus fatores críticos de sucesso. Sem o correto entendimento do negócio, sem saber exatamente o que os clientes da referida organização e seus acionista enxergam como valor, o gestor de risco irá entregar soluções que não são aderentes ao negócio ou até mesmo inviabilizariam o negócio em si.

3.2.2. Identificação dos Riscos Críticos

A fase de identificação é a fase na qual a lista geral de riscos é feita.

Certamente, uma grande empresa terá uma imensa lista de riscos se fizer este levantamento baseado em discussão direcionada, que deve considerar todos os riscos identifica-dos inicialmente.

O ponto crucial nesta fase é a capacidade de criar uma Lista de Riscos Críticos, quais impactam significativamente os fatores críticos de sucesso de determinada organização.

Fazendo-se esta Lista de Riscos Críticos de forma adequada, é possível focar energias e recursos na mitiga-ção dos principais riscos e evitar dispersar-se em riscos

49


secundários. Cabe lembrar que todo gestor de riscos tem uma capacidade limitada de recursos para monitorar, con-trolar e mitigar riscos.

3.2.3. Definição do Modelo de Racional

A etapa relativa a “Definição do Modelo de Racional” consiste em identificar quais fatores de risco (variáveis) são inerentes a cada processo a ser analisado; e considerá-los como variáveis para o cálculo das vulnerabilidades.

3.2.4. Avaliação dos Riscos Críticos

A fase de avaliação visa estimar qual o tamanho da per-da causada pela concretização de determinado risco levan-do-se em conta o seu impacto (severidade) e sua probabili-dade (frequência). É interessante lembrar que a ISO 31.000 (norma que trata e sugere práticas de gestão de riscos) não define uma forma, método ou descreve o melhor método para se fazer a avaliação dos riscos, admitindo que os riscos sejam avaliados utilizando-se ferramentas qualitativas ou quantitativas.

Nos modelos quantitativos, são utilizadas ferramentas quantitativas para definir os eventos de risco. Contudo, nes-tes casos, necessitamos ter sólidas bases de dados com nú-meros suficientemente confiáveis para que possamos apli-car as ferramentas estatísticas.

Por outro lado, quando não possuímos uma base de dados confiável ou a quantidade de dados adequada para se aplicar ferramentas estatísticas, utilizamos um modelo qualitativo. Nestes casos, os especialistas criam tabelas de referência, divididas por faixas, onde pode-se contrastar a

50


situação atual com as descritas na tabela. Desta forma, é possível obter uma estimativa do risco, mesmo sem a utili-zação das ferramentas estatísticas.

Cabe lembrar, que os gestores de risco de empresas (ex-cetuando-se as empresas ligadas a mercado financeiro), ao menos no Brasil e América Latina, diferentemente das se-guradoras e grandes corretoras de seguro, raramente pos-suem uma base de dados adequada disponível. Desta forma, cresce de importância a necessidade de conhecer os mode-los qualitativos para mensuração de riscos.

A Análise de Risco Parametrizada é baseada principal-mente no uso de tabelas de referências qualitativas (embora permita a utilização de ferramentas estatísticas) para a de-finição das faixas destas tabelas para se definir os impac-tos (severidade) e probabilidades (frequência) dos riscos avaliados.

3.2.5. Análise de Vulnerabilidades

A análise de vulnerabilidades é a fase na qual avalia-mos os sistemas de proteção capazes de mitigar os riscos críticos que constam nas matrizes de riscos. Estes siste-mas são avaliados por meio de auditorias “in loco”. Le-vando-se em conta sua adequabilidade no que se refere ao capital intelectual empregado (dimensionamento e treina-mento), a tecnologia utilizada (adequabilidade e quantida-de), as normas e procedimentos (aderência e respeito) e a cultura organizacional (aceitação e cultura de risco). Nes-ta fase gera-se um Heat Map (mapa de vulnerabilidades dos sistemas de proteção), permitindo ao gestor de risco ter uma ideia clara de onde encontram-se os maiores gaps em seus sistemas de proteção.

51


3.2.6. Classificação dos Riscos Críticos

Nesta fase, após estimar quão crítico estes riscos são para determinada organização, ou seja, quanto eles afe-tam os Fatores Críticos de Sucesso daquela organização, devemos grupá-los e priorizá-los. Podemos classificá-los utilizando-se uma Matriz de Riscos: matriz com eixos de-finindo o grau de impacto (severidade) e a probabilidade (frequência) ou utilizarmos o conceito de perda esperada, onde multiplicamos o grau de impacto pela probabilidade. Desta forma, podemos classificá-los de forma lógica. A ma-triz permite que tenhamos uma perspectiva visual do risco e que possamos enquadrá-los dentro de quadrantes (o que facilita para adotar soluções padronizadas para determina-do grupo de riscos).

No caso de se adotar o critério da perda esperada, pode-mos ordená-los de forma lógica. Recomendamos à utiliza-ção de ambas as ferramentas em conjunto. Entendemos que existe complementariedade entre elas.

3.2.7. Matriz de Criticidade

Nesta fase, é confeccionada a Matriz de Criticidade

3.2.8. Balanceamento: Risco X Vulnerabilidade

Nesta fase são linkados os riscos existentes na Matriz de Riscos Críticos com os sistemas de proteção existen-tes e suas vulnerabilidades (Heat Maps), ou seja, o risco é analisado sobre sua probabilidade e seu impacto (Matriz de Riscos Críticos), enquanto é analisado se os sistemas de proteção para mitigar estes riscos são adequados para tal.

52


Exemplificando, teríamos o risco de incêndio sendo lan-çado na Matriz de Riscos Críticos, onde seria analisado seu impacto e probabilidade e do outro lado teríamos os Heat Maps dos sistemas de proteção contra incêndio, que nada mais são do que mapas cromáticos que sintetizam o resultado das auditorias nos sistemas de proteção contra o risco de incêndio nos seguintes aspectos: Tecnologia – adequabilidade dos sistemas de sprinkler, hidrantes, etc...; Capital Intelectual – existência e treinamento das brigadas de incêndio em número adequado e de forma adequada, etc...; Normas/Procedimentos – planos de contingência, planos de abandono, etc...; Cultura Organizacional: grau de aderência da cultura organizacional às normas e proce-dimentos de gestão de risco de forma espontânea e consis-tente, ou seja, quanto as pessoas preocupam-se com risco de forma genuína.

3.2.9. Definição de Responsabilidade/Accountability

A próxima fase é a definição de responsabilidade e ac-countability pelos riscos. Responsável é aquele que será co-brado caso determinado risco venha e se concretizar. Será questionado a respeito do monitoramento, controle e planos de ação e mitigação para transformar determinado risco em risco residual e diminuir as consequências de seu impacto e sua probabilidade. Accountability refere-se ao acompanha-mento e implantação das ações direcionadas ao tratamen-to ou mitigação de determinado risco. A diferença básica consiste na responsabilização das consequências do risco (normalmente nível gestão ou direção) e quem efetivamen-te conduz os planos de ação e controles.

53


3.2.10. Tratamento/Mitigação dos Riscos Críticos

A fase de tratamento/mitigação dos riscos consiste ba-sicamente na definição e implantação de Planos de Ação/Mitigação ou projetos específicos voltados a diminuir os níveis de vulnerabilidade nos sistemas de proteção que evi-tam ou diminuem as consequências da concretização de de-terminado risco.

3.2.11. Política de Alocação de Custos de Gestão de Riscos/Seguros

Uma das fases mais complexas é a definição da Política de Alocação de Custos de Gestão de Riscos e de Seguros. Esta política define as diretrizes para a alocação dos custos de gestão de riscos e de seguros por áreas dentro da empre-sa. Esta política deve ser baseada em modelos de racionais que permitem a premiação para aquelas unidades que vem desenvolvendo um bom trabalho de gestão de riscos e vem atingindo um bom resultado na diminuição do nível de vul-nerabilidade e do número de avarias e perdas de suas uni-dades de negócios.

3.2.12. Desenvolvimento da Cultura Organizacional

A última fase é o desenvolvimento da Cultura Organi-zacional. Esta fase consiste na execução de um trabalho de evangelização dos colaboradores da organização a fim de se criar uma cultura preventiva no que concerne a prevenção do risco. Para tal, todas as áreas da organização devem ser envolvidas e deve-se buscar o estabelecimento e o treina-mento de focal points e multiplicadores nas diversas áreas.

55

4. Análise de Risco Parametrizada: passo a passo

Enquanto no item anterior o foco foi proporcionar uma visão geral da metodologia e dizer o que é cada fase, neste item o objetivo é apresentar todas as fases da metodologia, e descrever como funciona cada uma delas.

4.1. Entendimento do Negócio

Para o adequado alinhamento do Plano de Gestão de riscos aos objetivos do empreendimento, o gestor de risco deve considerar o interesse dos investidores, colaboradores, mas também o que é considerado crítico pelos principais clientes da organização.

O perfeito entendimento do planejamento estratégico da empresa também contribui para melhor efetividade dos es-forços relacionados à Gestão de Riscos; já que a principal responsabilidade do gestor de riscos é prover soluções que permitam que a empresa cumpra sua missão, seus objetivos estratégicos e sua proposta de valor assumindo riscos acei-táveis e condizentes com o apetite de risco de seus investi-dores e seu nível de resiliência (tolerância).

4.1.1. Missão da Empresa

A declaração de missão da empresa auxilia a dar foco nos esforços a serem realizados pelos diversos departamentos, evitando dispersão de atenção em atividades secundárias.

56


Segue abaixo exemplo de declaração de missão de em-presa do setor hoteleiro:

Missão

Ser a empresa líder em “franchinsing” internacional de hotéis, obtendo os maiores retornos para os seus clientes, investidores, empregados e “shareholders”. Na consecução destes objetivos, mantendo sempre os mais altos padrões de ética, integridade e profissionalismo.

4.1.2.Valores

Valores são o conjunto de características de uma deter-minada pessoa ou organização, que determinam a forma como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio ambiente.

Uma empresa se destaca das outras não só pela sua área de atuação, mas também pelo claro desenvolvimento e di-vulgação da sua missão, visão e valores.

Assim, os valores de uma empresa consistem em com-portamentos que determinam como ocorre a gestão de uma empresa. Uma empresa sustentável costuma estar alicerça-da em valores como honestidade, responsabilidade social, integridade, inovação, sustentabilidade, transparência, inte-ligência, inspiração, flexibilidade, entre outros.

Essas normas e princípios devem permear por toda or-ganização, e devem ser incorporados ao Plano de Gerencia-mento de Riscos.

57


4.1.3. Visão de Futuro

Declaração de visão é uma declaração dos objetivos de uma organização, de preferência com base na previsão econômica, destinados a orientar o seu processo interno de tomada de decisão.

A visão de uma empresa traduz, de uma forma abran-gente, um conjunto de intenções e aspirações para o futuro, sem designar o modo de alcançá-las.

Serve de modelo para todos os integrantes e participan-tes na vida da empresa com o objetivo de atingir a excelên-cia profissional melhorando as capacidades individuais, e da mesma maneira deve orientar os esforços relacionados a Gestão de Riscos.

Visão de futuro

Ser reconhecida como a maior gerenciadora de riscos do Brasil e ser uma das três maiores nos principais países da América Latina nos próximos cinco anos.

4.1.4. Fatores Críticos de Sucesso

Fatores críticos de sucesso são os elementos necessários para que uma organização possa cumprir sua missão, visão de futuro e possa entregar a sua proposta de valor. Na maior parte dos casos, são competências ou recursos específicos sem os quais uma organização não sobrevive. Os fatores críticos de sucesso podem ser diferentes de uma organiza-ção para a outra e podem depender da sua estratégia.

58


Nesta fase será feita um alinhamento da gestão de riscos ao planejamento estratégico, para o que se faz necessária a determinação dos fatores críticos de sucesso.

A seguir uma relação de fatores críticos de sucesso de uma empresa como exemplo:

Fatores críticos de sucesso

1. Imagem institucional2. Excelência no atendimento3. Capacidade organizacional4. Capacidade de pronto atendimento5. Segurança6. Localização geográfica7. Clima de cordialidade8. Satisfação do cliente9. Valorização do capital humano

Obs.: fatores críticos de sucesso de uma empresa do setor hoteleiro.

4.2. Identificação dos Riscos Críticos

Uma lista geral de “Riscos Críticos” é elaborada a partir de discussão aberta entre o time de gestão de risco e repre-sentante das diversas áreas.

Essa lista inicial, elaborada empiricamente, é baseada na percepção das pessoas sobre os riscos que afetam suas atividades, e impactam os fatores críticos de sucesso de de-terminada organização. Apesar de importante contribuição

59


inicial, não incorpora qualquer análise crítica ou bases his-tóricas, sendo pouca assertiva.

Entretanto, permite ao gestor de risco coletar as per-cepções dos representantes, desenvolver uma “Cultura de Gestão de Riscos”, e iniciar processo de comprometimento das áreas envolvidas para implantação do plano de geren-ciamento dos riscos.

4.2.1. Riscos Críticos

Riscos Críticos são os riscos que incidem diretamente sobre os Fatores Críticos de Sucesso e sua concretização podem causar consequências desastrosas para organização em questão.

Os Riscos Críticos serão definidos a partir dos Fatores Críticos de Sucesso e com base em entrevistas com dirigen-tes da empresa nos mais variados níveis. Novamente a Aná-lise do “Core Business”, dos processos macros de forma genérica e de estatísticas de sinistralidade bem como relató-rios de riscos de consultorias especializadas e “anamnese” junto à alta gestão serão de grande valia para a definição destes riscos.

É interessante mostrar a diferença entre risco, ameaça e vulnerabilidade para evitar-se erros conceituais na fase de confecção do Plano Diretor de Gestão de Risco Corpo-rativos. Entretanto não se constitui nenhum pecado capi-tal confundir alguns riscos com ameaças. Vulnerabilidade é um gap, uma deficiência nos processo, nos sistemas, ou nos recursos humanos empregados etc... que permitam a concretização dos riscos a que a organização está exposta. Contudo, risco e ameaça são fatores intimamente ligados, as vezes não sendo clara a sua distinção. Enquanto ameaça

60


está intimamente ligada ao vetor que a conduz, o risco esta intimamente ligado a sua concretização. Exemplifican-do, teríamos algo do tipo: “Hackers ameaçam invadir os sistemas”:

Ameaça: HackersRiscos: Invasão do Sistema, “System Disruption”,

“Phishing”, “Sniff” etc...

Quando definimos os Riscos Críticos para a confecção do Plano Diretor de Gestão de Riscos Corporativo é muito importante saber a origem estratégica dos mesmos. Desta-camos que, com a visualização da origem do risco, podemos identificar os principais pontos onde o processo de gestão de risco e de segurança deverão ser focados, estabelecendo assim os diversos meios de proteção, sejam eles humanos, técnicos ou organizacionais.

Na realidade tal discussão sobre a natureza dos riscos (humanos, técnicos ou organizacionais) filosófico-acadê-mica mostra-se inócua e não agrega valor algum de forma prática. O que importa é definir a origem estratégica dos riscos com precisão e definir estratégias exequíveis para evitar a sua concretização. Cabe ainda lembrar que o gestor deve preocupar-se em trabalhar somente com os riscos crí-ticos, caso contrário ele terá uma lista gigantesca de riscos que será impossível de gerenciá-la, gastando assim energia com o que não será o foco principal da sua política de ges-tão de riscos.

A fase de definição da origem estratégica dos riscos mostra-se bastante crítica, pois a inclusão errônea de um risco na lista de riscos críticos vai gerar todo um proces-so que poderá demandar um gasto desnecessário de tempo,

61


recursos financeiros, de energia e de perda de foco com um risco que não apresenta nenhuma ameaça a qualquer fator crítico de sucesso da organização em questão.

Deve-se buscar a todo custo a compreensão dos riscos e sua origem, buscando descobrir e classificá-los de forma a definir os riscos críticos para diminuir o universo a ser trabalhado. Saber a real origem dos riscos de forma clara e consistente é fundamental para a eficácia da gestão de risco.

Abaixo segue uma relação de Riscos Críticos de uma empresa como exemplo:

Riscos críticos Origem dos riscos

1. Assalto

• Mercado paralelo para os produtos e

matéria-prima;

• Impunidade por parte do Poder Público (investi-

gativa e repressiva)

• Falha na segurança (fragilidade no sistema de

barreiras perimetrais, efetivo de segurança inade-

quado etc.)

• Atratividade das Instalações

• Atratividade dos bens

• Facilidade de acesso ao site e de rotas de fuga

2. Furto Interno

• Falha na segurança (CFTV inadequado, efetivo de segurança insuficiente etc...)

• Atratividade dos produtos no Mercado Paralelo;

• Sistema de controle de inventário deficiente

• Histórico de impunidade de infratores

• Falta de segregação de área

62


3. Vandalismo

• Descontentamento por parte do público interno;

• Falha na segurança;

• Vulnerabilidade dos sistemas de segurança das instalações

• Inexistência de CFTV;

4. Danos à Veículos

• Falha na segurança;

• Deficiência no controle de veículos;

• Impunidade

• Grande movimentação

• Ausência de normas e procedimentos aos manobristas

• Ausência de treinamento aos manobristas

• Falha na segurança (CFTV inadequado, efetivo de segurança insuficiente etc...)

5. Sequestro de Executivos

• Localização do Empreendimento;

• Atratividade das instalações e veículos (ostentação);

• Proximidade de rotas de fuga;

• Falha na segurança/Rotina;

• Mecanismos de segurança deficientes (ausência de política de orientação ao VIP mais consistentes).

6. Incêndio

• Nível de concentração de produtos com alto po-tencial inflamável;

• Ausência de uso de produtos não inflamáveis na arquitetura das instalações.

2.2.2. Levantamento de Riscos/Cenários

A Tabela de Levantamento de Riscos e Cenários é uma ferramenta que visa proporcionar um “overview” dos riscos e seus impactos em caso de sua concretiza-ção, além de traçar uma panorâmica dos impactos sobre as várias componentes da empresa. É uma ferramen-ta que também facilita a visualização da necessidade da

63


confecção de Planos de Contingências para algumas situa-ções específicas.

O levantamento de riscos e cenários deve ser conduzido assim que forem definidos os riscos críticos, pois servirão para apoiar a fase seguinte: quantificação do risco. A defi-nição clara, assertiva e fidedigna de um possível cenário de risco permite que a quantificação do risco seja obtida de forma muito mais assertiva. A definição clara das con-sequências do risco vai permitir que o enquadramento do risco nas tabelas qualitativas para cada variável seja feito de forma muito mais fácil e precisa. Um cenário claro ajuda a dirimir dúvidas na fase de quantificação do risco.

O desejável é que para cada cenário crítico seja con-feccionado um Plano de Contingência ou ao menos um Plano de Ação. O ideal é que o “Chief Risk Officer” (CRO) ou o Gestor de Risco Corporativo seja o coorde-nador desta ação que deve ser desenvolvida por equipes interdisciplinares constituídas por representantes dos di-versos segmentos da empresa, tais como: TI, Segurança, Marketing, Financeira, Responsabilidade Social etc. Con-tudo, parece ser algo ainda distante da realidade brasileira tal integração entre áreas. Caso tal procedimento não seja possível, sugere-se que o Chief Risk Officer ou o Gestor de Risco Corporativo coordenem um “brainstorming” ou “brainwriting” com a participação dos representantes das áreas supracitadas para a confecção da Tabela de Levan-tamento de Riscos e Cenários. Após isto, poderá iniciar a confecção dos Planos de Ação e Planos de Contingências, os quais deverão ser apresentados e validados pelas diver-sas áreas da empresa.

64


Tabela de levantamento de Riscos e Cenários

Risco 01: Furto

Impacto ou Efeito Potencial sobre as variáveis:

Descrição de cenário (pior hipótese)

• Furto de laptop ou de outros bens dos hóspedes;

• Furto de equipamentos ou componentes de PCs (slot de memória, cartuchos, etc.) da administração ou de outros setores contendo informações confidenciais ou reservadas do hotel ou de hóspedes;

• Furto de equipamentos ou produtos de pequena monta, mas que geram transtornos;

Meio – Ambiente Autoridades e meios de comunicação População

Sem efeito diretoExploração de margem negativa de inseguran-ça da empresa

• Perda de credibilidade da empresa

• Imagem negativa da empresa

Pessoal Equipamentos Negócios

• Criação de clima de desconfiança e queda de produtividade em decorrência de falta de confiança no grupo

• Queda de espírito de corpo

• Desvios de função na alta gestão para solução de problemas que não agregam valor

• Descrédito do corpo de segurança junto aos funcionários e hóspedes e desgastes na solução de problemas que pode-riam ser evitados

• Perda de equipamen-tos e componentes ele-trônicos ou de objetos de relativo valor

• Perda de laptop palms, celulares etc. de hospe-des ou funcionários.

• Paralisação momentâ-nea dos negócios

• Perda de capital de-vido à subtração de equipamentos

• Gastos desnecessá-rios com a compra de material subtraídoDesgaste da gerência junto aos hóspedes

65


4.3. Definição do Modelo de Racional

A metodologia Análise de Risco Parametrizada preten-de contribuir para melhor avaliação de dois pontos funda-mentais da gestão dos riscos:

• Quantificação do Impacto (grau de impacto/severida-de) e a

• Estimativa de Probabilidade (probabilidade estima-da/frequência esperada) referentes à concretização de determinado risco.

Para a determinação da Quantificação do Impacto, en-tendemos que as variáveis somam-se entre si; enquanto a Estimativa de Probabilidade é resultado do efeito multi-plicativo entre as variáveis

É importante ressaltar, que apesar da metodologia para a medição de risco ser a mesma, o modelo de racional e suas equações irão variar de acordo com cada risco a ser medido, ou seja, para o risco “A” teremos fatores que influenciam diretamente em sua consecução totalmente diferente do risco “B”. Logo, o modelo de racional e a equação definida para medi-lo será diferente da utilizada para medir o risco “B”.

Poderíamos exemplificar com os riscos de invasão no site por hackers ou o risco de roubo de carga no transpor-te rodoviário de cargas. Em ambos os casos, a atratividade pode ser considerado um fator de risco e deve ser levado em consideração no processo de quantificação destes riscos.

– Um hacker, provavelmente, estaria mais interessado em fazer uma invasão ou um “phishing” em sites de mar-cas muito conhecidas (como IBM, Microsoft, Coca-Cola,

66


etc...) ao invés de tentar invadir o site do Banco XYZ que ninguém conhece.

Similarmente, para o risco de roubo de cargas no trans-porte rodoviário, poderíamos afirmar que uma carga de te-lefone celular tem mais atratividade que uma carga de água mineral. Nestes casos, faz sentido considera-se a variável “Atratividade” para o cálculo destes riscos.

Em outra análise, para medir o risco de alagamento o fator “atratividade” não é variável crítica, e não estaria pre-sente na equação utilizada para medir este risco. Seria ne-cessário estudo de mapas de desastres naturais, e como tais fenômenos podem afetar a instalação em análise.

É nesse contexto que a definição dos fatores de risco (variáveis) assume especial importância para dar assertivi-dade na definição do modelo de medição do risco que me-lhor atende esta necessidade.

Para tal, necessitamos listar os riscos e verificar quais são os fatores de risco (variáveis) que realmente influen-ciam em sua consecução.

A estruturação do modelo a ser utilizado é um dos prin-cipais pontos a serem considerados em uma Análise de Ris-cos Parametrizada.

Deve se ter em mente quais variáveis serão consideradas para a mensuração das exposições, e se possuímos dados qualitativos ou quantitativos referentes à estes riscos. Essas referencias serão utilizadas para estruturação das equações que serão utilizadas para montar a Matriz de Riscos.

Após definição dos Riscos Críticos, o processo segue a lógica abaixo:

• Definição das variáveis (fatores de risco) que são rele-vantes para a consecução de determinado risco;

67


• Definição das variáveis que servirão de base para defi-nirem a fórmula da Quantificação do Impacto;

• Definição das variáveis que servirão de base para defi-nirem a fórmula de Estimativa de Probabilidade;

• Definir o modelo de medição de cada variável (quanti-tativo, qualitativo ou híbrido);

• Definir a relação entre as variáveis em cada fórmula;

• Aplicação dos painéis de Delphi para a definição dos pesos nas fórmulas;

• Validação das fórmulas;

4.3.1. Definição das variáveis (fatores de risco) rele-vantes para cada risco

Nesta fase, após ter sido definida a Lista de Riscos Crí-ticos, deve-se analisar quais os fatores de risco que afetam a consecução de cada risco, ou seja, quais variáveis são realmen-te importantes para a consecução de cada risco. No exemplo abaixo são listadas as variáveis que interferem para a defini-ção da Estimativa de Probabilidade dos riscos de Alagamento, Roubo de cargas no transporte e Furto na armazenagem.

Lista de Riscos Críticos Variáveis

Alagamento

Probabilidade (histórico de eventos/perdas), Exposição, Ambiente Interno, Ambiente Externo, Índice de Vulnerabi-lidade, Geografia, Financeira (impacto financeiro), Função (atividade fim), Substituição, Recovery (tempo de restabe-lecimento das atividades), Imagem (credibilidade), Exten-são (abrangência na mídia) e Legal (impacto jurídico).

68


Roubo de carga no transportes

Probabilidade (histórico de eventos/perdas), Exposição, Ambiente Interno, Ambiente Externo, Índice de Vulnerabili-dade, Atratividade, Financeira (impacto financeiro), Função (atividade fim), Substituição, Recovery (tempo de restabele-cimento das atividades), Imagem (credibilidade), Extensão (abrangência na mídia) e Legal (impacto jurídico).

Furto na armazenagem

Probabilidade (histórico de eventos/perdas), Exposição, Ambiente Interno, Ambiente Externo, Índice de Vulnerabili-dade, Atratividade, Financeira (impacto financeiro), Função (atividade fim), Substituição, Recovery (tempo de restabele-cimento das atividades), Imagem (credibilidade), Extensão (abrangência na mídia) e Legal (impacto jurídico).

4.3.2. Definição das variáveis para a fórmula da Quantificação do Impacto

Uma vez tendo sido definidas as variáveis, o passo se-guinte é definir quais serão utilizadas para a definição da fór-mula da Quantificação do Impacto, conforme tabela abaixo:


Alagamento

Financeira (impacto financeiro), Função (atividade fim), Substituição, Recovery (tempo de restabeleci-mento das atividades), Imagem (credibilidade), Exten-são (abrangência na mídia) e Legal (impacto jurídico)





69


4.3.3. Definição das variáveis para a fórmula de Esti-mativa de Probabilidade

Uma vez tendo sido definidas as variáveis, o passo se-guinte é definir quais serão utilizadas para a definição da fórmula de Estimativa de Probabilidade, conforme tabela abaixo:


AlagamentoHistórico de Eventos (histórico de perdas), Exposi-ção, Ambiente Interno, Ambiente Externo, Índice de Vulnerabilidade e Geografia


Histórico de Eventos (histórico de perdas), Exposi-ção, Ambiente Interno, Ambiente Externo, Índice de Vulnerabilidade e Atratividade


Histórico de Eventos (histórico de perdas), Exposi-ção, Ambiente Interno, Ambiente Externo, Índice de Vulnerabilidade e Atratividade

Outra boa sugestão para organizar o raciocínio é utilizar a Tabela de Variáveis a fim de ter uma apresentação mais clara de como cada fórmula será construída para medir cada risco em questão.

Tabela de Variáveis

Lista de Riscos Críticos

Histórico de Eventos Exposição Ambiente

InternoAmbiente Externo

Atrativi-dade Geografia

Índice de Vulnerabi-

lidade

Alagamento X X X X X X

Roubo de carga no transporte X X X X X X

Furto na armazenagem X X X X X X

Invasão para roubo de carga X X X X X X

70


4.3.4. Definir o modelo de medição de cada variável

Basicamente, existem 3 processos de medição das variáveis: quantitativo, qualitativo e híbrido. De forma grosseira poderíamos dizer que o processo quantitativo é aplicado quando possuímos base de dados confiável e po-demos utilizar ferramentas estatísticas para a definição de probabilidade.

No caso do processo qualitativo, devido à falta de base de dados ou de histórico de eventos, utiliza-se a opinião de especialistas para a classificação dos riscos em tabelas classificatórias. Para se diminuir o risco de distorções, nor-malmente, leva-se em consideração a opinião de diversos especialistas para a classificação dos riscos.

71


Outra medida que pode ser feita para facilitar a clas-sificação dos riscos é o emprego de um referencial teó-rico para ajudar neste processo classificatório, conforme tabela abaixo:

Tabela Classificatória: Variável Exposição

Referencial Teórico Classificação Grau

Altíssima frequência/continuidade

Muito Alto 5

Alta frequência Alto 4

Frequência moderada Médio 3

Baixa frequência Baixo 2

Baixíssima frequência Muito Baixo 1

O modelo híbrido costuma a ser utilizado quando te-mos a possibilidade de ter acesso ao dado numérico, mas que o dado absoluto não faz muito sentido e sim o dado re-lativo. Por exemplo, temos o histórico de sinistralidade de determinada operação por produto. Contudo, se não con-trastarmos este dado com um benchmarking ou média de mercado não temos condições de saber se este número é grande ou pequeno, bom ou ruim. Mesmo raciocínio pode ser aplicado para a avaliação de uma perda financeira. O valor em si pode ser alto, mas pode gerar um impacto mui-to baixo para uma empresa que possua grande resiliência financeira. Logo, temos que contrastar o valor da perda

72


financeira com outro parâmetro e relativizá-la, conforme exemplo abaixo:

73


Resumidamente, poderíamos descrever as principais ca-racterísticas de cada modelo, conforme o quadro abaixo:

Quantitativo Qualitativo Híbrido

Baseado em números reais

Baseado em estima-tivas ou opiniões de

especialistas

Parte de um número absoluto e é enqua-

drado em uma tabela classificatória (relati-

vização do dado)

Requer base de dados confiável

Largo emprego de ta-belas classificatórias

Utiliza dados brutos em conjunto com ta-belas classificatórias

Maior precisão (desde que a base de dados seja confiável)

4.3.5. Definir a relação entre as variáveis

Para a definição das fórmulas é importante verificar qual a relação que existe entre as variáveis, ou seja, se elas se somam ou se elas se multiplicam entre si. Desta forma, podemos começar a rascunhar as fórmulas que definirão os eixos da Matriz de Riscos, conforme abaixo (sendo que a descrição conceitual de cada variável será realizada ao lon-go deste capítulo):

74


Fórmula Quantificação do Impacto Quantificação do Impacto: QIPerda Financeira: PFFunção: FSubstituição: SRecuperação: RImagem: IExtensão: ELegal: L

QI = PF + F + S + R + I + E + L

Fórmula Estimativa de ProbabilidadeEstimativa de Probabilidade: EPHistórico de Ocorrências: HOExposição: EpAmbiente Interno: AIAmbiente Externo: AEAtratividade: AtGeografia: GeÍndice de Vulnerabilidade: IV

EP = HO x Ep x AI x AE x At x Ge x IV

As fórmulas serão utilizadas para a confecção da Matriz de Risco, conforme descrito a seguir:

75


4.3.6. Definição dos pesos

Após ter sido definido a relação entre as variáveis, deve ser estabelecida o grau de influência de cada uma delas para a concretização do risco. A cada variável é atribuído um “peso” segundo seu grau de relevância.

Para se obter uma relação adequada de pesos, pode-se utilizar a técnica conhecida como Painéis de Delphi. Esta técnica é baseada na consulta a diversos especialistas por meio de questionários (preferencialmente) ou entrevistas que devem colocar os pesos que julgam adequados. Na se-quência deve-se tirar a média encontrada e encaminhar o resultado aos especialistas e consultá-los se ratificam ou retificam a nota definida inicialmente no primeiro questio-nário. Após isto é feito novo recálculo e passam a ser defi-nidos os pesos da fórmula. Segue exemplo de fórmula com

76


os pesos definidos após a aplicação da metodologia Painel de Delphi com especialistas:

4.3.7. Validação das fórmulas

Uma vez definida a fórmula, esta deve ser testada di-versas vezes e seus resultados ser submetidos à opinião de especialistas para verificar qual o grau de aderência entre o resultado obtido e a realidade. Outra forma de se fazer é contrastar os resultados obtidos em simulações com o re-sultado de histórico de sinistralidade e verificar se os re-sultados são similares. Caso haja similitude nos resultados, entende-se que o modelo faz sentido.

77


4.4. Avaliação dos Riscos Críticos

Partindo-se da Lista de Riscos Críticos, é feita a quan-tificação dos mesmos em termos de impacto (severidade) e de probabilidade (frequência). Sempre que possível, são empregados modelos quantitativos para esta avaliação. No entanto, ter um banco de dados confiável para realizar es-tas análises é uma raridade na maioria das empresas. Desta forma, a solução é empregar modelos qualitativos para se realizar a avaliação dos riscos.

A metodologia utilizada neste livro, Análise de Risco Parametrizada, foi desenvolvida para resolver este gap. Ela permite, de forma fundamentada e consistente, estimar os impactos (severidade) e probabilidades (frequência) dos riscos avaliados.

Nesta fase do planejamento a empresa baseada nos da-dos do diagnóstico inicial busca quantificar os riscos que afetam de forma direta ou indireta os seus Fatores Críticos de Sucesso, ou seja, define a probabilidade e o nível de im-pacto dos Riscos Críticos.

É necessária uma avaliação precisa das ameaças, a fim de que possam ser determinadas quais as medidas ou con-dutas mais adequadas a serem tomadas para as respectivas situações.

É necessário que haja uma adequação e coerência en-tre as medidas e as características físicas e conjunturais da empresa. Para tal é mister que a definição do problema seja coerente com a projeção das medidas preventivas, coerciti-vas, contingenciais ou corretivas para solucioná-lo.

Para se definir e delimitar o problema deve se levar em consideração os seguintes aspectos básicos:

78


• Quais ameaças (reais ou potenciais) afetam o patrimô-nio das pessoas.

• A probabilidade de estas ameaças virem a concretizar-se;

• O verdadeiro impacto sobre o patrimônio, de forma a buscar o real dimensionamento das perdas tangíveis e intangíveis.

4.4.1. Quantificação do Impacto (QI)

A Quantificação do Impacto (QI) é uma média pon-derada que leva em consideração os danos causados pela concretização do risco nos seguintes campos: Função (F), Substituição (S), Recuperação (R), Imagem (I), Exten-são (E), Perda Financeira (PF) e Legislação (L) que se-rão explicados cada um de “per si” posteriormente. A expe-riência no emprego dessa metodologia para avaliação dos riscos operacionais aponta que os fatores supracitados são adequados em 96% dos casos.

Por vezes, outros fatores de risco (variável) podem ser identificados necessitando que a fórmula seja alterado.

Nesta fase definiremos os fatores que influenciam na definição e quantificação do grau de impacto, para tal usa-remos como base alguns fatores definidos por Mosler, por outros autores e pelo próprio autor, aos quais atribuiremos pesos e procederemos a sua média aritmética a fim de che-garmos a um valor de referência. A seguir a fórmula que descreve tal quantificação:

79


Qua

ntifi

caçã

odo

Impa

cto

(QI)

Funç

ão(F

)

Subs

titui

-çã

o(S

)

Rec

over

y(R

)Im

agem

(I)Ex

tens

ão(E

)

Perd

a Fi

nanc

eira

(P)

Legi

slaç

ão(L

)

QI =

F x

2 +

S x

2 +

R x

3 +

I x

3 +

E x

2 +

PF

x 3

+ L

x 2

17

Cla

ssifi

caçã

oFa

ixas

de

Impa

cto

Con

ceito

Mui

to B

aixo

Bai

xoM

édio

Alto

Mui

to A

lto

Índi

ce (f

aixa

)1,

00 –

1,5

01,

51 –

2,5

02,

51 –

3,5

03,

51 –

4,5

04,

51 –

5,0

0

Cor

Cód

igo

*Obs

.: A

s fó

rmul

as s

ão m

onta

das

de a

cord

o co

m a

s va

riáve

is q

ue in

fluen

ciam

a o

corr

ênci

a de

cad

a ris

co. E

stas

va-

riáve

is a

ltera

m-s

e pa

ra c

ada

tipo

de ri

sco

em q

uest

ão. N

o ca

so a

cim

a fo

i usa

do u

ma

fórm

ula

gené

rica

que

aten

de a

m

aior

ia d

os ri

scos

ope

raci

onai

s, lo

gica

men

te a

lgum

as v

ariá

veis

terã

o qu

e se

r tro

cada

s par

a al

guns

risc

os e

isto

impl

i-ca

rá n

a al

tera

ção

da fó

rmul

a.

80


A lógica nos leva a crer que as variáveis consideradas na fórmula apresentam uma relação de soma entre elas, ou seja, entendemos que quando determinado risco concretiza--se, temos perdas financeiras diretas (sendo representadas na fórmula pelo fator PF), perdas decorrente do desgaste da imagem (sendo representadas na fórmula pelo fator I), perdas nos campos legais, etc... e que se somam entre si.

Os pesos da fórmula foram definidos através do empre-go da técnica de painéis de Delphi com consultas feitas aos especialistas em gerenciamento de riscos e seguros.

A seguir estão descritos os fatores de avaliação (variá-veis da fórmula), conforme se segue:

Fator Função (F)

É o resultado da avaliação das consequências negativas ou danos que podem alterar a atividade principal da empre-sa. Estabelece quanto a concretização de determinado risco afeta os Fatores Críticos de Sucesso ligados ao “Core Bu-siness” da empresa. Define quanto a concretização do risco impede que a empresa execute sua missão ou que seja capaz de entregar sua proposta de valor.

Escala PontuaçãoMuito alto 5

Alto 4

Médio 3

Baixo 2

Muito baixo 1

81


Fator Substituição (S)

É o resultado da avaliação do grau de dificuldade para a substituição de determinado bem devido a sua perda total, parcial ou subtração. Este fator mede o quão fácil ou difícil é substituir a perda de determinado bem. De-fine o grau de facilidade que determinado bem pode ser substituído.

Escala PontuaçãoMuito Dificilmente 5

Dificilmente 4

Sem Muita Dificuldade 3

Facilmente 2

Muito Facilmente 1

Fator Recuperação (R)

É o resultado da avaliação do grau de rapidez com que uma operação volta a se restabelecer após a concretiza-ção de determinado risco. Quanto tempo a empresa volta a cumprir sua atividade fim e entregar sua proposta de valor.

Escala PontuaçãoMuito Rapidamente 5

Rapidamente 4

Sem Muita Rapidez 3

Rapidamente 2

Muito Rapidamente 1

82


Fator Imagem (I)

É o resultado da avaliação do impacto que a concretiza-ção de determinado risco causa para o desgaste da imagem da empresa por associação negativa a este fato. Quanto a concretização do risco afeta a credibilidade ou a marca da organização.

Escala PontuaçãoMuito Gravemente 5

Gravemente 4

Moderadamente 3

Levemente 2

Muito Levemente 1

Fator Extensão (E)

É o resultado da avaliação do grau de abrangência da exploração de determinado fato (concretização do risco) em termos de cobertura de mídia. Mede o tamanho da difusão que será dada ao evento.

Escala PontuaçãoDe Caráter Internacional 5

De Caráter Nacional 4

De Caráter Regional 3

De Caráter Local 2

De Caráter Individual 1

83


Fator Perda Financeira (PF)

É o resultado da avaliação do impacto financeiro cau-sado pela concretização de determinado risco em relação ao grau de resiliência da empresa, ou seja, é considerada a perda financeira relativa e não a perda financeira relaciona-da a determinado evento. Define a componente financeira em relação ao grau de suportabilidade por parte da empresa. Quanto a empresa é afetada pela perda financeira em ter-mos de absorção do impacto.


Gravemente 4

Moderadamente 3

Levemente 2

Muito Levemente 1

É importante frisar que nesta análise não se leva em consideração se a empresa possui seguro ou não do bem perdido parcialmente ou totalmente no evento de risco. O intuito principal é analisar qual seria o impacto da concre-tização do risco em termos de suportabilidade financeira da empresa para absorver tal risco. Entendemos, que embora o seguro seja uma forma de proteger a resiliência financeira da empresa pela proteção de seu fluxo de caixa e reposição da perda, no entanto, é uma ferramenta de transferência de risco, sendo discricionário por parte da empresa a sua con-tratação ou não.

A mesma abordagem é válida para outros mecanismos de proteção financeira, como transferência do risco por meio de subcontratação de um processo.

84


Nesta fase (Quantificação do Impacto), o foco não é a determinação de ferramentas de transferência e sim se ob-ter uma noção do impacto de cada risco para definir quais serão transferidos e quais não serão.

Fator Legal (L)

Reflete um impacto das implicações legais para a organi-zação decorrente da concretização de determinados riscos, mede as perturbações e os efeitos jurídicos, desde aplica-ções de multas e restrições ao negócio até a proibição de sua atividade fim definitivamente.


Gravemente 4

Moderadamente 3

Levemente 2

Muito Levemente 1

4.4.2. Estimativa da Probabilidade (EP)

A segunda grande componente na avaliação do risco é a Estimativa da Probabilidade (EP). Nesta fase definiremos os fatores que influenciam na quantificação da probabilidade de determinado risco vir a concretizar-se. Para tal seguire-mos o mesmo conceito de tabelas referenciais aproveitando os conceitos já definidos por Mosler e T-Fine em suas meto-dologias. Além disto, introduziremos outros fatores, ficando nossa fórmula composta (normalmente) por 6 fatores: His-tórico de Ocorrências (HO), Exposição (Ep), Ambiente

85


Interno (AI), Ambiente Externo (AE), Atratividade (At) ou Geografia (Ge) e Índice de Vulnerabilidade (IV); sen-do EP = Pb X Ep X AI X AE X At (ou Ge) X IV.

Os fatores da fórmula são os descritos abaixo:

Fator Histórico de Ocorrências

Neste caso, a visão de Histórico de Ocorrências (HO) é a frequência de como determinado evento (dano ou risco) ocorre para uma determinada amostra (tendo em vista as características conjunturais e físicas da empresa e da região onde ela se encontra) num dado período de tempo.

Para a definição do Fator Histórico de Ocorrências (HO) tem-se 2 formas. A primeira delas é quando já se pos-sui o cálculo estatístico da probabilidade, normalmente este é baseado em estatísticas oficiais ou é feito por meio de his-tórico confiável das ocorrências e a outra forma é quando tem que ser avaliado por meio de estimativa subjetiva.

No primeiro caso, onde se tem dados oficiais ou basea-dos em estatística tradicional: cálculo da média estatística (percentual) – faz-se necessário alinhar a informação esta-tística inicial ao HO da fórmula. Tal procedimento é bas-tante simples e ocorre por meio de interpolação baseado em tabela de referência e regra de três simples. Este proce-dimento basicamente transforma o dado estatístico inicial bruto no HO a ser utilizado na fórmula.

A Tabela Referencial de Interpolação visa facilitar o cálculo e alinhar o resultado inicial com o da fórmula, per-mitindo que o mesmo possa ser utilizado. Por vezes, permi-te a transformação direta quando as estatísticas iniciais são números múltiplos de cinco.

86


Tabela Referencial de Interpolação

Dado Estatístico(Inicial)

Número Referencial:Histórico de Ocorrências (HO)

100 5,00

95 4,80

90 4,60

85 4,40

80 4,20

75 4,00

70 3,80

65 3,60

60 3,40

55 3,20

50 3,00

45 2,80

40 2,60

35 2,40

30 2,20

25 2,00

20 1,80

15 1,60

10 1,40

5 1,20

0 1,00

Exemplo: Risco: Roubo Estabelecimento ComercialLocalização: São Paulo – SPSuponhamos que o históricos de ocorrências de roubo

em estabelecimento comercial na Grande São Paulo seja de 15% ao ano.

87


Neste caso é bastante simples, haja vista que a probabi-lidade por ser múltipla de cinco já existe na tabela. Verifi-ca-se então pela tabela que HE = 1,60

15 1,60

Contudo, por vezes, a probabilidade procurada não existe na Tabela Referencial de Interpolação. Neste caso, deve-se proceder ao uso da Regra de Três Simples.

Exemplo:Risco: Roubo Estabelecimento ComercialLocalização: Blumenau – SCSuponhamos que o histórico de probabilidade de roubo

de carro em Blumenau seja de 3%.

5 1,20

1 0,00

Neste caso a probabilidade desejada não se encontra na tabela. Devendo-se proceder da seguinte forma:

100 5,0095 4,80

Regra de Três Simples:

5% – 1,203% – “X”

88


X = 3% X 1,205%

X = 0,72

Ou seja, HO = 0,72

A outra situação ocorre quando não se possui dados estatísticos confiáveis, ou na pior das hipóteses, nenhum dado estatístico sobre determinado risco. Neste caso, deve--se usar a Tabela Referencial de Probabilidade. Ou seja, o uso do “feeling” para classificar de forma subjetiva e de-finir o HO.

Tabela Referencial: Histórico de Ocorrência

Escala Pontuação(HO) Referencial Teórico

Muito Alta 5 Muito provável ocorrência

Alta 4 Provável ocorrência

Normal 3 Possível ocorrer

Baixa 2 Quase improvável

Muito Baixa 1 Muito Improvável

Neste caso o número encontrado na tabela já é o HO a ser utilizado na fórmula.

No caso de não se possuir um histórico de eventos, deve-se aplicar diretamente a tabela acima. Neste caso,

89


faz-se necessário que seja escolhida a faixa que melhor representa a possibilidade de ocorrência do fato. Para tal, pode-se contar com a opinião de especialistas para obter maior assertividade neste processo.

Fator Exposição

Avalia o grau que determinada ação ou operação está sujeita a um determinado risco. Considera ainda com qual frequência a operação fica exposta ao agente causador do risco. Por vezes, a probabilidade ou histórico de determi-nado evento ocorrer em determinada região é idêntica, contudo o grau de exposição de determinado ator é muito maior, fazendo com que se altere significativamente a sua Estimativa de Probabilidade (EP). Por exemplo, o Histó-rico de Ocorrências (HO) de ser atropelado atravessando a Rodovia Presidente Dutra é “X”, mas se eu atravesso 10 vezes por dia, minha exposição é maior de quem atravessa só uma vez por dia. Por vezes, não se consegue influenciar neste fator, uma vez que a natureza do negócio nos força a determinado nível de exposição.

Poderíamos também exemplificar comparando dois proprietários de automóveis (“A” e “B”) da mesma mar-ca e modelo, morando na mesma rua onde os dados esta-tísticos (HO) de roubo de veículo de determinado modelo naquele bairro seja “X” – igual para ambos. Contudo, “A” possui um estilo de vida extremamente recatado, sendo que raramente sai de carro. Enquanto “B” utiliza seu veiculo com frequência. Embora, ambos estejam sob as “mesmas circunstâncias” (HO) no que diz respeito aos dados esta-tísticos de roubo de veículos por região, o fator Exposição

90


(Ep) influencia significativamente para o aumento da pos-sibilidade de ter o veículo roubado.

A tabela que segue quantifica quanto determinada ator expõe-se a determinado risco.

Tabela Referencial: Nível de ExposiçãoEscala Pontuação

Altíssima Frequência/Continuamente 5

Alta Frequência 4

Frequência Moderada 3

Baixa Frequência 2

Baixíssima Frequência 1

Bastando-se realizar a classificação do suposto evento de risco na Tabela e obter-se a pontuação referente (1,2,3,4 ou 5), a qual será a Exposição (Ep) a ser aplicado na fórmula.

Fator Ambiente Interno (AI)

Avalia quanto o grau de insatisfação do público inter-no influencia a propensão da ocorrência de ações de na-tureza destrutivas, delituosas ou criminosas contrárias a um ambiente de trabalho estável e saudável. Por exemplo, empresas onde existem alto grau de vandalismo ou alto nível de insatisfação denotadas inclusive em pesquisas de climas são mais propensas a sofrerem ações de sabotagem ou de fuga voluntária de informações que possibilitarão a consecução de ações delituosas, tal como fraudes e outras ações destrutivas.

91


Tabela Referencial: Ambiente Interno

Referencial Teórico Escala Grau

Altíssimo grau de insatisfação e/ou vandalismo Muito Alta 5

Alto grau de insatisfação e/ou vandalismo Alta 4

Ocorrência esporádica de vandalismo Média 3

Alto grau de satisfação do público interno Baixa 2

Altíssimo grau de satisfação Muito Baixa 1

Fator Ambiente Externo (AE)

Avalia qual o grau de hostilidade ou de influência para a propensão de ações destrutivas, delituosas ou criminosas presentes no ambiente contíguo ou na comunidade na qual a empresa encontra-se instalada. Por exemplo, em um país onde ocorre a impunidade por parte dos órgãos públicos, este cenário ensejará uma propensão a ações fraudulentas por partes dos funcionários das empresas em conluio ou não com autoridades públicas.

Tabela Referencial: Ambiente Externo

Referencial Teórico Escala GrauAltíssimo grau de hostilidade/

propensão à corrupção Muito Alta 5

Alto grau de hostilidade/propensão à corrupção Alta 4

Ocorrência esporádica de ações hostis/casos de corrupção Média 3

Raríssimas ações hostis/casos de corrupção Baixa 2

Inexistência de ações hostis/casos de corrupção Muito Baixa 1

92


Fator Atratividade (At)

Avalia qual o grau de atratividade de determinado produ-to ou operação exerce para atrair a atenção de determinado agente (ameaça) para a consecução de determinado risco, ou seja, leva em consideração porque o produto “A” é mais atra-tivo do que o produto “B” em termos de roubo, furto etc... Ou porque a operação “A” causa mais risco que a operação “B”. Logo, a inclusão de determinada operação ou produto, pode mudar significativamente o cenário de risco da empresa.

Tabela Referencial: Atratividade

Referencial Teórico Escala GrauAltíssimo grau de atratividade do produto

perante o agente de risco Muito Alta 5

Alto grau de atratividade do produto perante o agente de risco Alta 4

Médio grau de atratividade do produto peran-te o agente de risco Média 3

Baixo grau de atratividade do produto peran-te o agente de risco Baixa 2

Muitíssimo baixo grau de atratividade do produto perante o agente de risco Muito Baixa 1

Fator Geográfico (Ge)

Está relacionado aos danos provocados pela natureza. Avalia o grau em que o ambiente natural, em determinada região, influencia a consecução de risco, tais como: ven-daval, alagamento, terremoto, raio, etc. A definição ampla-mente aceita caracteriza riscos naturais como “elementos do ambiente físico”, que por suas forças não controladas, tem potencial de provocar danos para o homem.

93


Mais especificamente, neste documento, o termo “pe-rigo natural” refere-se a todos os eventos atmosféricos, hi-drológicos, fenômenos geológicos (especialmente sísmica e vulcânica), e os incêndios florestais que, pela sua loca-lização, gravidade e frequência, têm o potencial de afetar os seres humanos, as suas estruturas, ou suas atividades de forma adversa. O qualificador “natural” elimina os fatores gerados exclusivamente pelo homem.

Não obstante a qualificação de “natural”, um “perigo natural” pode ter uma parcela de envolvimento humano.

Um evento físico, como uma erupção vulcânica, que não afeta os seres humanos é um fenômeno natural, mas na maior parte dos casos não representa um perigo natural.

Diferentemente, um fenômeno natural que ocorre em uma área povoada é um evento perigoso, podendo resultar em grande número de vítimas e/ou danos materiais, e nesse contexto chamado de “desastre natural”.

Em áreas onde não existem interesses humanos, fenô-menos naturais não constituem perigos, e nem resultam em “desastres”. Visto dessa forma, estabelece-se o contra ponto à percepção dos riscos naturais como o caos inevi-tável causado pelas forças desenfreadas da natureza. Ele transfere o ónus da causa de processos puramente natu-rais, à presença concomitante de atividades humanas e eventos naturais.

Embora os seres humanos possam fazer pouco ou nada para mudar a incidência ou intensidade da maioria dos fe-nômenos naturais, eles têm um papel importante a desem-penhar para garantir que os eventos naturais não resultem em desastres por suas próprias ações.

É importante entender que a intervenção humana pode aumentar a frequência e a gravidade dos riscos naturais.

94


Por exemplo: a cota dos rios oscilam conforme o regime de chuvas, e alagam suas calhas, várzeas e margens; o que não é um problema até que essas área sejam ocupadas assen-tamentos humanos, que assim passam a expor-se ao perigo.

Tabela Referencial: Geográfico

Referencial Teórico Escala Grau

Muito alta propensão a determinado tipo de risco Muito alto 5

Alta propensão a determinado tipo de risco Alto 4

Média propensão a determinado tipo de risco Médio 3

Baixa propensão a determinado tipo de risco Baixo 2

Muito baixa propensão a determinado tipo de risco Muito baixo 1

Fator Índice de Vulnerabilidade (IV)

Avalia o quanto determinado patrimônio ou operação está vulnerável a determinado tipo de risco.

Define o grau de efetividade dos sistemas de proteção, levando-se em conta os meios tecnológicos e humanos empregados para tal, assim como os processos, a sua nor-matização, a sua aplicabilidade e a sua aderência à cultura organizacional.

O Índice de Vulnerabilidade (IV) refere-se à efetivi-dade dos recursos empregados para diminuir a vulnerabili-dade ao risco, pela redução da probabilidade de ocorrência ou severidade de seus efeitos. Por exemplo, 2 lojas de con-veniência na mesma avenida, sob mesma a gestão, sendo

95


que uma possui sistemas de proteção mais robustos, tais como: circuito fechado de TV, vigilância armada etc... e a outra não. O risco de furto nesta avenida é igual para as duas lojas: Histórico de Ocorrência (HO) – que refere-se a probabilidade de assalto às lojas naquela região baseada em histórico das ocorrências. Na ausência deste histórico, pode-se utilizar a estimativa realizada por especialistas. Contudo, a Estimativa da Probabilidade (EP) da loja que possui CFTV ser furtada é menor, pois seu Índice de Vul-nerabilidade (IV) é menor, pois: EP = HO X Ep X AI X AE X IV. Logo, podemos concluir que os demais fatores (exceto o IV) são similares para ambas as lojas. Contudo, neste caso, aquela que possuir um IV menor, terá uma Es-timativa da Probabilidade (EP) menor (já que os demais fatores da fórmula são similares), ou seja, o índice de vulne-rabilidade influi diretamente na propensão de determinado risco vir a materializar-se

Podemos concluir que por meio das ferramentas de Análise de Risco Parametrizada consegue-se identifi-car os gaps existentes nos mecanismos de proteção e in-fluenciar diminuindo-se o IV por meio de melhorias nos sistemas de proteção e, por conseguinte, influenciar po-sitivamente no resultado da probabilidade final obtida: EP. Desta forma é lícito supor que o gestor de riscos que investe em alocar recursos e energia para melhorar seus sistemas de proteção por meio de tecnologia, alocação e treinamento de pessoas, normatização e criação de uma cultura organizacional favorável à identificação e controle dos riscos obterá como resultado uma probabilidade me-nor da concretização destes riscos e uma diminuição da Perda Esperada (PE = EP X QI).

96


4.5. Análise de Vulnerabilidades

A análise de vulnerabilidades é baseada na medição do índice de Vulnerabilidades (IV), ou seja, um índice que mede os “gaps” existentes nos sistemas de proteção exis-tentes para fazer frente aos diversos riscos.

O Índice de Vulnerabilidade (IV) pode ser obtido de 2 formas: pela aplicação das Planilhas de Análise de Vulne-rabilidades Parametrizadas ou pelo uso da Tabela Refe-rencial do Cálculo do Índice de Vulnerabilidade.

O ideal é que o Índice de Vulnerabilidade seja obtido pelo uso da aplicação das Planilhas de Análise de Vul-nerabilidades Parametrizada, as quais são desenvolvi-das baseadas em check lists padronizados, com 5 níveis de classificação. Embora tal procedimento demande mais tempo que utilizar a Tabela Referencial do Cálculo do Ín-dice de Vulnerabilidade, a sua precisão é bem maior além de orientar as medidas a serem tomadas à posteriori (tais como: projetos e ações corretivas) para a melhoria dos sis-temas avaliados.

De maneira geral podemos dizer que o IV é obtido após a aplicação das planilhas de análise de vulnerabilidades “in loco” e aplicada uma “média aritmética ponderada” dos sis-temas que foram analisados, obtendo-se o Índice de Vulne-rabilidade (IV).

A Planilha de Análise de Vulnerabilidades Parame-trizada permite a avaliação dos sistemas de proteção ba-seando-se em listas paramétricas com cinco níveis, tendo como base a melhor prática existente no mercado. Des-ta forma, obtém-se um diagnóstico bastante preciso que servirá de base para a definição dos projetos e/ou ações

97


necessárias para a diminuição das vulnerabilidades e mi-tigação dos riscos.

A seguir temos dois exemplos de Planilhas de Análise de Vulnerabilidades Parametrizada que são usadas pelos “Crash Numbers” (auditores de risco) para fazer a coletâ-nea de dados no trabalho de campo. Por meio delas é possí-vel verificar o nível de efetividade dos sistemas e processos de gerenciamento de riscos da empresa. O resultado de sua compilação gerará a Tabela de Análise de Vulnerabilida-des Parametrizada.

Planilha de Análise de Risco Parametrizada

Área Áreas e instalações

Grupo – tipo: Sistemas de barreira perimetral

Parametrização Valor Grau

Qualidade/Estrutura

A) A empresa possui barreira periférica constituída de alvenaria tipo “muro de fábrica” (4 metros ou mais de altura) com espessura do tipo “tijolo deitado” ou de bloco de concreto em torno de 40 cm de largura, possuindo vigas de sustenta-ção a cada 4 metros ou menos.

1

B) A empresa possui barreira periférica constituída de alvenaria (2,5 metros ou mais de altura) com espessura de um muro normal ou de bloco de concreto normal, possuindo vigas de sustentação a cada 5 à 8 metros.

2

C) A empresa possui barreira periférica constituída de placas de concreto ou tijolos comerciais (2 metros ou mais de altura)

3

D) A empresa possui barreira periférica constituída de placas de concreto rela-tivamente antigas ou tijolos comerciais sem embolso em um ou nos 2 lados

4

E) A empresa possui barreira periférica constituída de placas de maderite ou cercas de arame (tipo industrial ou não)

5

98


Planilha De Análise de Risco Parametrizada

Área Segurança da informação

Grupo – tipo: Sistema de back-up

Parametrização Valor Grau

Armazenagem

A) Todos os backups ficam instalados em salas cofres e com copias em sites remotos 1

B) Apenas backups de sistemas de “missão crítica” ficam instalados em salas cofres e com cópias em sites remotos.

2

C) Todos os backups ficam instalados em áreas próprias, climatizadas. 3

D) Apenas backups de sistemas de “missão crítica” ficam instalados em áreas próprias, climatizadas.

4

E) Não possui local específico para as mí-dias de backup e nem cópias remotas 5

Uma vez que o trabalho de estruturá-las e parametri-zá-las tenham sido concluído, as Planilhas de Análise de Vulnerabilidades Parametrizada tem-se mostrado uma ferramenta simples, adequada e eficiente para os esforços de identificação e quantificação dos riscos.

Sua aplicação permite agilizar o tempo de execução e diminuir custos do pela substituição de profissionais de ní-vel Sênior por profissionais de nível Junior nas fases ini-ciais da análise.

Assim preservam-se aqueles profissionais mais expe-rientes para os trabalhos de revisão de relatórios e supervi-são enquanto os “Juniors” realizam o trabalho de “Crash Numbers” (trabalho de campo).

Outra característica é a universalidade da metodologia que permite a elicitação do conhecimento das mais diversas áreas para a confecção das planilhas, necessitando somente

99


dos especialistas das áreas numa fase inicial para a confec-ção das mesmas, mas permitindo sua execução de forma homogênea e descentralizada, gerando rapidez e economia neste processo de levantamento das vulnerabilidades.

A Tabela de Análise de Vulnerabilidades Parametri-zada é o resultado da compilação das Planilhas de Análi-se de Vulnerabilidades Parametrizadas. Ela fornece um “overview” dos diversos sistemas e seus respectivos níveis de efetividade.

Ademais, a aplicação dos Formulários de Análise de Risco Parametrizada possibilita a visualização de possí-veis soluções para os problemas existentes uma vez que todo parâmetro de nível cinco foi baseado em uma solu-ção considerada uma referência ou “Best Practice” pelo mercado.

A seguir o resultado de avaliação realizado com planilha de análise de vulnerabilidades parametrizada em sistemas de proteção de segurança patrimonial:

100


Tabela de Análise de Risco Parametrizada

Sistemas avaliados

Eficácia dos sistemas analisados (sites inspecionados)

A B C D E F

Barreiras internas 1,80 2,00 2,30 2,30 2,00 2,00

Controle de acesso 2,00 2,00 2,00 2,40 2,40 2,10

Controle de material 2,46 3,00 1,40 3,00 3,00 3,20

Controle de veículos 3,00 1,10 3,00 2,40 2,90 3,00

Controle de terceiros 2,80 4,44 2,85 2,30 2,40 2,75

Segurança física 2,75 1,40 2,90 2,90 2,85 2,80

Segurança eletrônica 1,45 1,40 1,40 1,20 1,30 1,40

Circuito fechado TV 1,20 2,90 1,25 1,20 1,00 1,30

Segurança patrimonial 2,95 1,50 2,90 2,95 2,20 2,90

Eletricidade iluminação 3,00 1,50 3,00 2,40 2,40 4,90

Outras ações 2,90 2,80 3,00 4,90 4,90 2,80

Barreira perimetral 3,00 3,00 2,80 2,80 2,90 2,55

Índice de vulnerabili-dade (IV) 2,54 2,75 2,59 2,44 2,48 2,36

101


Outra forma possível de emprego desta tabela é a utili-zação de código de cores ao invés de números. Tal proce-dimento facilita a visualização e permite uma identificação rápida dos sistemas mais vulneráveis.

Quando utiliza-se a Tabela de Análise de Vulnerabili-dades Parametrizada pode-se utilizar também o Quadro Referencial de Necessidade Corretiva que fornece uma re-ferência entre o Nível de Vulnerabilidade e sua Necessidade

102


Corretiva. Desta forma permite um entendimento prático e rápido da Tabela de Análise de Vulnerabilidades Para-metrizada, quer ela esteja expressa por cores ou números, permitindo facilmente a visualização das vulnerabilidades que são agrupadas de forma lógica, sistêmica e devidamen-te classificadas.

Quadro referencial de necessidade corretiva

Intervalo (medida dos

Sistemas)Código de cor Nível de

VulnerabilidadeNecessidade

corretiva

1,00 – 1,50 Baixíssima Quase nenhuma

1,51 – 2,00 Muito baixa Pouquíssima

2,01 – 2,50 Baixa Muito Pouca

2,51 – 3,00 Suportável Pouca

3,01 – 3,50 Aceitável Alguma

3,51 – 4,00 Regular Alta

4,01 – 4,50 Alta Altíssima

4,51 – 5,00 Muito Alta Quase total

Quando são usadas as tabelas e Planilhas de Análise de Vulnerabilidades Parametrizada é importante lembrar para não se confundir o valor da Média dos Sistemas que é obtida através da média aritmética pura e simples da soma dos sistemas que foram avaliados e serve para o cálculo final do Índice de Vulnerabilidade (IV). Tem-se como opção também atribuir pesos diferenciados às diversas

103


perguntas e fazer uma média ponderada para se obter o Ín-dice de Vulnerabilidade (IV).

Caso não se tenha esta disponibilidade de tempo para se confeccionar ou já ter pronta as Planilhas de Análise de Risco Parametrizada específicas para determinado tema ou área de avaliação (cabe lembrar que cada risco está li-gado a um sistema de proteção específico o qual é avaliado por um conjunto de planilhas de análise de vulnerabilidades próprio), pode-se estimar de forma bem mais rápida utili-zando-se a Tabela Referencial de Cálculo do Índice de Vulnerabilidade. Contudo, cabe lembrar que a precisão deste processo é significativamente afetada.

No caso de optar por esta segunda opção, utiliza-se a tabela a seguir:

104


Tabela referencial de cálculo do índice de vulnerabilidade

Suporte Tecnológico/Estrutura (ST)Suporte

Tecnológico =

Quantidade +

Qualidade

Índice de Vulnerabilidade

= Suporte

tecnológico +

Capital Intelectual +

Normas e procedimentos

+ Cultura

Organizacional/4

Quantidade Qualidade

Ideal 1 Excelente 1

Suficiente 2 Boa 2

Suportável 3 Razoável 3

Insuficiente 4 Ruim 4÷ 2

Inexistente 5 Inexistente 5

Capital Intelectual (CI)Capital

Intelectual =

Quantidade +

Treinamento

Quantidade Treinamento

Ideal 1 Excelente 1

Suficiente 2 Boa 2




Normas/Procedimentos (NP)Normas e

procedimentos =

Existência +

Aderência

Existência Aderência

Ideal 1 Excelente 1

Suficiente 2 Boa 2




Cultura Organizacional (CO)Cultura

Organizacional =

Abrangência +

Respeito

Abrangência Respeito

Ideal 1 Excelente 1

Suficiente 2 Boa 2

IV = (ST + CI + NP + CO) ÷ 4




105


IV= ST(quant. + qual.)/2 + RH(quant. + trein.)/2 + NP(exist. + ader.)/2 + CO(abran. + resp)/2

4

Para facilitar o entendimento da utilização dos fatores da Tabela Referencial de Cálculo do Índice de Vulnera-bilidade tem-se a descrição dos itens da fórmula abaixo:

Fatores Itens de Avaliação Descritivo

Suporte Tecnoló-gico/ Estrutura

Quantidade

Refere-se a adequabilidade em termos quantitativos da estrutu-ra, sistemas (CFTV, sprinklers etc..) ou dispositivos utilizados (sensores ou atuadores) para a

mitigação dos riscos

Qualidade

Refere-se a adequabilidade em termos de qualidade da estrutu-ra, sistemas (CFTV, sprinklers etc..) ou dispositivos utilizados (sensores ou atuadores) para a

mitigação dos riscos

Capital Intelectual

Quantidade

Refere-se a adequabilidade em termos quantitativos de

recursos humanos empregados para mitigar determinado risco

(quantidade de brigadistas, quantidade de vigilantes, quanti-dade de técnicos de segurança

do trabalho etc...)

Qualidade

Refere-se ao nível de capacita-ção (competências essenciais necessárias para o desenvolvi-mento de determinada função) dos recursos humanos empre-

gados para mitigar determinado risco (quantidade de brigadis-tas, quantidade de vigilantes,

quantidade de técnicos de segurança do trabalho etc...)

106


Normas/Procedimentos

Existência

Refere-se à existência de normas e procedimentos para

lidar com determinado risco em determinada operação, ativida-

de ou tarefa

Aderência

Refere-se ao nível de aderência entre o que prevê a norma ou procedimento e sua exequibili-

dade na prática

Cultura Organizacional

Abrangência

Refere-se a quantidade de co-laboradores que se encontram sujeitos às exigências das nor-mas de gerenciamento de risco e quanto a divulgação destas

para os variados públicos (dire-toria, média gestão, colaborado-

res em geral, terceiros etc...)

Respeito

Refere-se ao quanto os cola-boradores estão pré-dispostos a aceitarem as exigências das normas de gerenciamento de

risco e sua pré-disposição a agi-rem de forma preventiva para diminuir o nível de risco de for-ma espontânea ou automática

É importante ressaltar que o nível de distorção é ain-da maior quando utilizam-se premissas não fundamentadas (“feeling”) ao invés de utilizar-se a Tabela Referencial de Cálculo do Índice de Vulnerabilidade ou as Planilhas de Análise de Risco Parametrizada.

Calculado o Índice de Vulnerabilidade (IV), passa-se ao passo seguinte: a definição da Estimativa da Probabilida-de (EP). Nesta fase, são levadas em consideração as demais variáveis ou critérios já previamente definidos (Histórico de Ocorrências (HO), Exposição (Ep), Ambiente Interno (AI) etc...), os quais serão aplicados na fórmula.

107


Conforme modelo matemático que se segue (podendo mudar uma ou outra variável de acordo com o risco a ser avaliado), obtém-se a Estimativa da Probabilidade (EP):

4.6. Classificação

Esta fase consiste em aplicar ferramentas que permi-tam fazer uma classificação lógica dos riscos em termos de

108


Impacto (severidade) X Probabilidade (frequência). Den-tre as principais ferramentas temos a Matriz de Riscos e as Tabelas de Priorização. A Matriz de Riscos possui a vantagem de facilitar a visualização dos grandes riscos (em termos de impacto) e os riscos que ocorrem de forma repe-titiva e facilitar a definição de processos de tratamentos/mi-tigação destes grupos de riscos de forma distinta. Por outro lado, as Tabelas de Priorização permitem dispor os riscos de forma sequencial de acordo com sua Perda Esperada ou com outro critério qualquer que for adotado.

Na realidade, existem outros fatores que direcionam a priorização do tratamento dos riscos, mas o fato de se pos-suir ferramentas de priorização e de análise de riscos, tais como a Matriz de Riscos e a Tabela de Priorização de Riscos facilitam bastante para que sejam tomadas decisões mais assertivas por parte do gestor de riscos. Sugerem-se que ambas as ferramentas sejam usadas neste processo.

Outra ferramenta utilizada é a Matriz GUT Modifica-da que permite uma forma de priorização mais racional do tratamento dos riscos críticos a serem mitigados.

4.6.1. Matriz de Riscos

A Matriz de Riscos é uma ferramenta voltada para as-sessorar os processos decisórios, a qual permite fazer uma priorização coerente da alocação dos recursos a serem in-vestidos no processo de Gestão dos Riscos Corporativos. Ela fornece um “overview” dos efeitos da concretização dos Riscos Críticos, colocando-os numa mesma matriz composta por 2 eixos: Impacto e Probabilidade. Alguns profissionais, erroneamente, designam tal ferramenta como Matriz de Vulnerabilidades o que não tem lógica, uma

109


vez que tal ferramenta estima o impacto (severidade) e a probabilidade (frequência) de concretização dos riscos e não as vulnerabilidades que está ligada diretamente ligada as fragilidades/vulnerabilidade dos sistemas de Proteção, normas, procedimentos etc...

Para a sua confecção basta pegar os Riscos Críticos elencados, calcular sua Estimativa de Probabilidade (EP) e Quantificação do Impacto (QI). O desejável é que se tenha um banco de dados consistente e proceda-se ao cál-culo estatístico para a definição da Estimativa de Proba-bilidade (EP), bem como valores precisos no que se refere à Quantificação do Impacto (QI). Caso não se tenha uma base de dados consistente, pode-se usar o Método da Aná-lise de Risco Parametrizada tanto para a Quantificação do Impacto (QI), quanto para a Estimativa da Probabili-dade (EP).

Nas empresas é muito comum não se ter os dados es-tatísticos necessários para o cálculo da Matriz de Riscos, ou seja, um histórico de ocorrências consistente. Contudo, usando-se o Método da Análise de Risco Parametrizada é possível suprir tal deficiência de forma razoável.

A seguir temos um exemplo de cálculos de Quantifica-ção do Impacto (QI) e de Estimativa da Probabilidade (EP) da planta de uma indústria do segmento químico para a confecção de sua Matriz de Riscos.

110


Quantificação do Impacto

Quantificação do impacto

Fatores Função (F)

Substi-tuição

(S)

Ima-gem (I)

Exten-são (E)

Perda (P)

Reco-very (R)

Legis-lação

(L) Total (fato-

res/16)

Riscos/Pesos F x 2 S x 2 I x 3 E x 2 P x 3 P x 2 L x 2

1. Assalto 3 2 3 3 4 1 2 2,75

2. Incêndio 5 5 5 4 4 1 4 58,5

3. Depre-dação 2 2 2 2 2 1 1 27,125

4. Furto interno 1 1 1 1 1 1 1 15,125

5. Sequestro 2 2 2 2 4 1 2 33,25

6. Vaza-mento 2 4 3 4 4 1 4 44,5

7. Explosão 2 2 2 2 3 1 2 30,25

111


Cálculo do Índice de VulnerabilidadeÍn

dice

de

Vuln

erab

ilida

de (I

V)

(Mét

odo:

Tab

ela

Ref

eren

cial

do

índi

ce d

e Vu

lner

abili

dade

)

Ris

cos

Sup

orte

Tec

noló

gico

(ST)

Rec

urso

s H

uman

os (R

H)

Nor

mas

/Pro

cedi

men

to

Cul

tura

Org

aniz

acio

nal

Qua

lidad

eQ

uant

idad

eQ

uant

idad

eTr

eina

men

toEx

istê

ncia

Ad

erên

cia

Abr

angê

ncia

Re

spei

to

1. A

ssal

to

22

33

22

22

23

22

Índi

ce d

e Vu

lner

abili

dade

(IV)

= 2

,25

2. In

cênd

io

22

22

11

22

22

12

Índi

ce d

e Vu

lner

abili

dade

(IV)

= 1

,75

3. D

epre

daçã

o

32

34

33

22

2,5

3,5

32

Índi

ce d

e Vu

lner

abili

dade

(IV)

= 2

,75

112

Análise de Risco Parametrizada3.

Dep

reda

ção

32

34

33

22

2,5

3,5

32

Índi

ce d

e Vu

lner

abili

dade

(IV)

= 2

,75

4. F

urto

inte

rno

33

44

23

22

34

2,5

2

Índi

ce d

e Vu

lner

abili

dade

(IV)

= 2

,87

5. S

eque

stro

44

55

33

22

45

32

Índi

ce d

e Vu

lner

abili

dade

(IV)

= 3

,5

6. V

azam

ento

11

32

11

22

12,

51

2

Índi

ce d

e Vu

lner

abili

dade

(IV)

= 1

,62

7. E

xplo

são

11

32

11

22

12,

51

2

Índi

ce d

e Vu

lner

abili

dade

(IV

) = 1

,62

113


Tabela de Variáveis

Lista de Riscos Críticos

Histórico de Eventos Exposição Ambiente

InternoAmbiente Externo Atratividade Geografia

Índice de Vulnerabili-

dade

1. Assalto X X X X X X

2. Incêndio X X X X X X

3. Depre-dação X X X X X X

4. Furto interno X X X X X X

5. Se-questro X X X X X X

6. Vaza-mento

de infor-mação

X X X X X

7. Explosão X X X X X X

Estimativa de Probabilidade

Riscos Probabili-dade (Pb)

Exposi-ção (Ep)

Ambiente interno

Ambiente Externo

Atrativi-dade Geografia

Índice de Vulnerabili-

dade (IV)

Estimativa de proba-bilidade

(EP)

1. Assalto 3 3 3 4 3 2,33 4,83

2. Incêndio 4 3 2 3 2 1,66 1,52

3. Depre-dação 2 2 1 2 1 3 0,15

4. Furto interno 4 4 2 2 1 3,17 1,29

5. Sequestro 1 3 2 3 3 4 1,38

6. Vaza-mento de informa-

ção

4 4 2 2 3 1,5 1,84

7. Explosão 4 2 1,5

114


Matriz de Riscos

Análise de quadrantes

A criteriosa análise dos quadrantes da Matriz de Riscos permite que algumas conclusões sejam tiradas, facilitando assim a forma de proceder para o tratamento dos riscos con-forme descrito a seguir:

115


• As ameaças que resultam do quadrante “A” têm alta probabilidade de ocorrência e poderão resultar em im-pactos com perdas avaliadas entre severas e catastró-ficas, caso ocorram. São os riscos que exigem atenção imediata. Ou são riscos totalmente desconhecidos pelos gestores do negócio. A sua aceitação costuma a gerar consequências catastróficas para a organização. Nor-malmente, declinam-se destes riscos, em outras pala-vras, não se aceita operações ou negócios com este tipo de risco, pois mesmo a sua transferência em um proces-so de seguro ou mutualização de risco torna-se inviável devido ao seu custo. Caso seja necessário aceitar este risco, não devem ser poupados esforços para a mitiga-ção dos mesmos para um patamar aceitável. Por vezes estes riscos são inerentes a natureza do negócio e estão neste quadrante por nunca terem sido tratados.

Poderíamos exemplificar como o risco de alagamento de uma planta localizada próximo a um curso d´água que costumeiramente alaga as propriedades vizinhas e que quer produzir produtos químicos sólidos que em contato com a água entram em combustão. Se este risco não for mitigado pela instalação de sistemas eficientes que evi-tem alagamento na planta, será inviável a sua aceitação e a sua transferência para um programa de seguro.

• No quadrante “B”, localizam-se as ameaças que devem ser monitorados rotineiramente mas com atenção, pois embora sua probabilidade de ocorrência seja relativa-mente baixa, o impacto financeiro e as consequências para a imagem da organização poderão ser imensos (entre severo e catastrófico).

116


Devem ser adotadas medidas voltadas para os proces-sos a fim de inibirem tais riscos. Normalmente, cabe tê--los coberto por um programa de seguro ou por um pro-grama de mutualização de riscos ou autosseguro. Tendo em vista o grau de gravidade destes riscos é apropriado ter-se um Plano de Contingência, um Plano de Conti-nuidade de Negócio e um Gabinete de Crise definido para lidar com estas situações.

Neste caso poderíamos exemplificar com o risco de rompimento de uma barragem hidroelétrica, cuja sua probabilidade de ocorrência é extremamente baixa, mas sua ocorrência geraria consequências catastróficas ou exemplificar com o risco de vazamento de material radioativo no caso de uma usina nuclear ou risco de explosão numa planta química que fabrica trotil ou al-gum outro produto similar. Neste caso todos os esfor-ços devem ser feitos a fim de reduzir a vulnerabilidade dos sistemas de proteção e conscientização dos funcio-nários a respeito das consequências caso algum destes riscos venha a concretizar-se, bem como manter um sistema de monitoramento de riscos efetivo.

• No quadrante “C” têm-se as ameaças com alta proba-bilidade de ocorrência, mas pouco impacto para Em-presa. Devem ser gerenciados e monitorados de forma contínua. Muitas vezes a colocação de sistemas de pro-teção e uma rotina de “check lists” são suficientes para o controle destes riscos.

Poderíamos exemplificar como o risco de furto de mer-cadorias em um supermercado ou furtos de oportuni-dade que podem ser facilmente inibidos com o uso de sistemas de proteção adequados. Neste caso de solução

117


por adoção de sistemas ou meios tecnológicos temos presenciado o aumento crescente da instalação de siste-mas de CFTV (Circuito Fechado de TV) em supermer-cados e lojas de conveniências.

Quanto ao uso de “check lists”, podemos citar a ado-ção de procedimentos de conferência de configuração sistemas ou máquinas a fim de evitar-se a quebra de pe-ças por funcionamento do maquinário na configuração inadequada ou outros “check lists” que são utilizados em fazes críticas de processos e/ou operações, como é o caso do procedimento realizados em embarque de cargas para evitar extravio ou furto de mercadorias.

Ainda podemos encontrar como solução a criação de um “layout” específico que impeça ou dificulte a con-cretização destes riscos, tal como a transferência de produtos que apresentem maior atratividade para serem furtados das gôndolas internas do supermercado para uma área específica segregada ou junto aos caixas.

• No quadrante “D”, a baixa probabilidade e o pequeno impacto financeiro representam pequenos problemas e prejuízos que ocorrem de tempos em tempos. Os riscos têm uma baixa probabilidade de ocorrência e um im-pacto financeiro classificado como leve, porém deve-se ser bastante criterioso na sua análise.

Por vezes seus impactos financeiros diretos são baixos, mas poderemos com estes riscos nos deparar com con-sequências intangíveis, tais como danos psicológicos, morais, desgastes no relacionamento com o cliente, custo de retrabalho, etc... de difícil quantificação. Neste

118


caso, tais riscos devem ser recolocados num quadrante que corresponda a sua real classificação.

Por este motivo a Análise de Risco Parametrizada na fase do cálculo da Quantificação do Impacto (QI) con-templa não só os fatores financeiros diretos, mas tam-bém outros fatores tais como: imagem, extensão, legis-lação etc... A fim de fugir de uma avaliação simplória, subdimensionada, incoerente ou inadequada do risco a ser analisado.

Outro problema também enfrentado neste quadrante é que tais ameaças que ocorrem de tempos em tempos, se não forem devidamente tratadas podem aumentar sua frequência e tornarem-se corriqueiras, passando ao quadrante “C”.

Para facilitar a compreensão da análise dos quadrantes da Matriz de Riscos segue Quadro Sintético de Análise dos Quadrantes.

Quadro Sintético de Análise dos Quadrantes

Quadro Sintético de Análise dos Quadrantes

Quadrante Medidas

A

• Atenção imediata • Transferência do Risco • Procedimentos definidos e planejados • Constante checagem e sensores • Procedimentos de crises definidos

B

• Controles rotineiros • Planos de contingência • Gabinetes de crises • Sensores específicos

119


C

• Sistemas e sensores • Rotina de check lists • Procedimentos padronizados • “Layout” específico

D

• Cuidado na classificação • Sistemas e sensores • Procedimentos padronizados • “Lay-out” específico • Evitar “migração de quadrantes”

4.6.2. Tabela de Priorização

A Tabela de Priorização de Riscos fornece uma ideia bastante clara de qual risco devemos dar prioridade para sua mitigação e, por conseguinte, influenciará no processo de alocação de recursos para sua solução.

Uma das formas de ordenar os riscos é por meio da Per-da Esperada. A Perda Esperada nada mais é que a multipli-cação do valor da perda (impacto) referente a concretização de determinado risco pela sua probabilidade (frequência). No caso da metodologia Análise de Risco Parametriza-da a Perda Esperada será o produto da Quantificação do Impacto (QI) pela Estimativa de Probabilidade (EP), conforme exemplo abaixo:

120


4.7. Balanceamento em Gestão de Riscos

4.7.1. Risco X Vulnerabilidade

A principal função do gestor de risco é ser capaz de ba-lancear o grau de risco de determinada operação com o ní-vel de vulnerabilidade dos sistemas de proteção que estão sendo empregados.

É uma completa utopia achar que existe operação ou ne-gócio com risco zero. Os riscos são inerentes ao negócio. O que existe é a possibilidade da não aceitação de determina-do risco, declinando-se/recusando-se a fazer uma operação específica ou a aceitar determinado negócio.

Para se direcionar os esforços e recursos para a miti-gação dos riscos, o gestor de riscos precisa ter uma visão clara dos seus riscos críticos e das vulnerabilidades em seus sistemas de proteção. Uma forma simples de se fazer isto é contrastar a Matriz de Riscos com os Heat Maps dos sistemas de proteção. Outra forma é a utilização da Matriz de Criticidade. A Matriz de Criticidade consiste em uma matriz formada por 2 eixos: Grau de Perda Esperada e

121


Índice de Vulnerabilidade. O Grau de Perda Esperada obtém-se através da multiplicação da Quantificação do Impacto (QI) pela Estimativa de Probabilidade (EP). Esta matriz permite ver a criticidade da ocorrência d deter-minado risco levando-se em conta a severidade do seu im-pacto (Quantificação do Impacto), a probabilidade de sua ocorrência (Estimativa de Probabilidade) e a fragilidade dos sistemas de proteção (Índice de Vulnerabilidade) para evitar que tal risco venha a concretizar-se.

Esta ferramenta permite que o gestor consiga ter um overview da situação dos riscos de sua organização e priori-zar os riscos a serem tratados de forma emergencial. Segue abaixo exemplo de Matriz de Criticidade.

122


Outra ferramenta bastante útil para se identificar os gaps existentes nos sistemas de proteção e se contrastar com os principais riscos existentes é a Tabela de Análise de Risco X Vulnerabilidade. Ela fornece uma visão muito clara dos gaps, conforme exemplo abaixo:

A falta do correto entendimento da necessidade de se equilibrar o nível de vulnerabilidade dos sistemas de prote-ção com o grau de risco que determinado negócio ou ope-ração leva o gestor de riscos a adotar práticas por demais restritivas, a declinar/recusar operações com riscos que

1 Incêndio

2 Invasão

3 Furto de grande valor

4 Furto de pequeno valor

5 Sequestro para invasão

6 Dano ao meio ambiente

7 Vandalismo/Dano ao patrimônio

Tabela de Análise de Risco X Vulnerabilidade

RiscoQuantifi-cação do Impacto

Estimativa de Probabilidade

Perda Esperada

Perda Máx. Provável

Nível de Vulnerabilidade

Necessida-de Corretiva

Principais Pontos

Incêndio 58,5 1,53 89,5 U$ 250 Mn

Tecnologia/ Infraestrutura Altíssima

Instalar sistema de sprinklers

Capital Intelectual Baixa

Norma/ Pro-cedimentos Médio

Desenvolver atualização de procedi-

mentos

Cultura Orga-nizacional Baixa

123


poderiam ser aceitos mediante a adoção de alguns controles e a instalação de sensores e atuadores em alguns pontos crí-ticos ou a adoção de medidas exageradas para controle que engessam toda a operação.

Esta falta de entendimento decorre, muitas vezes, de uma confusão conceitual do que é risco e do que é vulnerabilida-de. Outro problema bastante comum é a falta de precisão na avaliação do risco (grau de risco) ou dos gaps existentes nos sistemas de proteção (nível de vulnerabilidade). É muito im-portante para o gestor de riscos ligar os riscos aos sistemas de proteção existentes de forma correta e verificar se os mesmos estão adequados ou não aos riscos inerentes.

4.7.2. Apetite X Tolerância/Resiliência à risco

Existe uma imensa confusão entre apetite à risco e to-lerância à risco. O apetite à risco refere-se a predisposição da organização de se tomar determinados riscos. Isto está intimamente ligado à cultura organizacional e como os Top Executives estão predispostos a aceitarem perdas.

Tolerância à risco está intimamente ligado a capacidade de se recobrar da perda. Algumas empresas possuem gran-de tolerância a risco, mas muito baixo apetite ao risco, fa-zendo com que adote sempre uma postura extremamente conservadora.

Muito comumente ocorre o desalinhamento entre o ape-tite à risco dos Top Executives e dos investidores, também conhecido como “problemas de agência”. Normalmente, os investidores estão dispostos a tomarem mais riscos que os Top Executives da empresa. Por vezes, isto ocorre por uma tentativa destes executivos de garantirem o cumprimento de suas metas e para que seja assegurado o seu bônus. Cabe

124


ainda lembrar que as características psicológicas dos in-vestidores tendem a ser bem diferentes das dos executivos, sendo o primeiro grupo de pessoas muito mais predisposto a tomar riscos que o segundo grupo.

É importante lembrar a grande ignorância que existe por parte dos executivos brasileiros sobre o tema risco, dificul-tando sobremaneira o trabalho do gestor de risco.

Torna-se primordial o gestor de riscos fazer um traba-lho de esclarecimento destas nuances junto aos executivos da empresa. Outro fator importante para o gestor de riscos é saber qual a resiliência financeira da empresa de forma clara e precisa. Para tal, ele deve ter noção do grau de en-dividamento da empresa, do seu nível de liquidez e de sua capacidade de crédito no mercado. Desta forma, saberá exatamente qual a capacidade da empresa se recobrar face a concretização de determinados riscos.

4.7.3. Programas de Seguro

A contratação de programas de seguro é uma das formas de se “transferir” o risco. Na realidade, o seguro irá garantir a reposição da perda e a preservação do fluxo de caixa da empresa, evitando-se a descapitalização para repor a perda de algum sinistro. Como opções alternativas ao seguro te-mos a mutualização que consiste num fundo comum feito por empresas ou associações para fazer frente a algum risco que venha concretizar-se. A lógica é a mesma do seguro, contudo, diminui-se o custo devido a redução das taxas de administração. Tal prática tem sido comum para empresas do mesmo segmento e que tem dificuldade na colocação de alguns riscos específicos no mercado ou empresas de um mesmo grupo.

125


Por vezes a prática de mutualização de determinados riscos vem acompanhada de exigências que para fazer parte daquele mútuo é necessário que os riscos sejam mitigados de acordo com uma política única de riscos e seguindo nor-mas e procedimentos específicos para a gestão de riscos, bem como se sujeitar às auditorias periódicas previamente definidas, ou seja, obrigam-se que as empresas mitiguem seus riscos previamente.

Um dos erros mais comuns na contratação de um pro-grama de seguro é a sua contratação sem que seja feito um trabalho prévio ou em paralelo de mitigação dos riscos. Isto implica no aumento do custo do prêmio do seguro a ser cobrado, haja vista que desta forma, o prêmio está sendo calculado de acordo com o risco puro (não tratado) ao invés de ser calculado de acordo com o risco residual (risco já mitigado). Também é comum as empresas tomarem uma série de medidas para mitigarem seus riscos e não divulga-rem para as seguradoras, dificultando assim o processo de avaliação de seus riscos.

É desejável que ao se colocar os riscos no mercado se-gurador seja feito um Road show que consiste em uma série de apresentações às seguradoras demonstrando quais os ris-cos e o que se está sendo feito para mitigação dos mesmos. A ausência de informações às seguradoras tem sido um dos principais fatores para os subescritores aumentarem o valor dos prêmios de seguros durante um processo de cotação.

Outra ferramenta a ser utilizada pelo gestor de risco é o autosseguro. Este pode ser total ou parcial e de acordo com cada tipo de risco. Normalmente, esta ferramenta é utiliza-da para riscos operacionais de baixo impacto e que ocorrem com grande frequência em decorrência de falta de robustez no processo operacional.

126


Estes riscos supracitados tem por características serem muito caros no mercado segurador e normalmente são co-tados no mercado sem que antes tenha sido realizado um trabalho consistente de mitigação dos mesmos. Como as faixas de seguro mais baixas (que cobrem sinistros de me-nor valor) são consideradas sensivelmente mais caras que as faixas que cobrem riscos de maior valor e que a frequên-cia destes riscos pode apresentar significativa melhoria em decorrência de uma melhoria nos controles dos processos, sugere-se que eleve-se o valor da franquia à medida que se melhoram os controles destes riscos e obtém-se a diminui-ção da frequência com que os mesmos ocorrem. Obviamen-te, à medida que se aumenta a franquia deve-se aumentar o valor em reserva (autosseguro) para se fazer face a alguma sinistralidade.

Ao adotar uma política de autosseguro (para as faixas de menor valor e maior frequência de eventos: working layer), o gestor de riscos deve ter a consciência que a reserva de capital para fazer face a este risco deve ser adequado. Caso ele não tenha esta sensibilidade, ele poderá estar transfor-mando um risco operacional em um risco financeiro devido a falta de caixa para repor a perda.

Recomenda-se fazer um estudo de resiliência financei-ra/tolerância ao risco antes de se iniciar um processo de autosseguro. Neste processo, deve-se levantar os principais indicadores de liquidez e de alavancagem financeira da em-presa para se ter uma correta fotografia do impacto finan-ceiro de uma perda operacional fora do programa de seguro (abaixo da nova franquia a ser definida).

127


4.8. Tratamento/Mitigação dos Riscos Críticos

Esta é a fase na qual é realizado o processo de tratamen-to dos riscos. É onde são definidas das ações e os recursos necessários para a mitigação dos riscos críticos por meio de planos de ação ou projetos específicos voltados a diminuir os níveis de vulnerabilidade nos sistemas de proteção que evitam ou diminuem a probabilidade ou as consequências da concretização de determinado risco. Nesta fase também é feita a priorização dos riscos a serem tratados.

4.8.1. Definição de Responsabilidade/Accountability

Uma das fases mais críticas é a definição de “Accoun-tabiliy” de cada risco (quem será responsável por executar as ações para a mitigação de determinado risco) e “Res-ponsibility” (quem será responsável por responder caso as ações para a mitigação de determinado risco não sejam implantadas).

É desejável que todo o plano de ação desenvolvido para mitigar riscos críticos possua a definição de quem é “Ac-countable” e de quem é “Responsável” por cada risco.

A falta de definição destes papéis enseja na falta de im-plantação das ações efetivas para a mitigação dos riscos. Não raro, identificamos riscos que são de conhecimento de toda gestão, mas que não existe nenhum responsável por monitorá-los ou tratá-los. Por outro lado, deparamos com casos onde existem vários responsáveis, mas ninguém “Ac-countable” pelo risco, ou seja, vários monitorando e contro-lando o risco, mas ninguém tratando o risco.

128


4.8.2. Plano de Ação/Mitigação

Os Planos de Mitigação de Riscos nada mais são que planos de ação voltados para a mitigação dos riscos com algumas modificações em suas estruturas, tais como defini-ção de Accountable e Responsible por cada ação. Sua prin-cipal finalidade é assegurar que as ações de mitigação para os riscos críticos serão colocadas em prática e seu proces-so de implementação fiscalizado de alguma forma. Segue abaixo exemplo de Plano de Mitigação de Riscos:

Plano de Mitigação

Ação 1: Plano de Contingência 01 (Desastres Naturais)

Descrição Sumária (How)

• Desenvolver plano de contingência para lidar com os principais riscos críticos advindos dos principais desastres naturais, definindo os principais cenários de riscos, as principais ações para mitigar estes riscos, as principais medidas para limitar o nível de perdas e as principais ações para limitar a exposição e o desgaste da imagem da empresa nos veículos de comunicação.

Atividade (What) Objetivos Indicadores

• Confeccionar o Plano de Contingência 01 para desas-tres naturais

• Ter um plano que norteie as principais ações em caso de desastres naturais

• % de riscos naturais mapeados• % de riscos natu-rais com planos de contingência

Responsabilidade (Who) Meta Prazos (When)

Responsible Accountable • 80% dos riscos de desastres naturais mapeados e com Planos de Contingência até Dez/2016

• Início: Jan/2015• Check 1: Jun/2015• Check 2: Dez/2015• Check 3: Jun/2016• Deadline: Dez/2016

CRO Risk Manager

Custos Medidas Preliminares Documentos/Referências

• Consultoria (160hrs): R$ 85.000

• Executivos (30hrs): R$ 9.000

• Total: R$ 94.000

• Reunião com CEO • Apresentação à diretoria

• Convocação dos especialistas

• Guidelines (CEO)• Mapa de Riscos

• Relatório de Riscos

129


4.8.3. Matriz de Sistemas

A Matriz de Sistemas define quais sistemas estão en-volvidos na solução ou mitigação dos riscos em questão. Tal ferramenta facilita no cálculo dos custos das soluções que serão empregadas em relação aos riscos que elas pre-venirão ou mitigarão. Este procedimento facilita a defi-nição das planilhas de custo, bem como a avaliação dos sistemas que estarão envolvidos na solução de múltiplos riscos simultaneamente podendo ter seu custo rateado por estes. Além disto, tal ferramenta funciona como uma for-ma de check list para verificar se todos os recursos possí-veis estão sendo empregados no processo de mitigação de determinado risco.

130


Ris

cos

Tecn

olog

ia/E

stru

tura

Nor

mas

/Pro

cedi

men

tos

Cul

tura

O

rgan

izac

iona

lC

apita

l Int

elec

tual

Atu

ador

esSe

nsor

esLa

y-ou

tPO

PIT

Endo

mar

ketin

gR

ecur

sos

Hum

anos

Trei

nam

ento

Furt

o In

tern

oC

FTV

Pro

cedi

men

to

de S

egur

ança

Inst

ruçã

o de

revi

sta

Cam

panh

a de

co

nsci

entiz

ação

Rec

icla

gem

do

s vi

gila

ntes

Ass

alto

Gar

ras

den-

te d

e tig

reC

FTV

Bar

reira

pe

rimet

ral

Pro

cedi

men

to

de S

egur

ança

Inst

ruçã

o de

revi

sta

Pos

to d

e vi

gilâ

ncia

Rec

icla

gem

do

s vi

gila

ntes

Vand

alis

-m

oC

FTV

Cam

panh

a de

co

nsci

entiz

ação

Dan

os à

ve

ícul

osC

FTV

Pos

to d

e vi

gilâ

ncia

Incê

ndio

Spr

inkl

ers

Sen

sor d

e In

cênd

ioP

ared

e co

rta-fo

goO

pera

ção

do

sist

ema

Trab

alho

a

quen

te

Cam

panh

a de

co

nsci

entiz

ação

(a

ntita

bagi

smo)

Brig

ada

de

Incê

ndio

Brig

ada

de

Incê

ndio

Expl

osão

Vál

vula

s de

em

ergê

ncia

Sen

sor d

e va

zam

ento

Par

ede

an-

tiexp

losã

oO

pera

ção

do

sist

ema

Trab

alho

a

quen

te

Cam

panh

a de

co

nsci

entiz

ação

(a

ntita

bagi

smo)

Tim

e de

em

ergê

n-ci

a cr

ítica

Tim

e de

em

ergê

ncia

cr

ítica

131


Item Descritivo

Sensores• dispositivos tecnológicos capaz de proporcionar o alerta oportuno em caso de eventos de risco

Atuadores• dispositivos tecnológicos capaz de dimi-nuir os impactos em caso de eventos de risco ou impedir a sua consecução

Lay-out

• estrutura física de determinado ambien-te que pode ser adaptada para evitar ou diminuir os efeitos em caso de consecução de determinado risco

POP• Procedimento Operacional Padrão: pro-cedimento que descreve detalhes de uma operação específica

IT• Instrução de Trabalho: descreve de forma detalhada como o colaborador irá realizar determinada atividade

Endomarketing• ações internas de divulgação ou cons-cientização que tem como principal target os colaboradores da própria organização

Recursos Humanos• colaboradores da própria organização ou terceiros que executarão atividades para determinada organização

Treinamento

• ações voltadas para o desenvolvimento ou aprendizado de competências essen-ciais necessárias para performar determi-nada atividade ou função

4.8.4. Matriz GUT Modificada

Partindo-se do princípio que os recursos, tanto humanos como materiais, são limitados para o número de necessi-dades existentes implica que ser o mais assertivo possível nesta fase é fundamental.

Uma das principais dificuldades após a definição dos planos de ação (mitigação) é a definição da sequência de

132


execução das ações, ou seja, saber qual a prioridade a ser dada para cada uma das ações.

Uma das ferramentas disponíveis para auxiliar no pro-cesso de priorização é a Matriz GUT Modificada que foi criada tendo por base a Matriz GUT utilizada nos processos de qualidade. Sua aplicação é bastante simples e consiste em atribuir valores que definem a dificuldade em se im-plantar determinada solução baseada em uma tabela de re-ferência. Desta forma, consegue-se estimar qual o grau de dificuldade para implantar cada ação levando-se em consi-deração a gravidade, urgência, tendência, facilidade e custo para se implantar a solução proposta no plano de mitigação para cada vulnerabilidade.

A tabela de referência é a que se segue abaixo:

Gravidade Urgência Tendência Facilidade Custo Graduação

Gravíssimo Urgentís-simo Piora muito Muito fácil Baixíssi-

mo custo 5

Muito grave Muito urgente

Piora pouco

Relativa-mente fácil

Baixo custo 4

Grave Urgente Não se altera Indiferente Custo

moderado 3

Pouco grave

Pouco urgente

Melhora pouco

Relati-vamente

difícilAlto custo 2

Sem gravidade

Sem urgência

Melhora muito Muito difícil Altíssimo

custo 1

Desta forma conseguimos avaliar quais das ações de-vem ter prioridade sobre as demais se levando em conside-ração os fatores da decisão descritos acima. Abaixo segue um exemplo no qual é utilizada tal metodologia:

133


Plano de Priorização de Ações de Gestão de Riscos

Ação Gravidade Urgência Tendência Facilidade Custo Somatória Prioridade

Troca de todo o sistema de

sprinkler5 5 5 1 1 17 4

Instalação de garras dente de

tigre3 3 3 4 3 16 5

Adoção de novo procedimento de check de válvulas

de incêndio

2 3 3 5 5 18 3

Limpeza e manutenção das

câmeras3 3 4 5 4 19 1

Recálculo dos riscos a serem

transferidos para o seguro

1 2 3 3 4 13 7

Criação dos KRIs 2 2 4 2 4 14 6

Troca de cabea-mento elétrico em

curto-circuito5 5 4 2 2 18 2

Nota-se que algumas ações podem ser conduzidas até mesmo em paralelo. O fato de a metodologia considerar fa-tores como facilidade e custo, permite com que as atividades mais complexas e caras sejam consideradas um impeditivo para que outras atividades sejam realizadas como preceden-tes ou até mesmo sejam conduzidas ao mesmo tempo.

Em alguns casos podem-se atribuir pesos aos diversos fatores conforme o nível de importância dado a cada um. Para empresas que primam pela imagem e tem uma política de risco bastante rígida, os fatores gravidade e urgência po-dem possuir um peso maior que os demais.

134


4.9. Política de Alocação de Custos de Gestão de Riscos/Seguros

Um dos erros mais comuns na alocação dos custos de seguros é a divisão do custo de seguro baseado somente no faturamento das unidades de negócio da empresa. Logica-mente, que a capacidade financeira de cada unidade para pagar o prêmio do seguro deve ser levado em consideração. Entretanto, utilizar somente este fator cria uma visão mío-pe e uma distorção que não vai levar em consideração os gestores que adotam as boas práticas de gestão de riscos e zelam por manter seus sistemas de proteção adequadamente manutenidos e contribuem com esforço para o desenvolvi-mento de uma cultura de prevenção de risco adequada.

Uma das fases mais complexas é a definição da Política de Alocação de Custos de Gestão de Riscos e de Seguros. Esta política define as diretrizes para a alocação dos custos de gestão de riscos e de seguros por áreas dentro da empre-sa. Esta política deve ser baseada em modelos de racionais que permitem a premiação para aquelas unidades que vem desenvolvendo um bom trabalho de gestão de riscos e vem atingindo um bom resultado na diminuição do nível de vul-nerabilidade e do número de avarias e perdas de suas uni-dades de negócios.

Pode-se considerar como uma boa prática na política de alocação dos custos do prêmio de seguros a definição de critérios de rateio para as unidades de negócio baseados em ao menos 4 pilares básicos: Faturamento, Valor em Risco, Histórico de Sinistralidade e Índice de Vulnerabilidade.

O Faturamento refere-se à capacidade da unidade em gerar receita e implica diretamente na quantidade de valor

135


movimentado ou armazenado ou produzido pela aquela unidade de negócio. Quanto maior seu faturamento maior a exposição e maior sua capacidade de geração de caixa (normalmente) para pagar os custos de seguro.

O Valor em Risco refere-se aos ativos que estão sendo cobertos pelo seguro. Logicamente, quanto maior o valor em risco da unidade, maior será este reflexo na valoração do prêmio do seguro. Obviamente, deve haver uma coe-rência entre o valor de cobertura contratada e o Valor em Risco. Não raro encontramos situações em que o Valor em Risco é muito menor que a cobertura contratada.

O Histórico de Sinistralidade reflete o grau de cuidado de determinada unidade em gerir os seus riscos. É um dos principais balizadores para a definição do valor de prêmio de seguro a ser pago. Este fator, sem dúvidas, deve ser con-siderado por ocasião da definição do rateio pelas unidades de negócio. Agindo-se desta forma, beneficia-se as unida-des que são mais ciosas com o seu processo de gestão de risco e que causam baixo índice de sinistralidade.

Outra variável importante a ser considerada para a alo-cação de custos de prêmio de seguro é o Índice de Vulne-rabilidade. Este índice permite aquilatar o grau de efetivi-dade dos sistemas de proteção de determinada unidade de negócio. Por conseguinte, permite que os gestores destas unidades sejam encorajados a agirem de forma preventiva no que concerne à prevenção e mitigação dos riscos. Este índice pode ser obtido por meio de auditoria de riscos a se-rem executadas nas unidades.

Uma sugestão de rateio para a divisão do prêmio de seguro a ser distribuído pelas unidades de negócio seria a adoção da proporção de rateio definida no quadro a seguir:

136


Fator Percentual

Faturamento 15%

Valor em Risco 35%

Histórico de Sinistralidade 35%

Índice de Vulnerabilidade 15%

4.10. Desenvolvimento da Cultura Organizacional

A última fase é o desenvolvimento da Cultura Organi-zacional. Esta fase consiste na execução de um trabalho de evangelização dos colaboradores da organização a fim de se criar uma cultura preventiva no que concerne a risco. Para tal, todas as áreas da organização devem ser envolvi-das e deve-se buscar o estabelecimento e o treinamento de focal points e multiplicadores nas diversas áreas.

Os focal points são colaboradores das diversas áreas que serão as interfaces destas áreas com a área de gestão de ris-cos. Os focal points devem ser vistos como multiplicadores da área de gestão de riscos. Logo, devem ser criteriosamen-te escolhidos e devem receber suporte e serem desenvolvi-dos por esta área.

Além de disseminar a cultura de gestão de riscos den-tro das áreas, os focal points possibilitam a criação de uma agenda contínua que é extremamente necessária ao estabe-lecimento de uma cultura organizacional sólida de gestão de riscos. Esta agenda contínua permite que haja um fluxo constante de informações sobre o tema e faz com que al-guns fundamentos de gestão de riscos sejam disseminados pela corporação. Deve-se ter o cuidado de, na medida do

137


possível, se elencar como focal points colaboradores que gostem do tema gestão de riscos e que tenham uma pré-dis-posição ao aprendizado.

Outra preocupação é o constante desenvolvimento dos focal points pela área de gestão de riscos corporativa. Eles devem ser instruídos sobre os conceitos básicos de gestão de riscos, bem como serem instrumentalizados com as prin-cipais ferramentas. Desta forma, alguns erros básicos ou deficiências podem ser corrigidas ou evitadas pelas unida-des de negócios sem a necessidade de acionamento da área de gestão de riscos.

Na escolha dos focal points deve-se levar em conta sua posição e influência junto à gerência da unidade de negócio ou departamento que o mesmo pertence. É de fundamen-tal importância que os focal points tenham voz ativa e que tenham influência ou credibilidade junto aos gestores que apoiam a fim de facilitar o processo de implantação das po-líticas, normas e boas práticas de gerenciamento de riscos.

Outro fator bastante importante na criação de uma cul-tura voltada à gestão de riscos é a criação de um comitê de gestão de riscos. Este comitê que funciona em bases re-gulares de tempos em tempos (normalmente uma vez por mês) tem por objetivo reunir os gestores de unidades, focal points e gestores de diversas áreas para discutirem temas de riscos e encontrarem soluções de forma conjunta. Além dis-to, o comitê permite com que as lições aprendidas em um determinado evento ou por uma unidade de negócio possa ser implantada em outra, este procedimento permite que haja uma aceleração do processo de mudança e de aprendi-zado corporativo.

É importante que o comitê de gestão de riscos dispo-nha de um conjunto de indicadores a serem apresentados e

138


discutidos. Entre estes indicadores podemos citar o índice de vulnerabilidade das unidades de negócio, o número de eventos de riscos reportados, número de avarias, número de vezes que houve quebra dos processos críticos etc...

A falta de indicadores a serem explorados nos comitês de gestão de riscos faz com que se tenham discussões va-gas e mal fundamentadas baseadas na cultura do “eu acho”. Cabe lembrar que os indicadores deixam claro qual o foco a ser dado e qual a dose de esforço a ser exigida de cada unidade de negócio.

Outro fator importante no emprego de indicadores é que seu uso despersonaliza a figura do Risk Manager. O Risk Manager passa a ser somente quem apresenta o indicador e buscar conseguir o buy in para implantar uma solução em conjunto com as unidades de negócios. Neste caso ele passa a ser quem irá ajudar a unidade de negócio a melho-rar o seu indicador. Caso não se tenha indicadores, o Risk Manager é a pessoa que irá apontar um defeito e expor o gerente da unidade de negócio durante a reunião de comi-tê de gestão de riscos. Obviamente, neste caso o gestor da unidade de negócio irá tentar desqualificar a observação ou apontamento do Risk Manager. O simples fato de se ter o indicador muda completamente o approach que é feito e permite que a discussão seja mais técnica e produtiva.

Para os principais indicadores fora da meta ou não-con-formes devem-se ter ao menos uma análise de causa raiz e um plano de ação (5W1H) a ser implantado. Na impos-sibilidade de explorar todas as não-conformidades durante o comitê, deve-se elencar as principais para serem explo-radas. Esta etapa é de suma importância, pois faz com que seja obtido o comprometimento dos gestores publicamente perante as demais áreas da empresa.

139


Na lista de convidados dos comitês de gestão de riscos podem (e preferencialmente devem) constar representantes das áreas de auditoria, controles internos, financeiro, com-pliance, seguros entre outras. Quanto mais diversificado for o comitê, mais fácil será a implantação das medidas corre-tivas definidas em seu curso.

A grande diversidade de participantes no comitê faz com que se tenha uma preocupação extra em se manter o foco e em se evitar discussões improdutivas durante as ses-sões, novamente cresce de importância que o comitê seja baseado, principalmente, na análise dos indicadores (os quais foram criteriosamente definidos).

O comitê de gestão de risco é uma oportunidade singular na qual se encontram os gestores das diversas unidades de negócios e gestores das diversas áreas corporativas. Logo, pode ser palco para a divulgação de temas de interesse da área, contudo, isto deve ser considerado uma oportunidade secundária (o principal foco deve ser a discussão dos indi-cadores e de ações para trazê-los de volta para a meta).Um elemento catalisador para o processo de implantação de uma nova cultura organizacional é atrelar alguns indi-cadores ao processo de bonificação dos gerentes. Alguns indicadores tais como, índice de vulnerabilidade e índice de avarias ou de perdas podem ser ligados às metas individuais dos gestores das unidades de negócio e/ou de algumas áreas corporativas. Esta política faz com que toda empresa passe a colimar esforços em uma única direção.

141

5. Plano de Gestão de Risco Corporativo

5.1. Introdução

Este capítulo trata do desenvolvimento do Plano de Gestão de Riscos Corporativo. Este Plano é o principal documento do gestor de risco, tendo em vista que define as diretrizes a serem adotadas, bem como possuem outros pontos fundamentais, conforme descrito abaixo:

• Definição dos objetivos/finalidade do Plano de Gestão de Riscos

• Identificação dos Riscos Críticos

• Identificação da origem dos riscos críticos

• Identificação dos cenários de riscos (Matriz de Cenários)

• Estimativa da perda máxima possível e dano máximo provável

• Quantificação do impacto e probabilidade dos Riscos Críticos

• Estimativa da perda esperada

• Matriciamento dos Riscos Críticos

• Análise de vulnerabilidade dos sistemas de proteção (Heat Maps)

142


• Análise de criticidade dos riscos críticos em relação as vulnerabilidade dos sistemas de proteção (Matriz de criticidade)

• Ações de mitigação (Plano de mitigação, projetos e investimentos)

• Definição de responsáveis pelos Riscos Críticos (owner-ship) e controles

• Plano de transferência de riscos (seguros, auto-seguro e mutualização)

• Política de rateio de seguros

Basicamente, o Gestor de Risco necessita ter uma visão clara dos principais riscos, seu impacto (severidade) e sua probabilidade (frequência), bem como ter visibilidade das vulnerabilidades existentes nos seus sistemas de proteção. O Plano de Gestão de Risco possibilita ao Gestor esta visão e permite que sejam consolidadas em um único documento as principais diretrizes para a alocação dos recursos dispo-níveis para mitigação dos riscos. Outro fator importante é a designação dos responsáveis pelos diversos riscos e a prio-rização que será dada para cada um deles.

Para ficar mais fácil o entendimento deste, exemplifica-remos com uma amostra comentada do mesmo.

143


5.2. Plano de Gestão de Riscos

5.2.1 Definição dos objetivos/finalidade do Plano de Gestão de Riscos

Neste tópico é definido os principais objetivos/finalida-de do Plano de Gestão de Riscos, conforme exemplificado abaixo:

Finalidade

Este documento visa definir as principais diretrizes a serem adotadas na empresa no que se refere a Gestão de Riscos, sendo aplicadas a todos os colaboradores, terceiros e parceiros.

Objetivos

• Avaliar o nível de risco e o grau de vulnerabilidade das plantas da empresa e de suas principais operações,

• Definir os Riscos Críticos (Matriz de Riscos);• Definir as principais vulnerabilidades existentes (Heat

maps);• Estabelecer ações para mitigação dos riscos críticos; • Estabelecer políticas para transferências de Riscos; • Definir grau de priorização para a mitigação dos riscos.

144


5.3. Identificação/descrição dos Riscos Críticos

Neste tópico são definidos os Riscos considerados Críti-cos para a organização. Estes serão os Riscos que o gestor de riscos preocupa-se-a em alocar recursos e tempo para a miti-gação dos mesmos. Inicialmente, os Riscos Críticos são de-finidos através da análise dos riscos que são levantados junto as diversas áreas da empresa por meio de entrevistas (lista de Riscos) e verificando seus impacto nos fatores críticos de sucesso da empresa. Os que possuem impacto significativo passam a serem classificados como Riscos Críticos.

É importante que cada Risco Crítico venha acompanha-do de sua descrição afim de evitar-se interpretações errô-neas a respeito do mesmo, conforme exemplo abaixo:

Riscos operacionais críticos Descrição do risco

Incêndio

Incêndio com destruição total do Armazém, geran-do vítimas fatais, exposição, com expansão das chamas para a vizinhança, destruição dos prédios vizinhos, derramamento de produto químico no meio ambiente e furto dos salvados.

InvasãoInvasão por quadrilhas especializadas em roubo de mercadorias com disparo de arma de fogo e formação de reféns.

Roubo de carga no transporte rodoviário

Roubo com disparo de arma de fogo, seguido de morte de colaboradores mantidos como reféns e perda da carga.

Fraude no transporteObtenção de benefícios ilegais para uma pessoa, grupo ou empresa terceira com vantagem injusta ou inadequadas, causando perda financeira.

Acidente no transporte de carga

em geral

Acidente em via pública durante o transporte de carga que ocasiona avaria no produto e descon-tinuidade da cadeia logística do cliente, além de ferimento ou morte do motorista e ajudante.

145


5.4. Identificação da origem dos riscos críticos

Este tópico visa proporcionar ao gestor uma visão das principais causas/origem dos riscos críticos. É de fundamen-tal importância que o gestor tenha uma ideia clara quanto a origem dos mesmos. Isto facilitará na definição das ações a serem tomadas para mitigá-los e nos principais controles a serem estabelecidos, bem como na definição dos respon-sáveis pelos mesmos. Segue exemplo na planilha abaixo:

Riscos Origem

Incêndio

Pane elétrica/curto circuito

Descarga atmosférica

Sistema de iluminação inadequado

Incêndio provocado (criminoso)

Equipamentos elétricos em local inadequado

Armazenagem inadequada de produto com ignição espontânea

Armazenagem inadequada de produto inflamável

Vazamento de produtos inflamáveis

Trabalho a quente

Restos de obra (tintas, solventes, etc.)

Falta de ventilação adequada

Falta de piso antifaísca

Falta de manutenção e lubrificação em equipamentos mecânicos pode ocasionar aquecimento por atrito em partes móveis, criando a perigosa fonte de calor.

Os corredores, com papéis e estopas sujos de óleos, graxa pelo chão, são lugares onde o fogo pode come-çar a se propagar rapidamente.

Queda de balões

146


5.5. Identificação dos cenários de riscos (Matriz de Cenários)

A Matriz de Cenário é a ferramenta que permite ao ges-tor de risco apresentar de forma prática e objetiva quais as principais consequências para a organização caso determi-nado risco venha a concretizar-se.

Deve-se tomar o cuidado para que a descrição do cená-rio seja feita de forma realística, afim de não cair em des-crédito o trabalho realizado. Segue exemplo abaixo:

Descrição do risco: Público interno

Meios de produção/

EquipamentosMídia/imagem

Incêndio • Perda de produtividade;

• Traumas psicológicos e clima

de insegurança;

• Ferimentos e mortes de funcionários,

clientes e terceiros.

• Perda de ativo fixo, documentos e infor-mações da ELOG;

• Perda de ativo fixo, documentos

e informações dos nossos clientes e

terceiros.

• Exploração nega-tiva de imagem da

empresa pela mídia

Incêndio com destruição total do Armazém,

gerando vítimas fatais, exposição,

com expansão das chamas para

a vizinhança, destruição dos

prédios vizinhos, derramamento de

produto químico no meio ambiente e

furto dos salvados.

População Negócio Meio ambiente

• Mobilizações sociais

• Indenizações de funcionários mortos

no evento;

• Paralisação dos negócios ou até

mesmo inoperância da planta

• Indenização de terceiros atingidos

pelo incêndio;

• Acionamento da Apólice de seguros.

• Poluição do meio-ambiente;

• Propagação do fogo para outras

áreas.

147


5. Estimativa da perda máxima possível e dano máximo provável

A definição da perda máxima possível e dano máximo provável proporciona ao Gestor uma ideia do impacto de cada risco crítico. É importante que tal definição seja feita de maneira criteriosa, pois afetará no grau de priorização que será dado ao tratamento de cada risco.

Enquanto a perda máxima possível (PMP) leva em con-sideração todo o valor em risco, o dano máximo provável (DMP) é calculado baseado no que será a perda efetiva no caso de um sinistro, conforme exemplificado abaixo:

Unidades PMP (US$) DMP (US$)

Site A 136.561.688 68.280.844

Site B 79.752.995 79.752.995

Site C 58.260.413 58.260.413

Site D 25.725.777 19.602.945

5.6. Quantificação do impacto e probabilidade dos Riscos Críticos

A quantificação do impacto e a definição da estimativa de probabilidade é feito conforme a metodologia Análise de Risco Parametrizada (conforme descrito no decorrer do li-vro). No plano, basta inserir as tabelas de cálculos de quan-tificação de impacto e de estimativa de probabilidade. Caso seja necessário, um memorial de cálculo pode ser colocado num anexo do plano. Segue exemplo das tabelas abaixo:

148


Tabela de Quantificação de Impacto

Tabela de Estimativa de Probabilidade

149


5.7. Quadro de classificação

5.7.1. Código de cor

5.8. Estimativa da perda esperada

A perda esperada de um risco é representada por um nú-mero gerado pela multiplicação do seu impacto financeiro pela sua probabilidade de ocorrência. Neste caso, podere-mos ter três cenários que variam de acordo como conside-ramos a quantificação do impacto:

• Levar em consideração a perda máxima possível;

• Levar em consideração a perda máxima provável;

• Levar em consideração a quantificação do impacto ba-seada nas tabelas parametrizadas;

Perda máxima possível

Para se utilizar o critério da perda máxima possível basta avaliar o valor puro e simples de todos os elementos envolvidos no evento de risco, ou seja, para um risco de

150


incêndio considera-se que a perda foi igual ao valor de todo o patrimônio que estava envolvido no evento, conforme exemplo abaixo:

Risco de incêndio

• Valor do imóvel: R$ 10.000.000,00

• Valor do maquinário e equipamentos: R$ 5.000.000,00

• Estimativa de probabilidade (EP): 0,05%

• Perda esperada: Perda Máxima Possível x Estimativa de Probabilidade

• Perda esperada: (R$10.000.000,00 + R$ 5.000.000,00) x 0,005 = R$ 75.000,00

• Perda esperada = R$ 75.000,00

Dano máximo provável

Para se utilizar o critério da dano máximo provável, le-vam-se em conta outros fatores envolvidos na ocorrência. Por exemplo, se a unidade que sofreu o evento de incêndio possuía dispositivos de sprinklers considera-se que nem toda a unidade foi destruída. Neste caso, considerou-se que somente 20% da unidade foi destruída, conforme exemplo abaixo:

Risco de incêndio

• Valor do imóvel: R$ 10.000.000,00

• Valor do maquinário e equipamentos: R$ 5.000.000,00

151


• Valor da perda máxima possível: R$ 15.000.000,00

• Valor da perda máxima provável: R$ 15.000.000,00 x 0,20*

(*) Considerado somente 20% de perda devido a eficiência dos mecanismos de proteção para mitigar o risco (no caso do evento, sistema de sprinkler)

• Valor da perda máxima provável: R$ R$ 3.000.000,00

• Estimativa de probabilidade (EP): 0,05%

• Perda esperada: Perda Máxima Provável x Estimativa de Probabilidade

• Perda esperada: (R$3.000.000,00) x 0,005 = R$ 15.000,00

• Perda esperada = R$ 15.000,00

Levar em consideração a quantificação do impacto ba-seada nas tabelas parametrizadas;

Neste caso, ao invés de ter um número que represente um valor de perda financeira, teremos um número referen-cial para perda esperada, ou seja, será um número que ser-virá como referência para a pura e simples classificação dos riscos entre si.

Risco de incêndio

Quantificação do impacto (QI)= 4,5 Estimativa de Probabilidade (EP)= 0,05Perda Esperada (PE): 4,5 x 0,05= 0,225

152


Neste caso, tanto os valores de QI quanto os valores de EP foram obtidos pelo emprego das tabelas de parâmetros e fórmulas específicas para a quantificação do impactos e estimativa de probabilidade já descritas na metodologia.

Perda esperada (PE)

UnidadesBaseado na

perda máxima possível

Baseado na perda máxima

provável

Baseado em tabelas de parâmetros

Explosão R$ 75.000 R$ 75.000 0,230

Incêndio R$ 75.000 R$ 15.000 0,225

Alagamento R$ 25.000 R$ 15.000 0,110

Furto de grande valor R$ 10.000 R$ 2.000 0,005

5.9. Matriciamento dos Riscos Críticos

A Matriz de Riscos é a ferramenta que possibilita com que o gestor possa ter uma noção da concretização de cada risco em termos de impacto e de probabilidade.

153


154


5.10. Análise de vulnerabilidade dos sistemas de proteção (Heat Maps)

O Heat Map de vulnerabilidade é uma ferramenta que permite ter um overview do nível de efetividade dos siste-mas de proteção. Este documento servirá para direcionar os esforços a serem feitos

Heat Map de vulnerabilidade

Código de cores

155


5.11. Análise de criticidade dos riscos críticos em relação as vulnerabilidade dos sistemas de proteção (Matriz de criticidade)

A Matriz de Criticidade é realizada com o cálculo entre os eixos do Índice de Vulnerabilidade e Perda Esperada. Os números de Índice de Vulnerabilidade são retirados através das auditorias de Risco. Quanto ao valor da Perda Espera, é obtida através da multiplicação entre Índice de Frequência e Quantificação de Impacto.

O objetivo é obter uma Matriz com o valor de Critici-dade dos Riscos analisados, ou seja, define o grau de criti-cidade de cada risco em relação aos sistemas/mecanismos de proteção instalados (tecnologia, lay out, infra-estrutura, controles internos, normas e procedimentos, recursos hu-manos alocados, cultura organizacional existentes etc) para evitarem a sua concretização. Basicamente, permite ava-liar o impacto de cada risco e a efetividade dos sistemas de proteção em uma única ferramenta. Desta forma, podemos verificar se o nível de vulnerabilidade nos sistemas de pro-teção referentes à determinados risco está adequado ao seu grau de risco.

156


1 Explosão

2 Incêndio

3 Alagamento

4 Furto de grande valor

Risco Qi IF Perda Esperada IV

Explosão 4,80 0,01 0,48 2,00

Incêndio 4,50 0,05 2,25 2,00

Alagamento 3,00 1,00 30,00 3,00

Furto de grande valor 2,00 2,00 40,00 3,00

157


5.12. Ações de mitigação (Plano de mitigação, projetos e investimentos)

As ações de mitigações são definidas baseadas em 3 ferramentas: Matriz de Riscos, Índice de Vulnerabilidade e Matriz de Criticidade.

A Matriz de Risco fornece ao gestor uma visão clara de seus riscos no que concerne à impacto e probabilida-de, enquanto o Índice de Vulnerabilidade define o nível de vulnerabilidade existente nos sistemas de proteção (Heat Map de vulnerabilidade) e a Matriz de Criticidade que faz uma ligação entre o grau/índice de risco (Quantificação de Impacto X Estimativa de Probabilidade) e o nível de efeti-vidade dos sistemas de proteção definidos pelo Índice de Vulnerabilidade.

Baseado na análise dessas ferramentas, o Gestor de Ris-co irá definir projetos e ações específicas para melhorar os sistemas de proteção, quer seja em termos de adoação/up-date de novas tecnologias, treinamento ou contratação de capital intelectual, redefinição ou redesenho de processos, normas ou procedimentos e desenvolvimento de cultura organizacional.

O Gestor deve manter o controle das principais ações e projetos de mitigação de risco em andamento.

158


Principais projetos de investimento

Principais ações de mitigação

Comitê de Gestão de Risco

O QUE – WHAT

PROBLEMA Qual o pro-blema a ser resolvido?

PORQUE – WHY

CAUSA RAIZ Por que o problema ocorre?

COMO – HOW AÇÃO

Como será feito?

QUEM – WHO RESPONSÁ-

VEL Quem é o

responsável pela ação?

ONDE – WHERE LOCAL

Onde será realizada a

ação?

QUANDO – WHEN DATA

Até quando será feito?

Criação e esta-belecimento do Comitê de

Risco

Para melhorar os processos

de governança corporativa no que se refere ao controle,

monitoramento e mitigação dos riscos.

Criação e implantação tipo Comitê

bimestral en-volvendo todos

os gerentes de unidades operacionais para o acom-panhamento de KPI KRI e follow up de

planos/ações de mitigação

Responsabi-lity: Gerente

de Risco Accountability:

Analista de Risco

Escritório central

Brienfing: 02/fev Reunião:

20/fev

Áreas Projetos Riscos mitigados

Sites

A B C D E

SECURITY

Instalação de CFTV

Invasão/Furto

interno

R$ 800.000

R$ 310.000

R$ 604.000

R$ 200.000

R$ 202.000

Sistemas de controle de acesso

Invasão R$ 30.000 R$ 48.000

R$ 35.000

R$ 45.000,00 R$ 52.000

SAFETY

Sprinklers Incêndio R$ 8.000.000

R$ 6.000.000

R$ 7.500.000

R$ 7.800.000

R$ 8.000.000

Rede de Hidrantes Incêndio R$

2.000.000 R$

2.400.000 R$

1.100.000 R$

1.800.000 R$

1.900.000

TOTAL R$ 10.830.000

R$ 8.758.000

R$ 9.239.000

R$ 9.845.000

R$ 10.154.000

159


5.13. Definição de responsáveis pelos Riscos Críticos (ownership) e controles

É primordial que o gestor de Risco defina um dono (responsável/ownership) por cada risco crítico. Além dis-so, deve ser definido quem será “accountable” por cada ris-co, ou seja, quem efetivamente será responsável por tratar/ações de mitigação destes riscos regularmente.

Para cada risco é importante se ter um ownership, um accountable e um mecanismo de controle definido e que seja de conhecimento de todos aqueles envolvidos no pro-cesso de controle e mitigação dos riscos críticos.

Riscos operacionais

críticosDescrição do risco Ownership Accountble Controle

interno

Incêndio

Incêndio com destrui-ção total do Armazém, gerando vítimas fatais, exposição, com expan-são das chamas para a vizinhança, destruição dos prédios vizinhos,

derramamento de pro-duto químico no meio ambiente e furto dos

salvados.

Geren-te da

unidade

Coorde-nador de

SSMA

Plano de Ação Emer-

gencial – PAE001

Invasão

Invasão por quadrilhas especializadas em

roubo de mercadorias com disparo de arma

de fogo e formação de reféns.

Geren-te da

unidade

Analista de Risco

Patrimonial

Proce-dimento POP002

160


Roubo de carga no

transporte rodoviário

Roubo com disparo de arma de fogo, seguido de morte de colabora-dores mantidos como

reféns e perda da carga.

Geren-te da

unidadeCACI

Plano de Geren-

ciamento de Risco – PGR

Fraude no transporte

Obtenção de benefícios ilegais para uma pes-

soa, grupo ou empresa terceira com vantagem

injusta ou inadequa-das, causando perda

financeira.

Geren-te da

unidade

Coorde-nador de Risco no

transporte

Proce-dimento POP006

Acidente no transporte

de carga em geral

Acidente em via pública durante o transporte

de carga que ocasiona avaria no produto e

descontinuidade da ca-deia logística do cliente,

além de ferimento ou morte do motorista e

ajudante.

Geren-te da

unidade

Gerente de transporte + Coord. SSMA

Plano de Ação Emer-

gencial – PAE001

5.14. Transferência de riscos (seguros, auto-seguro e mutualização)

Após identificados, quantificados e matriciados os ris-cos, o gestor de risco deve definir quais riscos serão as-segurados, quais serão mutualizados, quais será feita uma “reserva técnica” (auto-seguro) para lidar com os mesmos e quais serão tratados a medida que ocorrerem. Para a defi-nição de tratamento para cada um deles será feita uma ex-planação na Parte III deste livro. No que se refere ao pla-no, basta possuir um quadro com a definição do tratamento dado a cada risco, conforme exemplo abaixo:

161


Ris

coPe

rda

máx

ima

poss

ível

Perd

a m

áxim

a pr

ováv

elQ

IEP

PE*

Índi

ce d

e C

ritic

idad

e

Ret

ençã

o/tr

ansf

erên

cia

Segu

roM

útuo

/Au-

toss

egur

o/R

eten

ção

Con

tingê

ncia

Exp

losã

oR

$ 15

.000

.000

R$

15.0

00.0

004,

80,

010,

480,

96X

Incê

ndio

R$

15.0

00.0

00R

$ 3.

000.

000

4,5

0,05

2,25

4,5

X

Ala

gam

ento

R$

5.00

0.00

0R

$ 3.

500.

000

31

3090

X

Furto

de

gran

-de

val

orR

$ 5.

000.

000

R$

2.00

0.00

02

240

120

X

Furto

de

pe-

quen

o va

lor

R$

5.00

0R

$ 2.

000

1

X

(*) C

álcu

lo d

a pe

rda

espe

rada

bas

eado

no

mét

odo

de p

arâm

etro

s (ut

iliza

ndo-

se o

QI e

EP)

162


5.15. Política de rateio de seguros

A política de rateio de seguros defini as regras e méto-dos de como o valor de seguro será rateado pelas unidades de negócio. Logo a forma de rateio influenciará em como as unidades de negócio tratarão os seus riscos. Quanto mais a política de rateio levar em consideração o histórico de perdas das unidades, impactando no custo de seguros, mais os gestores serão zelosos para evitar que tais riscos se concretizem, e por conseguintes diminua-se índice de sinistralidade.

Da mesma forma, as auditorias de riscos nas unidades para verificação do índice de vulnerabilidade dos seus sis-temas de proteção podem auxiliar no processo de mitigação de riscos e auxiliar no processo de uma cultura organiza-cional voltada para prevenção de riscos. Segue abaixo um modelo proposto para o rateio de seguros:

Faturamento LMI Histórico de perdas IV

15% 15% 35% 35%

Baseado nos índices acima, é feita a distribuição percentual do rateio do valor do prêmio do seguro a ser pago.

No exemplo, o site “A” fatura 50% de todo o faturamen-to da empresa, o que gera uma distribuição proporcional de 7,5% de todo o valor de seguro a ser pago neste quesito. Similar raciocínio é aplicado para os demais fatores (LMI, histórico de perdas e o IV), conforme apresentado na tabela a seguir:

163


Des

criç

ão

Site

AFa

tor

Dis

trib

uiçã

o Pe

rcen

tual

Site

BFa

tor

Dis

trib

uiçã

o Pe

rcen

tual

Site

CFa

tor

Dis

trib

uiçã

o Pe

rcen

tual

Fatu

ra-

men

to

R$

50.0

00.0

00,0

0 15

%7,

50%

R$

10.0

00.0

00,0

0 15

%1,

50%

R$

40.0

00.0

00,0

0 15

%6,

00%

LMI

R$

20.0

00.0

00,0

0 35

%11

,67%

R$

35.0

00.0

00,0

0 35

%20

,42%

R$

5.00

0.00

0,00

35

%2,

92%

His

tóric

o de

per

das

R$

1.00

0.00

0,00

35

%20

,59%

R$

200.

000,

00

35%

4,12

% R

$ 50

0.00

0,00

35

%10

,29%

IV3

15%

5,00

%3,

515

%5,

83%

2,5

15%

4,17

%

44,7

5%31

,87%

23,3

8%

164


Considerando-se um prêmio de seguros de R$ 1.000.000 a ser pago pela empresa, teríamos a seguinte distribuição proporcional entre as unidades de negócio conforme tabela abaixo:

Unidade de negócio

Distribuição percentual

Valor total do Seguro

Valor a ser pago

Site A 44,75% R$ 1.000.000,00 R$ 447.500,00

Site B 31,87% R$ 1.000.000,00 R$ 318.700,00

Site C 23,38% R$ 1.000.000,00 R$ 233.800,00

R$ 1.000.000,00

165

6. Retenção de Risco & Resiliência Financeira

6.1. Introdução (overview)

Esta parte do livro destina-se a discussão de um dos te-mas mais difíceis no que concerne a tomada de decisão por parte do gestor de risco: a definição do nível ideal de reten-ção X transferência do risco, ou seja, quanto do seu risco será transferido para um programa de seguro, ou será mu-tualizado, ou será criado um fundo à parte para fazer frente à perda em decorrência da concretização de um evento de risco que esteja abaixo do limite de cobertura securitária.

Basicamente, a contratação de um programa de seguro ou qualquer outro processo de transferência de risco possui 2 finalidades básicas: a pronta reposição da perda de um bem que foi causada por um sinistro e a proteção do fluxo de caixa da empresa, evitando a sua descapitalização em decorrência da necessidade de se pagar o sinistro. Por ve-zes, esta descapitalização abrupta pode gerar um problema de insolvência e até mesmo causar a quebra do negócio no caso de grandes sinistros.

Para a definição da transferência dos riscos para pro-gramas de seguros é necessário se ter uma visão clara dos riscos a serem cobertos e dos seus limites de cobertura e valores de franquia.

O valor da franquia define a partir de qual valor o risco será coberto pelo programa de seguro e o limite de cober-tura define o valor máximo a ser coberto para cada risco.

166


Existem 2 tipos de riscos que merecem especial aten-ção do gestor de riscos das organizações: os riscos de baixa frequência (probabilidade) e grande severidade (impacto) e os de alta frequência (probabilidade) e baixa severidade (impacto).

Os riscos de baixa frequência (probabilidade) e grande severidade (impacto) podem causar a quebra da empresa se ela não tiver reservas suficientes para fazer frente aos mesmos. Por necessitarem de grandes somas de dinheiro para reporem estas perdas, normalmente eles são mutua-lizados ou fazem parte de algum programa de seguro. O custo de cobertura destes riscos no mercado internacional não costuma a ser alto, tendo em vista à baixa frequência com que os mesmos ocorrem. Neste caso, o grande risco é quando o gestor não consegue prever algum destes riscos e não contrata um programa de seguro ou define uma forma de mutualização para eles.

Normalmente, os programas de seguro do tipo “All Risks” diminuem as chances de que se esqueça de incluir algum risco na apólice. Obviamente, estes programas não cobrem infinitas possibilidades de riscos, mas possuem uma apólice bastante robusta e coerente.

Outro problema bastante comum é a contratação de uma cobertura de seguro insuficiente para o risco em tela devido a uma avaliação errada da perda. Neste caso, a organiza-ção tem a falsa sensação que seus riscos estão corretamente cobertos e se surpreende quando vai ser feita a regulação do evento de risco para a definição do ressarcimento. Re-comenda-se que no mínimo a cada 2 anos seja feita uma reavaliação do valor dos ativos que estão assegurados. Para fins financeiros, esta prática é definida como “impairment” e gera impactos no balanço da empresa tendo em vista que

167


realinha os valores patrimoniais. É de bom alvitre, que este trabalho seja realizado por uma empresa de engenharia/avaliação de riscos “Top Tier”. Este procedimento evita ou minimiza a hipótese que haja intermináveis discussões para a regulação de sinistros no futuro no que tange aos valores a serem ressarcidos.

No caso de sinistros de alta frequência (probabilidade) e baixa severidade (impacto), temos problemas menores em relação a quanto eles podem afetar o fluxo de caixa da empresa, tendo em vista que seus valores são considera-velmente mais baixos. Contudo, normalmente, o fluxo de caixa livre (Free Cash Flow) costuma a ser muito baixo e, por conseguinte, não sendo capaz de cobrir algumas destas perdas. Estes sinistros apresentam 2 características pecu-liares: custa muito cara a contratação de um seguro para cobrir tais perdas e a sua constante repetitividade denotam um processo pouco robusto.

Para se ter uma ideia do valor de custo de seguro de acordo com as faixas, para uma apólice do tipo “All Risks” de Responsabilidade Civil do Seguro de Operador Portuá-rio temos os seguintes valores:

Faixa de Cobertura Contratada Custo Percentual do Prêmio

U$ 35.000 – U$ 8.000.000 U$ 2.100.000 70%

U$ 8.000.000 – U$ 150.000.000 U$ 480.000 20%

U$ 150.000.000 – U$ 230.000.000 U$ 320.000 10%

Cobertura Total: U$ 35.000 – U$ 230.000.000

Valor Total Pago: U$ 2.900.000 Total: 100%

Por vezes, tem-se a ideia errônea que se reduzir a co-bertura pela metade implicará em uma redução do custo do

168


prêmio de seguro na mesma proporção e como demonstra-do na tabela acima, logicamente, isto não ocorrerá. As fai-xas possuem valores bastante diferentes. Logo, esta relação de redução não ocorre de maneira linear.

No que concerne a falta de robustez do processo, este apresenta 2 efeitos diretos: o desgaste com o cliente em de-corrência das avarias de seus produtos e o custo do retraba-lho para sua reposição e o risco de vir uma grande avaria proveniente de um processo deficiente. Todo processo que gera uma série de avarias e/ou perdas é um processo instá-vel e tem grande possibilidade de vir a gerar uma grande avaria repentinamente. Por exemplo, se temos constantes pequenas colisões de empilhadeiras em colunas de um ar-mazém, mas somente gerando pequenas avarias ou avarias quase que imperceptíveis, possivelmente temos uma gran-de chance de acontecer repentinamente uma grande avaria tal como o colapso de uma estrutura porta-pallet causada pela colisão mais contundente de uma empilhadeira contra a estrutura.

Para se ter uma ideia, as empresas europeias localizadas em países com economias estáveis distribuem em torno de 4% de seu faturamento como dividendo e o valor gasto com avarias (reposição de perdas e retrabalho) é da ordem de 5%, ou seja, teoricamente uma redução de 40% no valor de perdas por avarias geraria uma possibilidade de aumento de 50% no valor dos dividendos pagos.

Quando o gestor de riscos decide transferir parte dos seus riscos para um programa de seguros, é desejável que ele faça a medição destes riscos e tome as medidas cabíveis para a mitigação dos mesmos. Desta forma, ele conseguirá certa diminuição nos custos a serem pagos com seguros. Da mesma forma que a seguradora leva em conta os fatores de

169


risco ao fazer o seguro de um carro, tais como se o carro pernoita em local seguro (tipo garagem), se possui dispo-sitivo de rastreamento etc... o subscritor ao analisar o risco de incêndio de um armazém, leva em conta se este possui dispositivos de combate à incêndio adequados, tais como: detectores de fumaça, sistemas de sprinklers etc... Cabe ao gestor de riscos estabelecer medidas de mitigação de seus riscos (instalação de sistemas de proteção, controles inter-nos, treinamento de pessoas etc.) e evidenciá-las para as seguradoras a fim de obter uma precificação mais adequada para seu programa de seguro.

A definição do valor da cobertura do seguro a ser con-tratada, bem como o valor a ser estabelecido para a franquia que define o quanto do risco será retido pela empresa e o quanto será transferido para o programa de seguro ainda é um tema complexo e pouco discutido pelas empresas aqui no Brasil.

Normalmente, a área de seguro responde ao CFO das empresas e a área de gestão de riscos responde ao CEO ou ao conselho, ocasionando com que o tema transferência de risco seja tratado de forma isolada. Este fato faz com que não se tenha uma política clara de como e quais os riscos serão mitigados e transferidos para um programa de seguro. E, por vezes, ocorre a transferência destes riscos sem qual-quer forma de mitigá-los o que encarece o preço do seguro. Ademais, as empresas não estão acostumadas a questionar como é feito a precificação de seu seguro e muito menos gerar simulação de cenários para estabelecer uma relação custo X benefício entre o que se retém de risco e o que se transfere.

Vários fatores influenciam na definição do valor que será fixada a franquia do seguro. Este ponto define a partir

170


de quanto o sinistro estará coberto pelo seguro e abaixo de quanto que a empresa terá que arcar com os custos dos si-nistros, em outras palavras, abaixo do valor da franquia a empresa está retendo o risco e acima da franquia ela está transferindo o risco para a seguradora.

O primeiro fator que influencia na definição da faixa de retenção do risco é o apetite ao risco por parte dos investi-dores e dos alto executivos da empresa (mormente o CEO e o CFO). Deve-se ter uma definição muito clara de quanto estes atores estão dispostos a assumir riscos. Quanto maior for o apetite, mais predisposto se estará a aceitar possíveis perdas sem se ter uma cobertura de seguro para determina-dos riscos.

O segundo fator a ser levado em consideração é a to-lerância aos riscos. A tolerância refere-se à capacidade da empresa de suportar determinadas perdas decorrentes de determinados riscos. Quanto à empresa consegue suportar em perdas sem colocar em risco a sua liquidez. Este fator está intimamente ligado a sua resiliência financeira.

Quanto maior for à resiliência financeira de determina-da empresa, maior é a sua capacidade de retenção de riscos.

Nos grandes conglomerados ou grandes grupos de empresas, dependendo do tipo de risco, pode se fazer um fundo para a mutualização de determinado risco até de-terminado nível. Quando esta linha de raciocínio é ado-tada, sugere-se a implantação de um programa de Loss Prevention em paralelo a fim de se diminuir o volume das perdas sem cobertura. Caso não se tenha perda no período, o dinheiro do fundo ou dinheiro que seria gasto com o pro-grama de seguros passa a ser convertido em saving para o caixa da empresa.

171


6.2. Resiliência Financeira

6.2.1. Conceito

O conceito de resiliência vem da engenharia, mais espe-cificamente da área de estudo do tema resistência dos mate-riais que define como resiliência a capacidade de determi-nado material voltar ao seu estado original após ter sofrido um determinado impacto. No caso deste livro, entendemos como resiliência financeira a capacidade de determinada empresa restabelecer seu caixa e sua condição de liquidez após ter sofrido um determinado impacto que tenha afetado seu fluxo de caixa e, por conseguinte, seu nível de liquidez no mercado.

A resiliência financeira de determinada empresa está intimamente ligada a alguns fatores, tais como: sua capa-cidade de geração de caixa operacional, sua capacidade de saldar as obrigações de curto prazo, o seu grau de liquidez, o seu fluxo de caixa livre, o seu nível de alavancagem, seu nível de reservas e seu grau de convertibilidade de seus ati-vos circulantes (ativos que podem ser convertidos rapida-mente em cash) e suas condições de crédito no mercado.

Sua capacidade de geração de caixa operacional é fun-damental para recompor o seu caixa num caso de um evento de risco que venha causar a descapitalização abrupta do seu caixa. Se a geração de caixa for robusta permitirá recompor a perda rapidamente ou auxiliará no processo de pedido de crédito no mercado.

Sua capacidade de saldar as obrigações de curto pra-zo está diretamente ligada a sua capacidade de geração de caixa e ao seu nível de endividamento de curto prazo, por

172


vezes, pode-se alterar o perfil da dívida alongando-a para permitir um caixa menos pressionado.

O grau de liquidez é um dos principais indicadores para se analisar o grau de retenção de riscos. A concretização de riscos não somente destrói valor, mas deixa empresas em estado de insolvência crônica ou falimentar. Por vezes, em-presas saudáveis amargam enormes perdas em riscos que estavam descobertos e acabam por ter que pedir concordata ou falência.

O nível de fluxo de caixa livre também é importante, pois permite ao gestor rapidamente repor determinada perda sem sofrer uma interrupção longa da operação o que geraria uma perda de fluxo de caixa e multas por não cumprimento de contrato nos meses subsequentes e agravamento da situação financeira. Deve-se somar a isto o nível de reservas que a empresa possui para fazer face para estas eventuais perdas. Cabe, contudo, ressaltar o grau de convertibilidade destas reservas. Estas reservas devem possuir alto grau de liquidez e aceitabilidade no mercado possibilitando uma conversão rápida em capital e sem necessidade de subvalorizarão do seu valor no caso de títulos e papéis assemelhados. Ativos como inventários de produtos semiacabados ou até mesmo acabados, nem sempre permitem uma convertibilidade rá-pida em cash.

O seu nível de alavancagem também pode influenciar de forma decisiva. Um nível de alavancagem elevado pode facilmente agravar o risco e dificultar sobremaneira as chances de se conseguir empréstimos para se repor a perda ou recompor o capital de giro da empresa.

Outro fator é a capacidade de obtenção de crédito do mercado em situações extremas decorrentes de severas perdas causadas por sinistros de grande monta. Uma boa

173


prática é possuir uma linha de crédito pré-aprovada, prefe-rencialmente com taxas previamente aprovadas e lastreadas em contratos robustos e claros. Isto evitará que se tenha que se contratar crédito às pressas e a taxas abusivas.

6.3. Indicadores de Resiliência Financeira

Os indicadores de resiliência financeira são os indicado-res que possibilitam uma análise e avaliação do grau de re-siliência financeira de uma empresa. É importante que esta análise seja realizada levando-se em consideração a análise dos indicadores de forma integrada e fazendo-se as devidas relações de causa e efeito entre eles.

6.4. Margem de Lucro Bruto

A margem de lucro bruto define o quanto é gerado de lucro bruto em relação às vendas, ou seja, qual o percen-tual de lucro que é gerado. Logo, quanto maior a margem, menor será o volume de vendas necessário para se gerar o mesmo caixa utilizando-se uma margem menor.

A fórmula que define este cálculo é exemplificada abaixo:

Margem de Lucro Bruto = (Lucro Bruto/Faturamento das Vendas) X 100

Lucro Bruto = Faturamento das Vendas – Custo das Mercadorias

174


6.5. Current Ratio

Current Ratio é um indicador de liquidez de curto prazo que permite relacionar a proporção dos ativos circulante em relação aos passivos circulantes, em outras palavras, com-para se o que se tem de ativo de curto prazo cobre o que se tem de passivo de curto prazo.

Normalmente, quando se obtém 2 neste indicador, ou seja, o ativo circulante é 2X o passivo circulante, conside-ra-se adequado na maioria dos casos (varia de acordo com o tipo de negócio). Quanto maior o Current Ratio obtido, maior será o grau de liquidez da empresa para saldar suas obrigações de curto prazo (obrigações a serem saldadas em até um ano).


Current Ratio = (Ativo Circulante)/(Passivo Circulante)

6.6. Acid Test

O Acid Teste é um indicador de liquidez de curto prazo similar ao Current Ratio, contudo é mais restritivo. A dife-rença básica é que se exclui o valor do inventário do ativo circulante. Desta forma obtém-se um valor mais realista da capacidade da empresa em saldar as obrigações de curto prazo, haja vista que o inventário pode ser demorado para se vender ou sofrer uma depreciação de seu valor original.

Para as empresas de prestação de serviços, não faz sen-tido utilizar o indicador anterior (Current Ratio), pois seus

175


inventários influenciam muito pouco ou quase nada no seu resultado. Mesmo as empresas do setor manufatureiro, por vezes, possuem imensa dificuldade em converter seu inventá-rio em dinheiro. Excetuando-se somente as empresas que pos-suem grande facilidade em converter seus inventários em di-nheiro, para todas as outras é melhor o uso do indicador Acid Test em detrimento do indicador anterior (Current Ratio).

Para este indicador considera-se como um número ade-quado qualquer valor acima de 1,0.


Acid Test = (Ativo Circulante – Valor do Inventário)/(Passivo Circulante)

6.7. Geração de Caixa Operacional para obrigações de curto prazo

Este indicador define a capacidade de geração de caixa em relação às obrigações de curto prazo, ou seja, define se a geração de caixa é suficiente para cobrir as obrigações de curto prazo.

A impossibilidade de geração de caixa suficiente para pagar as obrigações de curto prazo pode resultar em fal-ta de liquidez da empresa e insolvência, se a mesma não possuir reservas adequadas para uma situação de variação deste indicador.

No Brasil este cenário é extremamente importante tendo em vista o histórico de taxas de juros elevadas que fazem

176


com que um cenário de dívida possa ser agravado de forma significativa em um curto espaço de tempo.


Geração de Caixa Op no curto prazo = (Caixa Op)/(Pas-sivo Circulante)

6.8. Ciclo de Fluxo de Caixa Operacional

O ciclo de fluxo de caixa operacional também é impor-tante para a definição do nível de liquidez de uma empresa. Basicamente, ele mede a diferença de prazo entre o prazo de pagamento dos fornecedores e o recebimento dos clien-tes. Quanto maior o prazo que os clientes levarem para pa-gar, maior será o tempo que a empresa precisará financiar esta diferença de caixa. Quanto maior o prazo que os forne-cedores aguardarem para receber, maior será o tempo que eles estarão financiando o caixa da empresa.


Ciclo de Caixa Op = (Período Médio de Inventário) + (Período Médio de Recebimento) – (Período Médio de Pagamento)

177


6.9. Interest Cover Ratio

O Interest Cover Ratio é um indicador que define a re-lação direta entre lucro operacional e a taxa de juro de curto prazo a ser paga. Este indicador visa avaliar se a geração de caixa operacional de curto prazo é suficiente para saldar o pagamento das obrigações de curto prazo sem implicar em descapitalização do caixa da empresa.

Embora seja o fluxo de caixa disponível que irá ser utilizado para saldar as dívidas, se o lucro operacional for insuficiente para o pagamento dos juros, isto acarre-tará na degradação da situação financeira da empresa ao longo do tempo.

O indicador de Interest Cover Ratio é o descrito abaixo:

Interest Cover Ratio = (Lucro Operacional)/(Custo dos Juros de Curto Prazo)

6.10. Free Cash Flow

O Free Cash Flow define o quanto se possui de fluxo de caixa livre capaz de ser utilizado em uma emergência. Este número é bastante importante, pois quando se tem um grau de retenção de riscos considerável, este valor é utilizado para complementar o valor do fundo de mútuo, ou seja, do fundo destinado a cobrir riscos que não estejam contempla-dos por um programa de seguros.

A tendência é que as empresas possuam Free Cash Flow cada vez menores a fim de se evitarem perda de remune-ração do capital por subutilização do montante a ser des-tinado à aplicação financeira. Normalmente, as empresas

178


deixam uma margem de segurança para fazer face ao nível de volatilidade existente no seu fluxo de caixa.

6.11. Reservas/Fundos

Reservas e fundos referem-se ao quanto se possui dis-ponível para ser utilizado em futuros investimentos ou para se fazer face a uma diversidade. No caso dos fundos, pode--se ter uma destinação específica para eles definidos pre-viamente. No caso de se aumentar o nível de retenção do risco (elevando-se o nível da franquia), pode ser mantido um fundo para ser utilizado para se cobrir possíveis sinis-tros abaixo desta franquia.

6.12. Análise Integrada dos Indicadores

Os indicadores fornecem uma visão das condições da empresa em termo de liquidez, capacidade de geração de valor, geração de caixa, nível de alavancagem e grau de endividamento. Os indicadores devem ser analisados de forma conjunta para se obter melhor acuracidade. A visão de um único indicador pode gerar um retrato não muito fiel da realidade.

6.13. Retenção de Risco

A retenção do risco deve ocorrer de forma que não se comprometa o nível de liquidez da empresa. Desta forma su-gere-se que seja definido o nível máximo de perda admitido,

179


ou seja, qual o tamanho da perda que determinada organiza-ção pode suportar sem comprometer a sua liquidez.

O indicador que melhor retrata este cenário é o Acid Test. O mínimo suportável neste indicador é uma proporção de 1 para 1 entre a seguinte equação:

Acid Test = (Ativo Circulante – Valor do Inventário)/(Passivo Circulante)

Para sermos mais conservadores, sugerimos como re-sultado admissível desta equação como 1,2 ou maior. Caso seja 1,2 ou maior, temos como simular a perda máxima ad-missível. Suponhamos que o (Ativo Circulante – Valor do Inventário) seja R$ 40.000.000 e que o valor do seu Passivo Circulante seja algo em torno de R$ 30.000.000.

Dividindo-se R$ 40.000.000/R$ 30.000.000 obtemos: 1,33, logo, a organização encontra-se em um nível de sol-vência bastante aceitável. Para se chegar ao limite do Passi-vo Circulante, dividimos R$ 40.000.000/1,2 e verificamos que o passivo circulante pode chegar até R$ 33.333.333, ou seja, como o Passivo Circulante atual é de R$ 30.000.000 e a perda é um valor que está dentro do Passivo Circulan-te, podemos acomodar uma perda de até R$ 3.333.333 sem ultrapassar o limite de liquidez seca de 1,2. Este valor é o limite de perda máximo admissível.

Sugere-se neste caso, que a franquia do seguro seja es-tabelecida em 80% deste limite de perda admissível: R$ 2.666.666 (R$ 3.333.333 X 0,8) e que seja mantido um fun-do equivalente a 50% do valor da perda máxima admissí-vel: R$ 1.666.666.

Paralelamente aos cálculos acima, o gestor de risco deve verificar (juntamente com o CFO) os demais indicadores

180


(citados neste capítulo) a fim de verificar se existe consis-tência no que se refere ao grau de resiliência financeira, ou seja, se os demais indicadores apontam para uma boa saúde financeira por parte da empresa.

6.14. Análise de Custo de Transferência de Risco

A análise de custo de transferência de risco consiste ba-sicamente em contrastar o custo pago em seguro para o risco em determinada faixa com o histórico de perdas nesta mes-ma faixa. Se as perdas forem maiores que o custo pago por seguro, faz sentido manter o programa. Se o custo pago com seguro for maior que o valor das perdas, faz sentido verificar o limite de retenção e estabelecê-lo em um nível adequado.

Cabe lembrar que só se faz sentido analisar o custo de transferência de seguro após se ter analisado o grau de resi-liência financeira da empresa e ter se constatado que a mes-ma possui capacidade de reter mais riscos (absorver mais perdas).

Levando-se em consideração o caso anterior no qual se obteve como limite de retenção o valor de R$ 2.666.666, cabe-se analisar os seguintes fatores:• O volume médio das perdas sofridas pela empresa nos

últimos 5 anos e no último ano

• O volume médio das perdas sofridas abaixo da franquia pela empresa nos últimos 5 anos e no último ano

• Se gera redução de custo aumentar o limite de retenção (subir o limite da franquia do seguro)

181


Perdas Valor

Volume médio das perdas: últimos 5 anos U$ 1.500.000/ano

Volume médio das perdas acima da franquia: últimos 5 anos U$ 300.000/ano

Maior perda: últimos 5 anos U$ 200.000

Volume médio das perdas: últimos 3 anos U$ 500.000/ano

Volume médio das perdas acima da franquia: últimos 3 anos U$ 150.000/ano

Maior perda: últimos 3 anos U$ 90.000

Volume médio das perdas: último ano U$ 100.000/ano

Volume médio das perdas acima da franquia: último ano U$ 0/ano

Maior perda: último ano U$ 30.000

Contrastando-se os dados da tabela ao lado com as ações de mitigação de riscos apresentadas pelo gestor de riscos da organização, nota-se claramente que tais ações têm obtido êxi-to de forma consistente com reflexos diretos para o nível de redução de perdas. Tal análise não pode se fixar simplesmente aos dados numéricos de perdas, mas também as ações de mi-tigação em curso e aos planos de ação de mitigação traçados para o próximo ano. Os dados numéricos devem ser frutos de um trabalho estruturado e robusto de gestão de riscos.

É possível notar também que a maioria das perdas que ocorreram foram abaixo da franquia, ou seja, a empresa já reteve estes riscos (e não foi ressarcido por eles).

Abaixo, temos o custo pago pela transferência dos ris-cos da primeira faixa:

Faixa de Cobertura Contratada Custo Percentual do

Prêmio

U$ 35.000 – U$ 8.000.000 U$ 2.100.000 70%

182


A empresa solicitou uma cotação considerando que o nível de retenção passa-se dos atuais U$ 35.000 para U$ 500.000 e obteve uma redução de U$ 180.000. Levando-se em consideração a tendência consistente de redução de per-das e a resiliência financeira da empresa, logo, os fatores levam a crer que se faz sentido aumentar o nível de retenção da empresa.

Sugere-se que o aumento do nível de retenção de risco ocorra de forma gradual e que seja conduzido em paralelo a um robusto programa de Loss Prevention e ações estru-turadas de gestão de riscos levando-se em consideração a mudança na cultura organizacional no que se refere a forma de lidar com os riscos por todos os colaboradores.

Análise · a ter um valor notório e difícil de ser mensurado. ... agregar valor ao negócio e...

Documents

Transcript of Análise · a ter um valor notório e difícil de ser mensurado. ... agregar valor ao negócio e...