1

UNIVERSIDADE CANDIDO MENDES

AVM – FACULDADE INTEGRADA

PÓS-GRADUAÇÃO LATO SENSU

GESTÃO DO RISCO OPERACIONAL

Vanessa Ferreira Ennes

ORIENTADORA:

Prof. Aleksandra Sliwowska

Rio de Janeiro 2016

DOCUMENTO PROTEGID

O PELA

LEI D

E DIR

EITO AUTORAL

2

UNIVERSIDADE CANDIDO MENDES

AVM – FACULDADE INTEGRADA

PÓS-GRADUAÇÃO LATO SENSU

Apresentação de monografia à AVM Faculdade

Integrada como requisito parcial para obtenção do

grau de especialista em MBA EM FINANÇAS E

GESTÃO CORPORATIVA

Por: Vanessa Ferreira Ennes

GESTÃO DO RISCO OPERACIONAL

Rio de Janeiro 2016

3

AGRADECIMENTOS

Aos meus familiares, pela compreensão de minha

ausência durante o desenvolvimento deste

trabalho, e ao meu chefe, pelo incentivo e apoio

para realização da pós-graduação.

4

DEDICATÓRIA

Dedico à minha família: aos meus pais, pelo

esforço e empenho na minha formação, às

minhas filhas, para que sirva de bom exemplo, e

ao meu companheiro, que serviu de inspiração

com sua monografia premiada pela ABRAPP em

2015.

5

RESUMO

O objetivo deste trabalho é estudar o risco e suas origens, com

enfoque no risco operacional, presente em todas as atividades das empresas.

Com maior probabilidade de ocorrência e maiores impactos financeiros, o risco

operacional pode decorrer de falha humana, de sistemas, de processos e até

de fatores externos. Assim, será abordado o processo de gestão dos riscos

operacionais, as principais formas de controlar sua execução, por meio de

auditorias e controles internos, e algumas ferramentas para identificação e

avaliação dos riscos. Com base nessas informações, serão analisados os

critérios e as condições para a estruturação de um processo de gestão do risco

operacional, bem como serão identificados os principais custos e benefícios

relacionados.

6

METODOLOGIA

Partindo do conhecimento intuitivo sobre riscos e sua gestão,

decorrente da percepção cotidiana de sua existência e necessidade de evitar

sua ocorrência, elaborei o plano de pesquisa com o problema, os objetivos e

hipótese. Por meio da metodologia de investigação científica, com enfoque

teórico, utilizei a pesquisa bibliográfica, por meio de consultas a livros, artigos,

legislações e publicações para buscar informações sobre o tema gestão de

risco operacional. Adicionalmente, foi utilizada a pesquisa descritiva para

correlacionar as informações teóricas obtidas com informações publicadas de

empresas sobre sua experiência de gestão de risco. Aplicando-se o método

dedutivo, as informações globais sobre gestão de risco foram utilizadas para

concluir sobre sua aplicabilidade em empresas diversas.

.

7

SUMÁRIO

INTRODUÇÃO 08

CAPÍTULO I

Risco Operacional 10

CAPÍTULO II

Gestão do Risco Operacional 20

CAPÍTULO III

Ferramentas de Gestão do Risco Operacional 30

CAPÍTULO IV

Avaliação Dos Custos E Benefícios Da Gestão Do Risco Operacional 45

CONCLUSÃO 50

BIBLIOGRAFIA 52

ÍNDICE 54

ÍNDICE DE FIGURAS 55

ANEXOS 56

8

INTRODUÇÃO

O risco operacional é o mais iminente em todas as empresas, com

maior probabilidade de ocorrência e maiores impactos financeiros,

independentemente da área de atuação, pois é decorrente de fatores como

falha humana, de sistemas, de processos e até de fatores externos que

abrangem todo o tipo de operação. As instituições financeiras são atualmente

as empresas mais avançadas no Brasil em relação à gestão dos riscos, por

força das regulamentações do Banco Central. A legislação trabalhista também

impõe às empresas a gestão de riscos relacionados à segurança e saúde no

trabalho. Contudo, independentemente das exigências legais, a gestão dos

riscos pode e deve ser aplicada em todos os ramos da atividade econômica.

Mas quais critérios devem ser utilizados para avaliar o quanto uma

empresa deve investir em ferramentas e metodologias para a gestão do seu

risco operacional?

Para tomar essa decisão, as empresas precisam analisar as

ferramentas de gestão desse risco, os custos envolvidos na sua aplicação e a

comparação desses custos não só com as perdas que possam advir da

ocorrência de um evento de risco, mas principalmente com os ganhos

presentes e futuros de uma melhor estruturação de sua operação.

Mas essa análise não é simples. Ao avaliar as condições

necessárias para aplicação das metodologias de gestão de risco operacional,

várias dificuldades são encontradas na mensuração de custos e benefícios

decorrentes da gestão do risco operacional. E nem sempre essa mensuração é

possível.

Logo, a aplicabilidade, ou não, da gestão de risco nas empresas de

forma eficiente precisa considerar critérios como a atividade da empresa e sua

exposição aos riscos operacionais, a sua estrutura financeira e capacidade de

investimento, as exigências legais do seu segmento relativamente ao controle

9

dos riscos operacionais, o grau de automatização dos seus processos e a

qualificação dos seus funcionários.

Mas o mais importante, é que a gestão de risco seja uma ferramenta

que auxilie a empresa na sua estruturação, de modo a garantir sua

sobrevivência no mercado, ou seja, transcenderá a necessidade apenas da

gestão do risco.

Assim, nesta monografia se inicia com a conceituação de risco e seu

histórico, abordando as diversas definições possíveis, que variam conforme

enfoque e área de atuação, relacionando os vários tipos de risco e

aprofundando no risco operacional.

No segundo capítulo será abordado o processo de gestão do risco

operacional, passando pelo contexto das exigências legais, da cultura

organizacional, das atividades envolvidas no processo e das estruturas de

controle, quais sejam, o compliance e auditorias.

Contudo, para identificar, analisar, avaliar e priorizar os riscos que

serão geridos no processo, é necessário aplicar as metodologias e ferramentas

de gestão do risco operacional, que serão exemplificadas no Capítulo III.

Finalmente, no capitulo IV analisaremos as critérios que definem a o

nível de investimento das organizações na gestão dos riscos operacionais, os

custos e benefícios envolvidos nesse processo.

As principais bibliografias utilizadas foram Galante (2015), Brito

(2007) e Assi (2012), por apresentarem maior enfoque nos riscos operacionais.

O primeiro, abordando a gestão de risco em indústrias e os outros dois no setor

financeiro.

10

CAPÍTULO I

RISCO OPERACIONAL

Existem muitas definições para risco, que vão evoluindo conforme

o desenvolvimento das atividades humanas, cujo aumento da complexidade

implica também no aumento das incertezas envolvidas. O risco operacional é

um dos segmentos de estudo das incertezas que afetam os resultados das

empresas.

1.1. Definição de Risco e suas Origens

Tendo em vista a abrangência do conceito de risco, que afeta desde

as nossas atividades cotidianas, vinculadas à nossa própria sobrevivência, até

a mais complexa e tecnológica das atividades humanas, a literatura oferece

variadas definições de risco, conforme o foco de cada estudo.

Assim, exemplifico a seguir algumas delas que propiciarão o

desenvolvimento e aprofundamento desta pesquisa.

Da ciência atuarial, originada na Europa do século XVII, em função

da necessidade de proteção das famílias contra o risco de morte, temos que o

Risco é :

a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico. É importante diferenciar risco de probabilidade: a probabilidade é parte do risco, que para ser assim classificado precisa, basicamente, ser causador de uma perda econômica, reparável. Existem ainda outras exigências para a segurabilidade de um risco, a saber, o risco deve ser:

• Possível;

• Incerto;

• Futuro;

• Independer da vontade humana;

• Mensurável

11

• Homogêneo e não catastrófico.

(anexo 1).

Ou seja, dessas premissas surge toda a Teoria de Seguros,

baseada no princípio do mutualismo, no qual grupos de pessoas se organizam

para minimizar os prejuízos decorrentes de um risco ao qual todos os seus

membros estejam igualmente expostos. Ou seja, o seguro é uma das mais

antigas formas de estudo e mitigação de riscos.

Conforme a Fundação Dom Cabral, que destaca em seus temas

emergentes a Gestão de Riscos

Risco é uma expectativa de perda que se expressa como a probabilidade de que uma ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo. O termo risco é proveniente da palavra risicu ou riscu, em latim, que significa ousar. Costuma-se entender “risco” como possibilidade de “algo não dar certo”, mas seu conceito atual envolve a quantificação e qualificação da incerteza, tanto no que diz respeito às “perdas” como aos “ganhos”, com relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por organizações. (anexo 2)

Ainda segundo a norma Brasileira da Associação Brasileira de

Normas Técnicas que trata das Definições e Diretrizes para a Gestão de Risco,

temos:

Risco - efeito da incerteza nos objetivos.

NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo.

NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo).

NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos (2.17) potenciais e às consequências (2.18), ou uma combinação destes.

NOTA 4 O risco é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade (2.19) de ocorrência associada.

NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua

12

compreensão, seu conhecimento, sua consequência ou sua probabilidade. (ABNT ISO 31000, 2009, p.1)

Apesar de todo evento de risco estar associado a uma possibilidade

de perda, na visão mais atual sobre o tema verificamos que também é possível

associá-lo, e estudá-lo, com o foco nos ganhos potenciais. Assim, tanto o

mercado financeiro quanto a gestão de projetos vêm adotando esse conceito

mais neutro de risco, no qual a incerteza associada ao risco pode representar

não só uma ameaça de perda, mas também uma oportunidade de ganhos,

para desenvolver ferramentas aplicadas de gestão de riscos.

Assim, segundo DAMODARAN, Aswath (2009, p.24), “o risco é

definido em termos da variabilidade dos retornos observados de um

investimento em comparação com o retorno esperado do investimento mesmo

quando esses retornos representam resultados positivos.” Ou seja, está

associado não só às possibilidades de recompensa, quanto também ao

projetos de inovação, nos quais as empresas têm dificuldade de prever e

precisar resultados futuros de um negócio, e precisam decidir o nível de

exposição a esse risco com base em estudos da variância dos resultados

possíveis, observados em negócios semelhantes (empresas de mesmo setor,

mesmo porte, etc). Diante desta definição, podemos resumir:

• Risco é a Exposição (a uma perda) em busca de uma Recompensa

• Risco é a probabilidade do resultado obtido ser diferente do planejado.

• Risco pode ser medido pela variância dos resultados em relação ao valor

em exposição.

Outra conceituação importante encontrada na literatura, refere-se à

relação entre Risco e Perigo. Para haver Risco (possibilidade de perda ou

dano) é necessária a interação com algum elemento ou fator que tenha como

característica algum Perigo (potencial para causar alguma perda ou dano).

Assim, o Risco passa a existir em função da opção, ou necessidade, de

interagir com aquele elemento, e seu grau depende da forma como se dá essa

interação. GALANTE (2015, p.31) exemplifica de forma muito didática essa

13

relação citando a gasolina como elemento potencialmente perigoso. Contudo, a

existência ou não de risco associado à gasolina vai depender das atitudes do

usuário em relação a este produto inflamável. E certamente o risco vai variar

em probabilidade de ocorrência e severidade da ocorrência de acordo com o

agente: o motorista do carro, o motorista do caminhão tanque, o funcionário de

uma refinaria, o ambiente onde está localizada a refinaria, os funcionários do

posto onde fica armazenada e é manipulada a gasolina, todos terão riscos

diferenciados em relação a um mesmo elemento perigoso, variando de risco

extremo a baixo risco. Contudo, ao existir a interação com um elemento ou

fator perigoso, o risco nunca será nulo.

O estudo dessa interação com fatores potencialmente perigosos é o

objeto da gestão de riscos. Daí GALANTE (2015, p.32 a 34) nos oferece as

seguintes definições de risco: “é a entidade a ser administrada, uma vez que

decorre da interação humana com o perigo, sendo este (o perigo) binário:

existe ou não”. E ainda o risco como uma função da frequência (probabilidade

de ocorrência do perigo, severidade (extensão do dano ou perda, se incorrido o

risco) e do cenário (as premissas de ambiente e interação com o perigo que

baseiam a estimativa de frequência e a severidade). Assim, temos que:

Segurança de MedidasPERIGO

RISCO =

( )Cenário,Severidade,Frequênciaf=RISCO

Graficamente, a função acima tem o seguinte comportamento:

14

Figura 1 – Frequência x Severidade (GALANTE, 2015, p.34)

Ou seja, conforme a combinação da frequência de ocorrência de um

risco e o grau de severidade da ocorrência temos uma relação direta no

aumento do risco.

1.2. Principais tipos de Risco

Como reflexo da diversidade de definições de risco, que variam

conforme área de atuação que se pretende estudar, também ao classificar e

segmentar os tipos de risco existem várias possibilidades de subdivisão. Um

exemplo de classificação utilizada por uma consultoria, em uma empresa do

setor de energia, citado em artigo publicado pela Fundação Dom Cabral, a

respeito do tema:

• Riscos Estratégicos: incapacidade de lidar com as mudanças interna e externas para realizar os objetivos empresariais.

• Riscos de Conformidade: não atendimento às legislações vigentes que impactam o negócio, e internamente, não conformidade aos regimentos e procedimentos estabelecidos.

• Riscos Financeiros: inadequada gestão de caixa, das aplicações de recursos em operações novas/desconhecidas e/ou complexas e/ou de alto risco.

Severidade

Frequência

RISCO

15

Estão associados à volatilidade do preço de ativos (taxa de juros, câmbio, patrimônio, instrumentos financeiros), liquidez (fluxo de caixa, custo de oportunidade, concentração) e crédito (cumprimento, concentração e garantia).

• Riscos na Gestão de Pessoas: desarticulação entre gestão estratégica e da gestão de pessoas.

• Riscos Ambientais: gestão ambiental inadequada às necessidades reais de impacto do negócio no meio do qual estão instaladas as operações.

• Riscos de Tecnologia da Informação e Telecomunicações: indisponibilidade ou ineficiência dos recursos de informática e telecomunicações (software e hardware).

• Riscos Operacionais: falta de confiabilidade ou incompatibilidade dos processos operacionais das unidades de negócio.

(anexo 2)

Ainda sob a ótica de empresas financeiras, a classificação mais

comum, resumindo as citadas por Duarte (2015) e Brito (2007), além do risco

operacional que veremos adiante, contempla os seguintes riscos:

• Risco de Mercado: relacionado às variações no preço dos ativos financeiros

da empresa em função da volatilidade do mercado, seja no mercado

acionário, o valor do câmbio, das commodities e a taxa de juros;

• Risco de Crédito: não recebimento dos valores nos prazos e com a

remuneração contratada, podendo seus devedores ser pessoas físicas,

jurídicas, órgãos públicos, estados, municípios e até países, sendo que

nesses últimos casos podem ser chamados de riscos políticos, ou risco

país;

• Risco Legal: é o risco de descumprimento de um contrato ou legislação, não

só no seu aspecto financeiro, mas vinculado à ilegitimidade, ilegalidade,

falta de representatividade ou qualquer não conformidade que sujeite a

operação à anulação, multas ou inexigibilidade;

• Risco de Liquidez: não conseguir honrar os pagamentos no prazo

contratado, não exatamente por falta de patrimônio, mas por

impossibilidade de transformá-los em moeda, por má gestão do fluxo de

caixa de ativos e de passivos a médio e longo prazo.

16

1.3. Risco Operacional

O risco operacional , como o nome diz, está relacionado a qualquer

perda ocorrida na operação da empresa. Assim, sua conceituação é bastante

ampla. Pode ser dividido basicamente em 3 grandes conjuntos, conforme a

sua origem. O primeiro vinculado à gestão da empresa, seus processos,

políticas, regras, controles e estratégias; o segundo vinculado à sua estrutura

física e recursos operacionais propriamente ditos e o terceiro vinculado às

pessoas que atuam na empresa:

“a) Risco organizacional está relacionado com uma organização ineficiente, administração inconsistente e sem objetivos de longo prazo bem definidos, fluxo de informações internos e externos deficientes, responsabilidades mal definidas, fraudes, acesso a informações internas por parte de concorrentes, etc.

b) Risco de operações está relacionado com problemas como overloads de sistemas (telefonia, elétrico, computacional, etc.), processamento e armazenamento de dados passíveis de fraudes e erros, confirmações incorretas ou sem verificação criteriosa, etc.

c) Risco de pessoal está relacionado com problemas como empregados não qualificados e/ou pouco motivados, personalidade fraca, falsa ambição, ‘carreiristas’, etc.”

(Duarte, 2015, pg.4)

Outras classificações são possíveis, relativamente a riscos

operacionais, conforme área de atuação de empresa. Nas instituições

financeiras, além dos 3 grandes conjuntos abordadas anteriormente, GESTÃO,

OPERAÇÃO E PESSOAS, identificamos os fatores de riscos relativos a

EVENTOS EXTERNOS. Em Brito (2007, pg.46), ele define Risco Operacional,

“também como perdas decorrentes de eventos externos, por exemplo,

catástrofes, crises sociais, problemas com infraestrutura pública, crises

sistêmicas, entre outros” que possam afetar a operação e os resultados da

empresa. Tal definição é corroborada pelo Banco Central do Brasil, em

17

cumprimento às orientações do Comitê da Basiléia, que define risco

operacional como sendo:

“a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.

§ 1º A definição de que trata o caput inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

§ 2º Entre os eventos de risco operacional, incluem-se:

I - fraudes internas;

II - fraudes externas;

III - demandas trabalhistas e segurança deficiente do local de trabalho;

IV - práticas inadequadas relativas a clientes, produtos e serviços;

V - danos a ativos físicos próprios ou em uso pela instituição;

VI - aqueles que acarretem a interrupção das atividades da instituição;

VII - falhas em sistemas de tecnologia da informação;

VIII - falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição.”

(BANCO CENTRAL, Resolução 3.380 de 29.06.2006, artigo 2º)

Observamos que esses quatro principais fatores de risco operacional

estão contemplados na definição de risco operacional de Duarte et al.(1999,

pgs. 8 a 14), na qual “O risco operacional pode ser definido como uma medida

numérica da incerteza dos retornos de uma instituição caso seus sistemas,

práticas e medidas de controle não sejam capazes de resistir a falhas

humanas, danos à infraestrutura de suporte, utilização indevida de modelos

matemáticos ou produtos, alterações no ambiente dos negócios, ou a situações

adversas de mercado”. Na sequência, apresenta sua classificação para esses

riscos, a qual resumo:

• Risco de Overload: sobrecarga da infraestrutura operacional, ou seja, não

suportar o volume de demanda, seja no sistema, na rede elétrica ou

telefônica ou na estrutura de atendimento.

18

• Risco de Obsolescência: máquinas, equipamentos, sistemas, tecnologias

ou processos se tornarem defasados em relação às versões atuais;

• Risco de Presteza e Confiabilidade: informações, produtos ou serviços não

estarem disponíveis, de forma confiável, em tempo hábil;

• Risco de Equipamento: falha ou defeito nas máquinas, equipamentos de

segurança, computadores, telefonia, rede elétrica, entre outros;

• Risco de Erro Não Intencional: vinculados ao erro humano por distração,

omissão ou negligência dos funcionários;

• Risco de Fraude: também vinculados a pessoas, que podem se aproveitar

de fragilidades nos processos, controles e ou sistemas, para

intencionalmente provocar um erro contra a empresa em troca de alguma

contrapartida, podem ser funcionários ou pessoas externas à empresa;

• Risco de Qualificação: decorrentes da falta de formação, competência e/ou

treinamento adequados à função desempenhada;

• Risco de Produtos & Serviços: produtos e serviços inadequados às

especificações ou às necessidades do cliente;

• Risco de Regulamentação: produtos e serviços inadequados à legislação ou

normativos internos;

• Risco de Modelagem: no desenvolvimento do projeto considerar premissas,

modelos matemáticos, regras ou dados inadequados;

• Risco de Liquidação Financeira: falha nos procedimentos e controles

envolvendo operações financeiras (pagamentos e recebimentos);

• Risco Sistêmico: alterações não previstas no ambiente operacional da

empresa, como mercados, clientes, fornecedores, legislações;

• Risco de Concentração (Operacional): risco da dependência de poucos

produtos, ou clientes, ou fornecedores.

19

Assim, podemos concluir que os itens 1, 2, 3 e 4 enquadram-se na

dimensão dos riscos relacionados à OPERAÇÃO, os itens 5, 7 e 11 referem-se

aos riscos relacionados às PESSOAS, os itens 8, 10 e 13 à GESTÃO e o item

9 e 12 é decorrente de EVENTOS EXTERNOS. Apesar de uma maior

vinculação a uma ou outra dimensão do risco operacional, a maioria deles pode

envolver mais de uma, com destaque para o item 6, relacionado às fraudes,

que pode ocorrer em decorrência de qualquer uma das dimensões, mas

também em decorrência da conjugação de todas elas.

Ainda encontramos na literatura outras classificações, como a

relativa aos Riscos Ambientais, normalmente vinculados à operação de

indústrias, e sujeitos a controles e exigências legais, sendo assim um risco

operacional relevante. Para atendimento às legislações de licenciamento, são

necessárias prévias análises e avaliações dos riscos prováveis (GALANTE,

2015, pg.39 a 41).

Outro risco operacional que vem ganhando destaque atualmente,

especialmente em função da facilidade de divulgação e acesso às informações,

é o Risco Reputacional, ou de Imagem, “decorrente da veiculação de

informações que afetam negativamente a imagem da instituição, colocando em

risco a realização de transações com esses clientes.” (BRITO, 2007, pg.46).

Nesse caso, a divulgação de informações que afetem a reputação da empresa

estará previamente associada a um ou mais fatores de risco principais já

abordados.

Assim, para fins de simplificação ao longo dessa monografia,

trataremos os riscos operacionais com base nos seus 4 principais fatores,

quais sejam, GESTÃO, OPERAÇÃO, PESSOAS e EVENTOS EXTERNOS.

20

CAPÍTULO II

GESTÃO DO RISCO OPERACIONAL

A teoria da administração já considera a avaliação dos riscos para

fins de planejamento operacional, de modo que as empresas possam atingir

seus objetivos com o tempo, recursos, riscos e controles previamente

estimados. Segundo MAXIMIANO (2004, p.201), “No processo de

planejamento operacional, os riscos devem ser identificados e analisados, para

possibilitar o planejamento de ações que reduzam sua ocorrência ou

minimizem suas consequências”. Assim, devidamente identificados e

mensurados, classificados conforme o grau de impacto decorrente da

conjugação entre probabilidade de ocorrência (frequência) e impacto gerado

(severidade), serão planejados os controles necessários para mitigar os riscos

mais relevantes. Nesse planejamento serão levados em conta o tempo e os

recursos disponíveis, inclusive para realizar os controles, para o atingimento

dos objetivos da empresa.

Mas a principal função dos controles é obter informações confiáveis

sobre o desempenho da empresa, e os desvios observados entre o

planejamento e a execução, para redirecionar a empresa em direção aos seus

objetivos, ou até mesmo rever seus objetivos estratégicos.

A gestão do risco é uma forma das empresas efetivarem seu

controle, posto que é o processo de identificar, avaliar, medir, controlar e

divulgar os eventos incertos, eliminando ou minimizando os que podem afetar

os recursos do sistema.

Segundo Galante (2015, pg. 47), “a gestão de risco pode ser

definida como o conjunto de cultura, processos e estruturas que são orientadas

para a realização de oportunidades potenciais, enquanto há o manejo dos

efeitos adversos”. Ou seja, além de evitar potenciais perdas e prejuízos, a

21

gestão de risco é uma ferramenta para transformar potenciais perdas em

oportunidades de melhorias.

Um dos grandes propulsores para a gestão dos riscos foi o acordo

firmado entre os bancos centrais do G10 (10 países com as maiores

economias mundiais) o Acordo de Basiléia, a partir do qual os signatários

observam as recomendações do BIS (The Bank for International Settlements,

da Basiléia, Suíça), que institui medidas para diminuição dos riscos intrínsecos

aos sistemas financeiros. Mesmo países não signatários, como o Brasil,

adotam por meio de seus Bancos Centrais as normatizações do BIS, visando

maior solidez de seu sistema financeiro e consequentemente melhor reputação

e aceitação no mercado internacional. Especificamente em relação à gestão do

risco operacional, em função das normatizações pelos Acordos de Basiléia,

passa a ser obrigatório, a partir de 2011, a alocação de capital específico para

os riscos operacionais identificados (BRITO, 2007, pg.46). Quanto menor o

risco operacional, menor a necessidade das instituições financeiras

imobilizarem seu capital, gerando a motivação dos acionistas em reduzir esse

risco.

Ressaltamos, contudo, que a gestão de risco operacional nas

instituições financeiras é diferenciada em relação à gestão de risco nas

indústrias.

Nas indústrias, o controle de riscos de produção precisa ser

monitorado por força de lei. Em relação aos Riscos Ambientais, o Conselho

Nacional de Meio Ambiente (CONAMA) é o responsável por normatizar o

licenciamento ambiental, de modo que, antes mesmo da indústria iniciar sua

operação, precisa ter seus riscos prováveis identificados, analisados, avaliados

e com um plano de controle e prevenção aprovado (GALANTE, 2015, pg.39 a

41). Relativamente à produção industrial, a gestão de risco vem sendo

implementada por meio de programas de qualidade, dentre os quais podemos

citar Total Quality Management (TQM), Seis Sigma (6σ) e Controle Estatístico

de Processo (CEP). (BRITO, 2007, pg.46). Assim, os riscos são monitorados e

22

mitigados de forma a ser atingido o máximo nível de qualidade e redução de

custos.

Comum a todos os campos de atuação, a gestão dos riscos da

segurança do trabalho e da saúde ocupacional é obrigatória para todas as

empresas e instituições que se subordinam à CLT (Consolidação das Leis do

Trabalho). É preciso observar as Normas Regulamentadoras (NRs), que

definem os padrões técnicos e legais de segurança e saúde ocupacionais.

Assim, as empresas precisam atuar na gestão desse risco para atender a

várias NRs, que determinam o estabelecimento de serviço especializado em

engenharia de segurança e medicina do trabalho (SESMT), comissão interna

de prevenção de acidentes (CIPA) , programa de controle médico e de saúde

ocupacional (PCMSO), programa de prevenção de riscos ambientais (PPRA),

definição de critérios para caracterização de atividades e operações insalubres,

e atividades e operações perigosas, que envolvem remuneração diferenciada

aos trabalhadores (GALANTE, 2015, pg.17 a 27).

Conforme artigo publicado no site da Fundação Dom Cabral (anexo

2), a gestão de risco é um item do Código das Melhores Práticas de

Governança Corporativa do Instituto Brasileiro de Governança Corporativa

(Código do IBGC), que visa a longevidade das corporações. Ao promover a

adequada identificação, mitigação e divulgação dos riscos às quais a empresa

está exposta, o valor da organização é aumentado e preservado, pois reduz a

percepção de risco por seus financiadores, seguradores e mercado.

Assim, todas as empresas atuam de alguma forma na gestão de

riscos operacionais. Para executar as atividades relacionadas à gestão de

risco, a alta administração das empresas precisa investir na cultura do controle

dos riscos e a participação de todos os seus funcionários é fundamental. Para

tanto, é preciso ter as regras, normas e padrões bem documentados,

sistematizados e divulgados em toda empresa. Brito (2007, pg.54) denomina

esse conjunto de “ambiente de riscos operacionais”.

Algumas empresas podem constituir estruturas específicas para

organização, centralização, divulgação e acompanhamento de todas as

23

atividades relacionadas ao processo de gestão dos riscos, a área de Controles

Internos, Conformidade (Compliance) e/ou a Auditoria, que pode ser interna,

externa ou ambas, para avaliar a eficácia do ambiente de controle interno.

Mas dependendo do porte da empresa, a gestão de risco e os

controles internos podem ser centralizados na alta administração por meio dos

relatórios e informações consolidados pelos diversos segmentos, de gestão de

pessoas, contábil, operacional, financeiro, etc.

2.1. O processo de Gestão de Riscos Operacionais:

O processo de gestão de riscos operacionais, assim como o de

outros riscos, deve observar algumas etapas preliminares de mapeamento dos

riscos, seguidas pela análise do cenário em que podem ocorrer, com

estimativas de sua frequência e abrangência, associando um planejamento

para tratamento dos riscos ocorridos e outro para mitigar a sua ocorrência.

A partir desse planejamento inicial, as ocorrências e suas

consequências precisam ser monitoradas, devidamente registradas e

reportadas, de modo a subsidiar as revisões futuras do plano de gestão de

riscos. A figura abaixo demonstra graficamente esse fluxo.

24

Figura 2 – O processo de Gestão de Risco baseado na ISSO 31000:2009

(GALANTE, 2015, p.50)

Importante ressaltar que o Processo de Gestão de Risco visa focar

nos riscos mais relevantes, que justifiquem o investimento em sua mitigação,

considerando que sempre há a necessidade de avaliação dos custos-

benefícios associados à cada decisão. Sempre haverá um nível de aceitação

de risco, mesmo que a meta seja aproximar-se da segurança operacional

máxima. Segundo Galante (2015, pgs. 51 a 62), o processo de gestão de

riscos operacionais se divide basicamente em quatro etapas principais:

• Identificação dos riscos: fase na qual todos os perigos precisam ser

elencados e o risco identificado conforme o cenário no qual estão inseridos.

A atenção principal nessa fase é não descartar nenhum risco em função de

uma prévia avaliação da sua baixa probabilidade de ocorrência, ou

ausência de ocorrências conhecidas, pois não existe imunidade a nenhum

risco. Se a sinistralidade é baixa, provavelmente a qualidade do fator

humano, do equipamento, dos sistemas, dos processos e da

regulamentação é alta, mas o risco precisa ser mapeado para evitar

alterações nesses fatores que aumentem ou a probabilidade ou a

severidade do risco. É crucial nesta fase a participação dos funcionários

envolvidos diretamente no processo, com uma cultura de gestão de risco

que evite resistências resultantes do medo de vinculação entre a existência

do risco à baixa qualidade do trabalho dos funcionários.

• Análise dos riscos: nesta etapa os riscos identificados são amplamente

discutidos visando o seu pleno entendimento, as suas possíveis causas e

consequências, são investigadas as ocorrências anteriores e todas as

outras possibilidades de novas ocorrências, buscando estimativas de

probabilidades e de severidade. Os participantes dessa etapa precisam ter

uma visão sistêmica do processo, dos subsistemas e suas inter-relações.

Nesta fase já são identificados os riscos mais relevantes que devem ser

aprofundados nas fases seguintes, de modo a otimizar os recursos

despendidos.

25

• Avaliação dos riscos: nesta fase, o objetivo é mensurar os riscos,

quantitativamente e/ou qualitativamente. Assim, procura-se estimar suas

probabilidades, frequências e impactos, de modo que seja possível

comparar os riscos e priorizá-los. Nesta fase também são avaliados os

níveis de aceitação de riscos. Com essas informações, é possível

selecionar os riscos mais relevantes e que estejam acima dos níveis de

aceitação de riscos para definir os investimentos necessários à sua

mitigação.

• Tratamento dos riscos: definidos os riscos prioritários, nesta etapa são

elaborados os planos de ação para mitigá-los, ou seja, evitar ou minimizar

sua ocorrência e/ou seus impactos. Ás vezes o risco não pode ser

reduzido, mas seus impactos sim. Logo, as possibilidades de tratamento de

um risco passam por eliminar ou reduzir a probabilidade de consumação do

risco; assumir o risco por um autosseguro (constituindo provisões, por

exemplo), transferir o risco para terceiros (por cláusulas contratuais, por

exemplo) ou contratando seguros. A definição sobre os riscos a mitigar e o

tratamento a ser dado precisa observar as exigências regulamentares e

legais.

2.2. Controles Internos, Compliance e Auditoria:

Para a execução do processo de Gestão de Riscos Operacionais, as

empresas podem constituir estruturas organizacionais específicas para definir e

aplicar as ferramentas de gestão, coordenando as áreas operacionais na

realização efetiva dos controles internos no seu cotidiano. E também são

necessárias funções específicas para acompanhar os riscos consumados,

consolidar e reportar os resultados obtidos e fomentar a mitigação dos riscos

mais relevantes.

Segundo Brito (2007), as instituições financeiras, por exemplo,

investem em estrutura de Controles Internos, ou Compliance, e em estruturas

de Auditorias. Tais estruturas, contudo, aplicam-se a quaisquer outras

empresas, como podemos observar pelas suas principais funções e atividades.

26

A área de Controles Internos normalmente participa da fase inicial do

processo. Inicialmente avalia se os processos estão corretamente descritos, se

estão previstas segregações de função, se estão atendidas as exigências

legais, coordena as atividades de identificação, análise e avaliação dos riscos

pelas áreas operacionais, promove a cultura de gestão de risco por meio de

programas de treinamento, padroniza os relatórios de ocorrências de falhas

operacionais, consolida e reporta os resultados à alta administração, auxilia as

áreas na elaboração dos planos de ação para mitigar os riscos mais relevantes

e acompanha sua execução.

Essa mesma estrutura pode assumir, ainda, as funções de

Compliance, ou Conformidade, que:

“tem a função de harmonizar os requerimentos reguladores com a estrutura organizacional da instituição, transformando leis, normas e padrões éticos em condutas corporativas, além dos procedimentos operacionais e atividades de treinamento específicas, com o objetivo de assim evitar sanções reguladoras. O objetivo é assegurar, em todos os casos, que as irregularidades sejam identificadas, reportadas e resolvidas tempestivamente, habilitando a corporação a apresentar aos órgãos reguladores, comprovações de que as suas instituições possuem organização, procedimentos e meios adequados às suas atividades”

(Brito, 2007, pg. 55)

Por outro lado, segundo Brito (2007, pg. 54), as estruturas de

Auditoria visam a verificação do cumprimento correto dos processos, das

normas, dos relatórios, dos controles e dos planos de ação que foram

determinados no processo de controle interno e atestar a fidedignidade das

informações financeiras e contábeis. E ainda, mesmo que todos os requisitos

estejam sendo cumpridos, deve avaliar se estão sendo eficazes na gestão dos

riscos, podendo identificar se os procedimentos e o sistema de controles

internos devem ser adaptados às novas circunstâncias.

Para efetividade do seu trabalho, portanto, é imprescindível que a

Auditoria seja independente e não tenha vinculação hierárquica com nenhuma

outra estrutura da organização, reportando-se diretamente à alta

administração, como seus Conselhos de Administração, por exemplo.

27

Contudo, é necessária a atuação em parceria com a estrutura de

Controles Internos. Segundo exposto no Anexo 4, ao estabelecer suas

atividades a auditoria “...deve estabelecer planos com base em análise de

risco para determinar as prioridades da atividade de auditoria interna,

consistentes com as metas da organização.” Ainda, segundo o mesmo anexo:

“A atividade de auditoria interna deve assistir à organização através da identificação e avaliação de exposições significativas a riscos e da contribuição para a melhoria dos sistemas de gerenciamento de riscos e de controle.

– A atividade de auditoria interna deve monitorar e avaliar a efetividade do sistema de gerenciamento de risco da organização.

– A atividade de auditoria interna deve avaliar os riscos de exposição no que diz respeito à governança corporativa da organização, operações e sistemas de informação relativos a:

• Confiabilidade e integridade das informações financeiras e operacionais.

• Efetividade e eficiência das operações.

• Salvaguarda do patrimônio.

• Obediência às leis, regulamentos e contratos.”

(anexo 4)

Assim, o resultado do trabalho da auditoria é fundamental para a

retroalimentação do processo de gestão de riscos operacionais, avaliando o

tratamento efetivo dado aos riscos mais relevantes identificados e apontando

os ajustes, necessários, subsidiando um novo ciclo de identificação, análise,

avaliação e tratamento dos riscos operacionais.

Por outro lado, segundo Brito (2007, pg. 56), a área de

Conformidade também auxilia a Auditoria, informando as regulamentações

mais relevantes e os riscos mais significativos identificados, fornecendo os

relatórios de controles e ocorrências, acompanhando o efetivo cumprimento

das recomendações de auditoria, auxiliando nas inspeções.

28

2.3. Falhas a evitar no processo de gestão de risco

Mesmo com estruturas e processos bem estabelecidos para a

gestão dos riscos operacionais, algumas organizações podem fracassar em

seus controles internos e incorrer em prejuízos relevantes que podem ameaçar

inclusive a perenidade da empresa.

Lições aprendidas com alguns fracassos são apresentadas por Brito

(2007, capítulo 4.10) e precisam ser observadas de modo que os investimentos

no processo de gestão de risco operacional não sejam desperdiçados por uma

falsa sensação de conforto em relação aos reais riscos da empresa. Quais

sejam:

• Omissão da administração, que implica em fraca cultura de gestão de

riscos: falta de coerência da alta gestão, em suas decisões, prioridades,

políticas de recompensa aos funcionários, cobranças de resultados, etc.

com os processos de gestão de risco implementados; sem esse foco da

administração, os funcionários também não ficarão comprometidos com

o cumprimento das ações cotidianas para mitigação do risco.

• Avaliação de risco inadequada: ao desprezar riscos atualmente com

baixa sinistralidade, ou não revisar a avaliação dos riscos e/ou os

processos de controle à medida que os normativos, cenários, produtos,

estruturas e recursos se alteram pode levar à ocorrência de riscos não

tratados;

• Atividades de controle insuficientes: centralizar funções de controle e

execução num mesmo responsável, ou centralizar funções conflitantes,

ou ausência de revisão pelos níveis superiores pode dificultar a

identificação do risco e de sua ocorrência.

• Falta de informação, comunicação restrita ou não-confiável: falhas na

divulgação das regras e responsabilidades, informações incorretas ou

não confiáveis ou insuficientes dificultam a mitigação do risco.

29

• Ausência de monitoramento: apesar de existirem, e serem cumpridos e

reportados os controles, os resultados podem não ser monitorados com

a frequência necessária pelos níveis superiores, ou monitoradas por

profissionais que não tenham a visão geral dos processos operacionais

e, portanto, não conseguem vislumbrar adequadamente os riscos.

30

CAPÍTULO III

FERRAMENTAS PARA GESTÃO DO RISCO

OPERACIONAL

As ferramentas para gestão de risco operacional são modelos e

esquemas que visam apoiar a análise do risco, e por meio do princípio da

compartimentação, propiciar a compreensão completa do risco, passando

pelos processos e subprocessos em que ele possa ocorrer, identificando

possíveis causas, estimando sua frequência, probabilidade e dano, com base

em cenários pré-estabelecidos. Ao analisar e avaliar os riscos de forma

sistêmica, eles poderão ser mensurados e priorizados para que seja possível

definir as melhores formas de mitigação.

Segundo Galante (2015, Capítulo 5), as ferramentas de gestão de

risco operacional podem ser classificadas simultaneamente em duas categorias

de análise, uma em relação aos resultados obtidos e outra em relação à forma

de análise:

• Qualitativa ou quantitativa;

• Em planilha ou em árvore.

Na análise qualitativa, o risco é avaliado por suas características,

mas sem mensuração de suas características de sua frequência, probabilidade

ou dano. Assim, falham em estabelecer as prioridades entre os riscos.

Na análise quantitativa, essas características podem ser

mensuradas em números. É, portanto, sempre preferível em relação à análise

qualitativa. Essa análise, contudo, só é possível quando há um registro

histórico das ocorrências do risco que possibilitem essa mensuração.

Sobre o outro aspecto, que é a forma de análise, o esquema em

árvores foca-se na determinação da cadeia de eventos que levam ao risco,

31

podendo ser utilizada, inclusive, uma abordagem estatística, com apuração de

médias e desvios padrão das ocorrências em estudo. Essa análise em árvore

foca na estimativa de frequências e probabilidades, não abordando a

severidade dos danos.

A análise em planilha avalia o processo no qual o risco pode ocorrer

e avalia em cada “nó” do fluxograma a probabilidade e severidade do risco. Um

“nó” do processo é uma etapa ou um ponto notável do processo, que pode ser

utilizado como ponto de corte para a avaliação do risco.

Uma combinação das metodologias de árvore e planilha, mais

abrangente e flexível, é denominada de esquema Matricial.

A seguir serão citadas algumas ferramentas, mas destaca-se que as

mesmas podem e devem ser adaptadas, conforme o tipo de risco e processo,

conforme evolui a maturidade do processo de gestão do risco operacional e se

consolidam as informações.

Em qualquer caso, as ferramentas de gestão de risco devem ser

aplicadas por profissionais experientes no processo sob análise e por outros

qualificados em gestão de risco, pois pior que um risco não tratado é aquele

tratado de forma indevida, gerando uma falsa sensação de que está mitigado.

3.1 Mapa de Riscos

Essa é uma ferramenta obrigatória para identificação de riscos dos

ambientes e dos locais de trabalho (Lei 6.514/77 e Norma Reguladora 5). Nas

empresas com mais de 19 funcionários, é a CIPA – Comissão Interna de

Prevenção de Acidentes, a responsável por elabora o Mapa de Riscos.

Atualmente não há mais um padrão para o Mapa de Risco, mas

essa ferramenta visa avaliar o tipo de risco e grau de severidade,

qualitativamente.

32

Alguns padrões que vigoraram anteriormente, ainda são adotados. A

identificação visual das diversas classes de risco, por cores, é um exemplo. As

classes de risco de ambiente de trabalho podem ser:

• Riscos Físicos: verde,

• Riscos Químicos: vermelho;

• Riscos Biológicos: marrom;

• Riscos Ergonômicos: amarelo;

• Riscos de Acidentes: azul.

A tabela abaixo lista os riscos associados a cada classe:

Figura 3 – Tabela das Classes de Risco (GALANTE, 2015, p.99)

33

Segundo a legislação, os riscos físicos, químicos e biológicos, se

identificados, podem gerar o pagamento do adicional de insalubridade ou de

periculosidade.

Para melhor mensuração dos riscos, seria necessário associar

outras ferramentas, pois esta visa apenas a identificação e normalmente os

membros da CIPA apenas classificam os riscos identificados como PEQUENO,

MÉDIO ou GRANDE.

3.2 Matriz de Relevância

A Matriz de Relevância é uma ferramenta que permite priorizar os

diversos riscos e, segundo Galante (2015, pg. 101), “fundamenta-se no

conceito de risco como uma função da sua gravidade e da probabilidade de

ocorrência”.

Sua aplicação baseia-se numa matriz (figura 4) na qual cada setor

da empresa (S) é uma linha e as colunas são os riscos identificados (H). A

cada setor é associada a quantidade de trabalhadores expostos aos riscos (W).

Para cada binômio setor/risco, é estabelecido um Código de Risco

(R), que é um valor numérico definido com base na percepção de risco, no

limite de tolerância pré-definido e no nível de ação contra o risco, que na

legislação brasileira é 50% do limite de tolerância. Assim, o Código de Risco

pode assumir os seguintes valores:

0 – risco inexistente no setor estudado;

1 – exposição ocorre ocasionalmente, abaixo do nível de ação;

3 – exposição ocorre continuamente, mas abaixo do nível de ação;

6 – nível de exposição acima do nível de ação;

9 – o nível de exposição encontra-se acima do limite de tolerância.

34

Preenchidos o Código de Risco para cada setor e cada risco,

calculam-se as “frequências de risco”, para cada Risco (H), ou seja, para cada

coluna somam-se os produtos da quantidade de trabalhadores pelo código de

Risco (Wi*Rij), chegando à “frequência do risco” (fHj). Somando-se todas as

“frequências de risco”, obtém-se a “frequência global de risco”, que será

utilizada para calcular as “relevâncias” de cada risco (%Hj), que é a

percentagem que cada risco representa no total.

Concluída a análise por risco, passamos à análise por setor,

repetindo basicamente o mesmo processo, dessa vez por linha. Calculam-se

as “frequências de exposição”, para cada Setor (S), somam-se os produtos da

quantidade de trabalhadores pelo código de Risco (Wi*Rij), chegando à

“frequência de exposição” (fSi). Somando-se todas as “frequências de

exposição”, obtém-se a “frequência global de exposição”, a que está sujeita

cada setor, que será utilizada para calcular as “relevâncias” de cada setor

(%Sj), que é a percentagem que cada setor representa no total.

A matriz plenamente preenchida é apresentada abaixo. Com os

valores numéricos obtidos em cada empresa e processo é possível identificar

os riscos mais relevantes (maiores %Hj) e os setores mais expostos (maiores

%Sj), permitindo que os investimentos em mitigação sejam melhor

direcionados.

Figura 4 – Matriz de Relevância (GALANTE, 2015, p.107)

35

3.3 Estudo de Causas e Efeitos

Como o nome diz, essa metodologia de análise do risco visa

identificar, dentro de um processo sujeito a um ou mais riscos, qual a

sequência de eventos pode levar à efetivação do risco principal e a eventuais

danos. Essa relação de causa e efeito é uma análise em árvore, construída

com base em perguntas que visam identificar o que ocorre se um determinado

evento ocorrer.

A aplicação desta ferramenta de Estudo de Causa e Efeitos,

segundo Galante (2015, cap. 8), é feita em quatro etapas:

Etapa 00 - Discussão do Problema: identificado previamente o risco, os

membros da equipe envolvida no processo e na gestão de riscos identifica em

um brainstorming as possíveis causas que podem levar à realização do risco e

as suas possíveis consequências, construindo um relatório preliminar de

causas e efeitos;

Etapa 01 – Causas e Efeitos: com base no resultado da Etapa 00, evolui-se na

análise criteriosa dos riscos, de modo a ordenar as ideias preliminares em

EVENTOS, CAUSAS, EFEITOS e IRRELEVANTES.

Etapa 02 – Diagrama de Blocos: nesta fase, as causas e respectivos efeitos

são ordenados de modo que é possível visualizar e mitigar o primeiro evento

que gera ou deflagra todos os demais eventos que culminam no risco principal.

Etapa 03 – Medidas Mitigadoras – utilizando-se o Diagrama de Blocos,

identificam-se os pontos críticos que necessitam ser tratados para evitar a

ocorrência do risco.

Na figura abaixo, apresenta-se um exemplo do Diagrama de

Blocos, com as Medidas Mitigadoras, resultado da aplicação da metodologia de

Estudo de Causas e Efeitos.

36

Figura 5 – Diagrama de Blocos do Estudo de Causas e Efeitos (GALANTE,

2015, p.116)

3.4 Análise Probabilística de Segurança (APS)

Assim como o Estudo de Causas e Efeitos, essa ferramenta é uma

análise em árvore que também “procura relacionar o conjunto de falhas que

ocasionariam o evento indesejado, calculando a probabilidade de este sinistro

acontecer.” (GALANTE, 2015, pg. 119).

Observa-se que esta ferramenta não é só qualitativa, pois também

contempla o aspecto quantitativo, decorrente do cálculo da probabilidade de

ocorrência do sinistro. Assim, para que possa ser mais eficaz, é necessária a

existência dos registros de falhas.

Essa ferramenta é comumente utilizada em sistemas complexos e

de alta tecnologia, no qual as falhas dos componentes ou sistemas podem ser

mensuradas e evitados:

37

“A APS tem que ser realizada de forma que possa assegurar

que um sistema analisado terá confiança para cumprir os seus

objetivos de segurança e demonstrar que o projeto escolhido

consegue manter a segurança mesmo frente a desvios dos

sistemas sem aumentar o risco total de forma exagerada. A

APS é considerada uma ferramenta importante para garantir a

segurança da planta em relação aos potenciais eventos

iniciadores que podem ser causados por falhas de

componentes e erros humanos, influenciados tanto por fatores

internos quanto externos.” (DA SILVA, 2015, pg. 2)

A mensuração das probabilidades é feita por álgebra Booleana,

na qual são possíveis apenas 2 valores, como por exemplo, sim ou não, 0 ou 1,

sucesso ou fracasso, verdadeiro ou falso. Assim, a árvore de eventos é

construída com o sequenciamento dos eventos e a probabilidade é calculada

pela conjugação dos resultados possíveis, utilizando-se a ciência estatística.

3.5 Análise Preliminar de Risco (APR)

Esta ferramenta apresenta-se uma pouco mais completa em relação

às anteriores porque conjuga vários critérios que visam identificar, analisar,

avaliar e classificar os riscos. Para tanto, o risco é decomposto em frequência

e severidade e essas variáveis são avaliadas de forma independente.

O valor atribuído à frequência e o valor atribuído à severidade das

consequências, são ponderados para chegar ao valor RAC – Risk Assessment

Code (código de gradação do risco). Para avaliar essas variáveis, é necessário

considerar o cenário no qual o risco pode ocorrer.

Inicialmente é necessário estabelecer as tabelas com parâmetros

numéricos para as frequências e outra para o nível de severidade. Uma

sugestão é apresentada por Galante (2015, pg.127), mas essas faixas podem e

devem ser ajustadas conforme o processo e risco em análise.

38

CATEGORIA DENOMINAÇÃO DESCRIÇÃO FAIXA DE FREQUÊNCIA

A IMPROVÁVEL Extremamente improvável, podendo ser considerado que o evento não ocorrerá

Menor que 10-6

B REMOTA Improvável, mas possível de ocorrer na vida útil do item / processo

Entre 10-6 e 10-3

C OCASIONAL Esperado de ocorrer durante a vida útil do item / processo

Entre 10-3 e 10-2

D PROVÁVEL Ocorrerá várias vezes durante a vida útil de um item / processo

Entre 10-2 e 10-1

E FREQUENTE Provável de ocorrer diversas vezes durante a vida útil de um item / processo

Superior a 10-1

Figura 6 – Tabela de Categorias de Frequência (GALANTE, 2015, p.127)

CATEGORIA DENOMINAÇÃO DESCRIÇÃO FAIXA DE VALOR

I CATASTRÓFICA Podem provocar mortes, lesões graves com incapacitação permanente, ou danos severos ao e irreparáveis ao meio ambiente, que viole Lei ou regulamento.

Superior a 1 milhão

II CRÍTICA Podem provocar lesões graves com incapacitação parcial, ou doença ocupacional que resulte em hospitalização de ao menos 3 pessoas, ou danos irreparáveis ao meio ambiente, que viole Lei ou regulamento

Entre 200 mil e 1 milhão

III MARGINAL Podem provocar lesões ou doença ocupacional que resulte em um ou mais dias não trabalhados, ou danos mitigáveis ao meio ambiente, sem violação de Lei ou regulamento, onde as atividades podem ser restabelecidas

Entre 10 mil e 200 mil

IV DESPREZÍVEL Podem provocar lesões ou doença ocupacional que não resulte em prejuízo em dias de trabalho, ou danos ambientais mínimos, sem violação de Lei ou regulamento.

Entre 2 mil e 10 mil

Figura 7 – Tabela de Categorias de Severidade (GALANTE, 2015, p.127)

39

A partir da conjugação das categorias de frequência e severidade, é

possível observar o valor atribuído ao risco e sua prioridade.

SEVERIDADE FREQUÊNCIA

A B C D E

I 12 8 4 2 1

II 15 10 6 5 3

III 17 14 11 9 7

IV 20 19 18 16 13

Figura 8 – Matriz de Risco - Prioridades (GALANTE, 2015, p.128)

PRIORIDADE (RISCO) CATEGORIA DE RISCO INDICAÇÃO

De 1 a 5 Alto Vermelho

De 6 a 9 Sério Laranja

De 10 a 17 Médio Amarelo

De 18 a 20 Baixo Verde

Figura 9 – Legenda da Matriz de Risco (GALANTE, 2015, p.128)

Após todos os levantamentos e avaliações, as informações podem

ser consolidadas numa matriz completa, incluindo as recomendações para

tratar os riscos identificados como prioritários, após a conjugação da

severidade e frequência dos riscos identificados, conforme exemplo abaixo:

40

Figura 10 – Exemplo da aplicação da APR (GALANTE, 2015, p.140)

O modelo basicamente organiza as informações para concluir que o

risco que causa danos muito severos e tem uma previsão de maior ocorrência

deve ser prioritário em relação a outro, que pode até ser mais severo, mas com

possibilidade remota de ocorrência. Essa ferramenta é usualmente aplicada em

etapas iniciais de projetos ou em reavaliações periódicas da segurança de

sistemas e/ou instalações já em operação.

3.6 Estudo de Perigos e Operabilidade (HazOp)

A ferramenta de gestão de risco HazOp (Hazard and Operability

Study) utiliza análise em árvore, e portanto traz resultados qualitativos sobre

possíveis desvios operacionais nos processos, equipamentos ou sistemas que

possam, não só causar danos aos empregados, fábricas e ambientes, mas

também comprometer o fluxo da operação e/ou perdas decorrentes da falta da

qualidade esperada em relação à especificação.

Sua metodologia consiste em aplicar perguntas baseadas em

“palavras-guia” de modo a identificar os desvios do processo, considerando

alguns de seus parâmetros. Para tanto, é pré-requisito a existência de

fluxogramas, esquemas e especificações detalhados e a participação de

equipe multidisciplinar com conhecimento do funcionamento da operação, dos

resultados esperados e de todas as anomalias possíveis.

41

Essa ferramenta é mais indicada para riscos relacionados a

processos contínuos, nos quais possam ser identificados “nós” para análise

dos parâmetros.

A tabela abaixo exemplifica uma lista de parâmetros, palavras-guia e

possíveis desvios, que devem ser conjugados visando um raciocínio

abrangente para detectar todo e qualquer problema possível:

Figura 11 – Lista de Desvios para HazOp (GALANTE, 2015, p.147)

Após análise do processo, os resultados são documentados para

orientar a forma de identificação e tratamento dos desvios, conforme

exemplificado na planilha abaixo:

42

Figura 12 – Planilha de HazOp (GALANTE, 2015, p.148)

3.7 Políticas e Práticas para o ambiente de Gestão de Riscos

As ferramentas anteriores visam às etapas da identificação, análise

e avaliação de riscos, objetivando identificar os riscos mais relevantes que

merecerão tratamento. Existem outras ferramentas e modelos matemáticos de

maior complexidade que podem ser utilizados e agregados conforme

especificidades do risco em estudo.

Elas podem e devem ser aplicadas de forma conjugada, propiciando

o aprofundamento da análise, da mensuração e da mitigação do risco, para

aqueles que vão sendo identificados como mais prováveis e danosos. O

esquema apresentado na figura abaixo exemplifica a conjugação de diversas

ferramentas de gestão de risco para uma visão ampla do risco da empresa:

43

Figura 13 – Metodologia de Avaliação Completa de Riscos (GALANTE, 2015,

p.93)

Contudo, o processo de gestão de riscos operacionais precisa

ocorrer no cotidiano das empresas, e para isso, algumas políticas e práticas

precisam ser implementadas nas organizações para efetivar a cultura de

gestão de risco.

44

Segundo Brito (2007, capítulo 7), a gestão de risco passa por um

processo integrado de gestão, que permeia toda organização.

Inicia-se no recrutamento e seleção dos profissionais qualificados

para exercerem as suas funções. Pressupõe a realização de treinamentos para

constante aperfeiçoamento dos quadros, e um justo processo de avaliação de

desempenho e recompensa aos funcionários.

As responsabilidades, processos, alçadas, acessos e segregação de

funções precisam estar bem definidos, atualizados e comunicados a todos.

Os sistemas operacionais precisam contemplar esses requisitos e

serem permanentemente adequados às alterações do ambiente (normativos,

produtos, etc.). Devem prever a formação de base de dados com históricos de

ocorrências de riscos e as perdas associadas, o cálculo de indicadores de

desempenho para subsidiar as revisões das avaliações de risco.

A estrutura responsável pela gestão de risco deve estabelecer

conjuntamente com as áreas operacionais e a alta administração os níveis de

aceitação de risco, comunicá-los e acompanhá-los nos diversos níveis

hierárquicos, já que o risco é intrínseco a todas as atividades.

Todas as operações precisam ser corretamente documentadas, e o

seu registro armazenado de forma acessível pelos responsáveis pelo seu

controle.

As condutas éticas esperadas precisam estar formalizadas e claras

para todos os funcionários.

A conjugação dessas práticas e políticas, que é a maior ferramenta

para a criação de um ambiente de gestão de risco, a organização estará mais

próxima do objetivo final de minimizar as ocorrências de efetivação do risco e

de sofrer as perdas associadas, mantendo ou melhorando sua posição no

mercado.

45

CAPÍTULO IV

AVALIAÇÃO DOS CUSTOS E BENEFÍCIOS DA GESTÃO

DO RISCO OPERACIONAL

Conforme descrito nos capítulos anteriores, a Gestão do Risco

Operacional envolve a necessidade de investimentos e a mudança de cultura

na organização. Também observa-se grande diversidade de riscos, impactos e

regras que são determinantes no nível de gestão de risco que a empresa irá

adotar. A mensuração desses critérios, custos e benefícios, portanto, é muito

variável. Contudo, abordamos a seguir alguns aspectos comuns a todas as

empresas.

4.1. Critérios para aplicabilidade da Gestão de Risco

Operacional

Conforme foi visto no desenvolvimento deste trabalho, todas as

empresas precisam implantar algum nível de gestão de risco operacional, por

exigências legais, no mínimo de ordem trabalhista. Contudo, para definição da

aplicabilidade da gestão de risco operacional nas empresas, de forma eficiente,

e compatível com as necessidades da organização, deve-se observar os

seguintes critérios:

• a atividade da empresa e sua exposição aos riscos operacionais:

quanto maior a exposição, maior o investimento;

• a sua estrutura financeira e a sua capacidade de investimento: quanto

maior a estrutura, maior o investimento;

• as exigências legais do seu segmento relativamente ao controle dos

riscos operacionais: se a legislação exigir, os investimentos serão

obrigatórios. Nesse caso estão as empresas de capital aberto, com

ações na Bolsa de Valores, que devem seguir as regras da CVM

46

(Comissão de Valores Mobiliários), se possuir ações negociadas nos

Estados Unidos da América, deverá seguir a SOX (Lei Sarbanes-

Oxley), seguradoras devem seguir regras da SUSEP, instituições

financeiras devem cumprir a regulamentação do Banco Central do

Brasil e observar o Acordo de Basiléia, regulamentados pelo Banco

Central, e todas as empresas devem observar os aspectos

relacionados aos riscos ambientais, segurança e medicina do trabalho

impostos pela CLT. (ASSI, pg.7 e GALANTE, 2015, capítulo I)

• o grau de automatização dos seus processos e a qualificação dos

seus funcionários: se a empresa estiver bem estruturada e com

funcionários bem qualificados, a exposição ao risco tende a ser menor

e também o investimento. Contudo, no caso contrário, o investimento

na estruturação da empresa será indispensável para sua

sobrevivência no mercado, ou seja, transcenderá a necessidade

apenas da gestão do risco;

• o tamanho e complexidade da organização e/ou de seus produtos:

quanto maiores, mais complexa a estruturação do processo de gestão

de riscos e controles internos, pois serão mais necessários. (ASSI, pg.

12).

4.2. Principais custos decorrentes da Gestão do Risco

Operacional:

A estruturação de um processo de gestão dos riscos operacionais,

exige alguns pré-requisitos e, portanto, são necessários investimentos iniciais e

outros, contínuos, para a manutenção permanente dos controles internos que

irão acompanhar a evolução dos riscos e execução dos controles. A alta

administração precisa transmitir de forma clara aos seus empregados a

relevância e necessidade da cultura de risco e é necessária uma qualificação

técnica específica para elaboração dos processos, normativos, aplicação das

ferramentas de gestão de risco e acompanhamento do processo.

47

“O controle interno pode ter custo sim, mas esse custo dependerá do

modo como o controle é realizado. É possível implementar um sistema de

controles internos com os recursos existentes. Para isso, basta identificar as

fragilidades nos processos e aplicar alguns controles.” (ASSI, 2012, pg. 6)

Inicialmente será necessário dedicar tempo de profissionais

experientes e comprometidos na análise e avaliação dos riscos, que possam

identificar formas eficazes de mitigar o risco, ou seja, muito eficientes com o

menor custo possível. Caso a empresa não possua expertise no assunto, ou

esteja com sua estrutura organizacional muito pouco estruturada, poderão

ocorrer custos para contratação de consultorias para prévio desenho dos

processos, normativos, manuais, alçadas. Somente com esse arcabouço

concluído poderão ser aplicadas as ferramentas de gestão do risco

operacional, que também podem exigir contratação de profissionais

especializados, temporários ou não.

Para estabelecer um ambiente de gestão de risco e controles

internos, também será necessário investir em treinamentos para todos os

empregados.

Adicionalmente será necessário definir sobre a estrutura necessária

para os Controles Internos e Auditorias, de modo a garantir que todos os

controles identificados e definidos sejam efetivamente realizados, fazendo com

que o investimento na gestão do risco operacional reverta em melhoria efetiva

da organização.

Caso os resultados das ferramentas de gestão de risco operacional

apontem muitos riscos relevantes, a organização precisará iniciar os

investimentos em sua mitigação, que podem ser reformulação de

equipamentos industriais, desenvolvimento de novos sistemas ou outros

aspectos de infraestrutura que podem ser bem custosos.

Os valores relacionados ao custo da gestão do risco operacional

estarão diretamente relacionados aos critérios para sua aplicabilidade,

relacionados no item 4.1 acima.

48

4.3. Principais benefícios decorrentes da Gestão do Risco

Operacional:

Segundo ASSI (2012, pg. 97), os ganhos decorrentes da gestão do

risco operacional e do controle interno são difíceis de mensurar, pois

normalmente controlamos e medimos os riscos decorridos. Esses geram

efetivamente custos, despesas, indenizações, perdas, etc. Mas como

demonstrar o ganho sobre os incidentes que não ocorrem, aqueles que foram

evitados pela sua correta identificação, avaliação e mitigação? Para que

possam ser efetivamente medidos esses benefícios, será necessário mudar a

cultura vigente para que os gestores busquem novas formas de reportar seus

resultados, explicitando aqueles decorrentes de controles eficazes.

Contudo, sabemos que “a ausência deles pode causar danos

irreparáveis a qualquer organização ou empresa, e os riscos podem aflorar em

seus demonstrativos financeiros e no caixa da empresa” (ASSI, 2012, pg. 11).

Assim, podemos relacionar como principais benefícios da gestão de

risco operacional e respectivos controles internos:

• evitar erros, fraudes e desperdícios;

• evitar pagamento de multas por descumprimento de legislações e normas

técnicas;

• evitar indenizações judiciais, ou não, por danos causados aos empregados,

terceiros ou meio-ambiente;

• otimizar os processos, tornando-os não só mais seguros, mas também mais

produtivos;

• identificar oportunidades de melhorias e novos investimentos;

• tornar as informações e produtos, e consequentemente a organização, mais

confiáveis para o mercado, clientes e investidores, aumentando seu valor.

Além desses benefícios mais objetivos, a implementação de

melhorias nos processos, em decorrência dos resultados da gestão do risco

operacional, trazem ganhos intangíveis pelo aumento da produtividade e

qualidade final dos produtos ou serviços gerados na organização.

49

Adicionalmente, ao se estabelecer a cultura de gestão de risco e dos

controles internos em todos os níveis hierárquicos, é estimulado, em cada

empregado, o senso crítico sobre o processo, seus riscos e melhorias

possíveis para evitá-los, o que gera um ciclo virtuoso de aperfeiçoamento

contínuo e motivação nos empregados, pois eles entendem que identificar e

apontar fragilidades no processo sob sua condução não é motivo de demérito

em um ambiente de gestão de risco.

50

CONCLUSÃO

Ao estudar os riscos operacionais e as metodologias disponíveis

para sua gestão, foi possível avaliar as condições necessárias e as dificuldades

para implantação da gestão de risco operacional.

Inicialmente verificamos a diversidade de conceitos de risco, em

especial do risco operacional, que envolve a interação de 4 principais fatores,

quais sejam, GESTÃO, OPERAÇÃO, PESSOAS e EVENTOS EXTERNOS.

Apesar de toda essa diversidade, todas as empresas atuam de

alguma forma na gestão de riscos operacionais, minimamente para cumprir

exigências legais de ordem trabalhista, além de outros requisitos exigidos pelo

seu ramo de atuação.

Como requisito mínimo para implementar um processo de gestão de

risco, a alta administração das empresas precisa patrocinar uma cultura

propícia à gestão dos riscos, com a participação de todos os seus funcionários

e com regras, normas e padrões bem definidos e comunicados por toda

empresa. Somente assim será possível aplicar as ferramentas de gestão do

risco operacional e cumprir as quatro etapas principais do processo:

• Identificação dos riscos:

• Análise dos riscos:

• Avaliação dos riscos:

• Tratamento dos riscos:

Assim, ratificou-se a hipótese de que os critérios para aplicabilidade

da gestão de risco nas empresas variam conforme o ramo de negócio e a

atividade da empresa, que podem implicar em maior ou menor exposição a

riscos operacionais e maiores ou menores exigências legais. Confirmou-se

também que empresas com melhor estrutura financeira e capacidade de

investimento terão maior possibilidade de utilizar a gestão de riscos

operacionais como propulsor de melhorias estratégicas em seu negócio. E,

51

ainda, constatou-se que empresas com baixo nível de estruturação de seus

processos, sistemas, normativos e qualificação profissional precisam investir na

sua gestão para garantir sua perenidade no mercado.

Por todos esses aspectos, verificou-se que é possível mensurar

apenas parte dos custos e dos benefícios decorrentes da gestão do risco

operacional, posto que muitos deles são intangíveis. E que não há uma

metodologia única para essa mensuração, em função da diversidade de fatores

e aspectos envolvidos na gestão do risco operacional e que variam de empresa

para empresa.

52

BIBLIOGRAFIA

ABNT. Apresentação de relatórios técnico-científicos. Rio de Janeiro, 2001.

ABNT. Referências Bibliográficas. Rio de Janeiro, 2001.

ABNT. Apresentação de citações em documentos. Rio de Janeiro, 2001.

ABNT NBR ISO 31000:2009 Gestão de Riscos, Princípios e Diretrizes. Rio de Janeiro, 2009

ASSI, Marcos. Gestão de Riscos Com Controles Internos. Saint Paul, São Paulo, 2012

BANCO CENTRAL DO BRASIL. RESOLUÇÃO N° 3.380 de 29/06/2006.

BRITO, Osias. Gestão De Riscos - Uma Abordagem Orientada A Riscos Operacionais - 1ª Edição. Editora Saraiva, São Paulo, 2007.

CALDART, Paulo Roberto. Matemática Atuarial e Teoria Matemática do Seguro

DAMODARAN, Aswath. Gestão Estratégica do Risco – Uma Referência para a Tomada de Riscos Empresariais, Wharton School Publishing-Bookman, 2008 https://books.google.com.br/books?id=SAC_xaM8-wQC&printsec=frontcover&hl =pt-BR&source=gbs_ge_summary_r&cad=0#v=onepage &q&f=false , acessado em 29/11/2015

DA SILVA, Thiago Padilha. Metodologia para a Determinação da Frequência de Degradação do Núcleo de uma Instalação Propulsora Nuclear de um Submarino , UFRJ/ESCOLA POLITÉCNICA, Rio de Janeiro, 2015.

DUARTE Jr. A.M; PINHEIRO F.A.P; JORDÃO M.R.; e N.T.Bastos, Gerenciamento de Riscos Corporativos: Classificação, Definições e Exemplos. Resenha BM&F, 134, 45-52, 1999.

DUARTE Jr. A.M. A Importância do Gerenciamento de Riscos Corporativos em Gestão de Riscos no Brasil (organizadores: DUARTE Jr., A.M e VARGA, G.) Editora FCE, Rio de Janeiro, 2003.

http://lojavirtual.bmf.com.br/LojaIE/Portal/Pages/Publicacoes/Resenhas/arquivos/143/art03_143.pdf acessado em 09/01/2016.

DUARTE Jr. A.M. Risco: Definições, Tipos, Medição e Recomendações para seu Gerenciamento. http://docslide.com.br/documents/risco-definicoes-tipos-medicoes-e-recomendacoes-para-o-seu-gerenciamento.html acessado em 13/12/2015.

GALANTE, Erick. Princípios da Gestão de Risco. Appris, Curitiba, 2015

53

LAROSA, Marco Antônio; AYRES, Fernando Arduini. Como Produzir uma Monografia Passo a Passo...Siga o mapa da mina. Rio de Janeiro, A Vez do Mestre, 2010.

MAXIMIANO, Antônio. Introdução à Administração – 6ª Edição Revista e Ampliada. São Paulo: Atlas, 2004 (Capítulo 8 e 16)

REVISTA GESTÃO UNIVERSITÁRIA, Controle Interno Vs Auditoria Interna: Uma Reflexão Sobre seus Procedimentos & Objetivos, Artigo de 14/07/2014, http://gestaouniversitaria.com.br/artigos/controle-interno-vs-auditoria-interna-uma-reflexao-sobre-seus-procedimentos-objetivos# acessado em 03/01/2015

54

ÍNDICE

FOLHA DE ROSTO 01 AGRADECIMENTOS 03 DEDICATÓRIA 04 RESUMO 05 METODOLOGIA 06 SUMÁRIO 07 INTRODUÇÃO 08 CAPÍTULO I RISCO OPERACIONAL 10 1.1. Definição de Risco e suas Origens 10 1.2. Principais tipos de Risco 14 1.3. Risco Operacional 16 CAPÍTULO II GESTÃO DO RISCO OPERACIONAL 20 2.1. O processo de Gestão de Riscos Operacionais 23 2.2. Controles Internos, Compliance e Auditoria 25 2.3. Falhas a evitar no processo de gestão de risco 28 CAPÍTULO III FERRAMENTAS PARA GESTÃO DO RISCO OPERACIONAL 30 3.1. Mapa de Riscos 31 3.2. Matriz de Relevância 33 3.3. Estudo de Causas e Efeitos 35 3.4. Análise Probabilística de Segurança (APS) 36 3.5. Análise Preliminar de Risco (APR) 37 3.6. Estudo de Perigos e Operabilidade (HazOp) 40 3.7. Políticas e Práticas para o ambiente de Gestão de Riscos 42 CAPÍTULO IV AVALIAÇÃO DOS CUSTOS E BENEFÍCIOS DA GESTÃO DO RISCO OPERACIONAL 45 4.1. Critérios para aplicabilidade da Gestão de Risco Operacional 45 4.2. Principais custos decorrentes da Gestão do Risco Operacional 46 4.3. Principais benefícios decorrentes da Gestão do Risco Operacional 48 CONCLUSÃO 50 BIBLIOGRAFIA 52 ÍNDICE 54 ÍNDICE DE FIGURAS 55 ANEXOS 56

55

ÍNDICE DE FIGURAS

Figura 1 – Frequência x Severidade 14

Figura 2 – O processo de Gestão de Risco baseado na ISSO 31000:2009 23

Figura 3 – Tabela das Classes de Risco 32

Figura 4 – Matriz de Relevância 34

Figura 5 – Diagrama de Blocos do Estudo de Causas e Efeitos 36

Figura 6 – Tabela de Categorias de Frequência 38

Figura 7 – Tabela de Categorias de Severidade 38

Figura 8 – Matriz de Risco - Prioridades 39

Figura 9 – Legenda da Matriz de Risco 39

Figura 10 – Exemplo da aplicação da APR 40

Figura 11 – Lista de Desvios para HazOp 41

Figura 12 – Planilha de HazOp 42

Figura 13 – Metodologia de Avaliação Completa de Riscos 43

56

ANEXOS

Índice de anexos

Anexo 1 >> Internet - Site WIKILIVROS – Introdução à Atuária

Anexo 2 >> Internet - Site da Fundação Dom Cabral – Temas Emergentes

Anexo 3 >> Internet - Site IT FORUM 365 - Controles Internos, Compliance ou Conformidade? Controles Internos? Precisamos disso em nossas empresas?

Anexo 4 >> Internet – Site AUDITORIA OPERACIONAL – Escola De Auditoria - Gerenciamento da Atividade de Auditoria Interna.

Anexo 5 >> Internet – Site BRASIL ESCOLA - ÁLGEBRA BOOLEANA

57

ANEXO 1

INTERNET

https://pt.wikibooks.org/wiki/Introdu%C3%A7%C3%A3o_%C3%A0_Atu%C3%A1ria/Origens_e_evolu%C3%A7%C3%A3o_da_ci%C3%AAncia_atuarial acessado em 29/11/2015 WIKILIVROS

Introdução à Atuária/Origens e evolução da ciência atuarial Mesmo parecendo uma ciência recente, as origens da atuária remontam as primeiras preocupações em criar garantias aos indivíduos de uma sociedade e se estudar o nascimento e a morte das pessoas.

No século XVII, na Inglaterra e na Holanda, os governos empenhavam-se em vender aos seus súditos títulos públicos que asseguravam ao tomador a recepção de uma renda vitalícia. Assim, foi tornando-se necessário determinar com a maior precisão a importância em dinheiro que deveria ser cobrada em contraprestação ao serviço, para que não houvesse prejuízo à coroa. Esse trabalho foi destinado aos melhores matemáticos da época.

Com isso, foi-se criando a base para o surgimento da matemática atuaria, principalmente a partir do cálculo da probabilidade de Pascal. Graunt e Edmond Halley, na Inglaterra, e De Witt, na Holanda, fizeram estudos levando em conta as leis da probabilidade e a expectativa de vida humana a partir dos registros de nascimentos e óbitos.

Formalmente, a ciência atuarial nasceu no final da primeira metade do século XIX, na Inglaterra. Os primeiros estudos destinavam-se para entidades da área de pensão e aposentadoria, basicamente com o objetivo de estudar a mortalidade da população.

No século XX, a área de seguros expandiu a abrangência do estudo atuarial, e a inserção cada vez mais freqüente das empresas de seguro e pensão no mercado financeiro, fez com que as ciências atuariais especializassem-se cada vez mais em campos econômicos e financeiros.

A atuária se desenvolveu principalmente à medida que matemáticos, economistas e filósofos se interessaram pelo assunto. Entre os séculos XVIII e XX, tivemos a construção de várias tábuas de mortalidade, como também o desenvolvimento das comutações, ferramenta do cálculo atuarial. Também aconteceu nesse período o 1º Congresso Internacional de Atuária em Bruxelas, no ano de 1895.

A partir de então, as empresas seguradoras passaram a oferecer programas de seguro de vida e outras especializações, cada vez mais desenvolvidos cientificamente.

58

Fundamentos

A Ciência Atuarial - assim como seu principal campo de estudo: o seguro - desenvolveu-se desde os seus primórdios sob o principio do mutualismo, onde os indivíduos se organizam em grupos com o interesse de proteger-se de tragédias e perdas.

Outro caráter importante para que os cálculos atuariais correspondam o máximo a realidade e a utilização da Lei dos grandes números.

O Risco

Pense em risco como a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico. É importante diferenciar risco de probabilidade: a probabilidade é parte do risco, que para ser assim classificado precisa, basicamente, ser causador de uma perda econômica, reparável.

Existem ainda outras exigências para a segurabilidade de um risco, a saber, o risco deve ser:

• Possível;

• Incerto;

• Futuro;

• Independer da vontade humana;

• Mensurável

• Homogêneo e não catastrófico

Seguro

O seguro é uma operação formalizada por um contrato, no qual uma parte se compromete a cobrir eventuais prejuízos no caso de um acidente coberto pelo contrato, e em troca recebe para isso uma quantia em dinheiro para que possa fazer frente a esse prejuízo. A esse pagamento dá-se o nome de prêmio de seguro.

O seguro surge da necessidade do homem em controlar o risco.

Existem indícios que já na Babilônia, 23 séculos antes de Cristo, caravanas de cameleiros que cruzavam o deserto mutualizavam entre si os prejuízos com morte de animais. Na China antiga e no Império Romano também havia seguros rudimentares, através de associações que visavam ressarcir membros que tivessem algum tipo de prejuízo.

Com o Renascimento e a expansão marítima da época Mercantilismo a cobertura aos riscos ganhou nova importância. Tornaram-se comuns operações chamadas de Contrato de Dinheiro e Risco Marítimo que consistia num empréstimo dado a um navegador, e que previa uma cobrança maior no caso de sucesso da viagem e o perdão da dívida se a embarcação e a carga fossem perdidas. Foi em virtude dos seguros marítimos que se desenvolveu a gestão de risco na maior parte do mundo.

No século XVII, o mercado securitário se expandiu e ganhou novos produtos de cobertura terrestre, especialmente em decorrência do Grande Incêndio de Londres de 1666, que destruiu cerca de 25% da cidade.

59

ANEXO 2

INTERNET

https://www.fdc.org.br/hotsites/mail/livro_sustentabilidade_poder/temas-emergentes/dimensao-organizacao/gestao-de-riscos.html acessado em 15/11/2015 FUNDAÇÃO DOM CABRAL TEMAS EMERGENTES

GESTÃO DE RISCOS Risco é uma expectativa de perda que se expressa como a probabilidade de que uma

ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo. O termo

risco é proveniente da palavra risicu ou riscu, em latim, que significa ousar. Costuma-se

entender “risco” como possibilidade de “algo não dar certo”, mas seu conceito atual envolve a

quantificação e qualificação da incerteza, tanto no que diz respeito às “perdas” como aos

“ganhos”, com relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por

organizações.

Conforme Bernstein:

Quando investidores compram ações, cirurgiões realizam operações,

engenheiros projetam pontes, empresários abrem seus negócios e políticos

concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas

ações revelam que o risco não precisa ser hoje tão temido: administrá-lo

tornou-se sinônimo de desafio e oportunidade. (IBGC, 2007,

p.11 apud BERNSTEIN, 1996, p. VII).

É da própria natureza humana o desenvolvimento do aprendizado para conviver com o

risco na busca de melhorias. Esse processo, contudo, foi refinado com a introdução de

instrumentos formais.

60

Tradicionalmente, as organizações e as pessoas buscam o equilíbrio entre riscos e

custos. Mas o termo “Gestão de Riscos” consolidou-se apenas recentemente, no começo como

riscos relacionados aos ativos financeiros (seguros, créditos, taxas de câmbio, empréstimos

etc.) e atualmente como riscos operacionais de todas as fases do processo, principalmente

com as categorias corporativa e empresarial. Dentro delas, ainda podem ser consideradas

outras categorias, como: risco de mercado; risco de crédito, risco operacional e risco legal.

(DUARTE JR.; VARGA apud SANTOS, 2010).

A gestão dos riscos seria, portanto, o processo de identificar, avaliar, medir, controlar e

divulgar os eventos incertos, eliminando ou minimizando os que podem afetar os recursos do

sistema. Um dos grandes propulsores foi o acordo firmado entre os bancos centrais de diversos

países, Comitê da Basileia, que instituiu medidas para diminuição dos riscos intrínsecos aos

sistemas financeiros que, integrados, apresentam uma probabilidade de contágio mais

acentuada.

As atividades envolvidas na gestão de riscos das corporações devem contribuir para a

longevidade da organização, atendendo aos seus objetivos estatutários e estratégicos. Isso vai

ao encontro dos objetivos da sustentabilidade. Um item do Código das Melhores Práticas de

Governança Corporativa do Instituto Brasileiro de Governança Corporativa (Código do IBGC)

trata do gerenciamento de riscos:

Gerenciamento de riscos: o Conselho de Administração deve assegurar-se de

que a Diretoria identifique preventivamente – por meio de sistema de

informações adequado – e liste os principais riscos aos quais a sociedade está

exposta, sua probabilidade de ocorrência, bem como as medidas e os planos

adotados para sua prevenção ou minimização. (IBCG, 2007, p.32).

A gestão de riscos, portanto, faz parte da governança corporativa, princípio fundamental pra as

ações de sustentabilidade das organizações.

Pelo IBGC, as vantagens de se fazer uma gestão dos riscos são preservar e aumentar o valor

da organização, mediante a redução da probabilidade e/ou impacto de eventos de perda,

combinada com a diminuição de custos de capital, que resulta da menor percepção de risco por

parte de financiadores e seguradoras e do mercado em geral; promover maior transparência,

ao informar aos investidores e ao público em geral os riscos a que a organização está sujeita,

as políticas adotadas para sua mitigação, bem como a eficácia das mesmas; melhorar os

padrões de governança, mediante a explicitação do perfil de riscos adotado, em consonância

com o posicionamento dos acionistas e a cultura da organização, além de introduzir uma

61

uniformidade conceitual em todos os níveis da organização, seu conselho de administração e

acionistas. (IBCG, 2007).

Um estudo da PriceWaterhouseCoopers (2002) mostrou iniciativas para que a gestão de risco

seja incorporada na organização: alinhamento estratégico; adequação da estrutura

organizacional, com profissional habilitado e com poder para tratar do assunto; processos e

metodologias comuns que permitam comparações e medição da evolução, e infraestrutura que

possibilite o tratamento de informações confiáveis.

As organizações, preocupadas com a permanência no mercado, devem coletar informações e

gerir os riscos e oportunidades que têm surgido. As instituições financeiras, em sua maioria,

possuem gestão do risco operacional, seja através da base de dados de perda, seja através de

análises exploratórias com ferramentas específicas. Diversas empresas fizeram sua gestão do

risco, como a utilizada por uma consultoria, em uma empresa do setor de energia, que

desenvolveu uma matriz e categorizou seus riscos:

• Riscos Estratégicos: incapacidade de lidar com as mudanças interna e externas para

realizar os objetivos empresariais.

• Riscos de Conformidade: não atendimento às legislações vigentes que impactam o

negócio, e internamente, não conformidade aos regimentos e procedimentos

estabelecidos.

• Riscos Financeiros: inadequada gestão de caixa, das aplicações de recursos em

operações novas/desconhecidas e/ou complexas e/ou de alto risco. Estão associados à

volatilidade do preço de ativos (taxa de juros, câmbio, patrimônio, instrumentos

financeiros), liquidez (fluxo de caixa, custo de oportunidade, concentração) e crédito

(cumprimento, concentração e garantia).

• Riscos na Gestão de Pessoas: desarticulação entre gestão estratégica e da gestão de

pessoas.

• Riscos Ambientais: gestão ambiental inadequada às necessidades reais de impacto do

negócio no meio do qual estão instaladas as operações.

• Riscos de Tecnologia da Informação e Telecomunicações: indisponibilidade ou

ineficiência dos recursos de informática e telecomunicações (software e hardware).

• Riscos Operacionais: falta de confiabilidade ou incompatibilidade dos processos

operacionais das unidades de negócio.

62

Há uma necessidade de melhorar os parâmetros de avaliação de riscos, principalmente em se

tratando de riscos não financeiros, que envolvem, por exemplo, aspectos operacionais e

estratégicos. Os sistemas de gestão, portanto, são ferramentas muito relevantes no sistema de

gestão de risco, por identificarem e avaliarem aspectos e impactos, perigos e riscos próprios

das operações das organizações. A ISO 31000 é uma norma que estabelece princípios,

estrutura e um processo para gerenciar qualquer tipo de risco, de forma transparente,

sistemática e credível em qualquer âmbito ou contexto. A ISO 31000 fornece ainda os

parâmetros para a gestão de risco, com os princípios e as diretrizes, e pode ajudar as

organizações de todos os tipos e tamanhos para gerir o risco de forma eficaz. Através da

adoção da ISO 31000, as organizações têm a possibilidade de comparar as suas práticas de

gestão de risco com um parâmetro de referência reconhecido internacionalmente,

proporcionando bons princípios de gestão eficaz.

A gestão de risco é uma tendência de gestão para proteção dos investidores e demais partes

interessadas e das corporações.

63

ANEXO 3

INTERNET

http://itforum365.com.br/blogs/post/72/compliance-ou-conformidade-controles-internos-precisamos-disso-em-nossas-empresas acessado em 03/01/2016 IT FORUM 365 CONTROLES INTERNOS

Compliance ou Conformidade? Controles Internos? Precisamos disso em nossas empresas?

MARCOS ASSI Socio diretor

Publicado em 14 de Agosto de 2013 às 09h51

Geralmente me perguntam o que é Compliance? E para não complicar

muito simplifico, é a atividade que tem como objetivo manter a empresa

em conformidade com leis, normativos e regulamentos externos e

internos, e sempre

Geralmente me perguntam o que é Compliance? E para não complicar muito simplifico, é a atividade que tem como objetivo manter a empresa em conformidade com leis, normativos e regulamentos externos e internos, e sempre que possível manter o respeito às normas e procedimentos da empresa.

64

Simples não é? Pelo jeito não, pois os conceitos são muitos, mas a aplicabilidade ainda depende de vontade ou obrigatoriedade dos órgãos reguladores. Seja compliance ou conformidade, devemos buscar a melhoria dos processos, dos controles internos e da gestão dos riscos corporativos, através do respeito aos normativos internos, sejam para os colaboradores e para os gestores do negócio.

Portanto devemos implementar uma política da função e atividade de compliance, para que possamos esclarecer as funções de cada um na organização, afinal a gestão de compliance é de responsabilidade de todos na organização, portanto é necessário definir as funções do compliance, dos controles internos, gestão de riscos, da auditoria e enfatizar que a alta administração é quem proporciona uma boa gestão.

Os programas de compliance devem contemplar as responsabilidades e o que a área deve realizar durante o período de atividades de validação e ou monitoramento. Mas uma coisa me vem à mente, a sua empresa já montou uma matriz de Riscos de Compliance? Não, mas os riscos de não conformidade estão registrados, não estão? Pense nisso, pois sem registros de incidentes nada poderá ser realizado, e tão pouco identificado.

Normas e procedimentos das áreas operacionais, departamentos, produtos, dos sistemas informatizados e dos treinamentos aos funcionários devem ser no mínimo cobrado dos gestores das áreas, para que possamos realmente implementar uma gestão de compliance efetiva e participativa.

Outra informação importante são os relatórios de monitoramento a exposição aos riscos de compliance e a devida comunicação dos resultados para a Alta Administração, para que possamos em conjunto buscar melhorias e identificar onde estão localizadas as vulnerabilidades de nossos controles internos e de nossa consciência de riscos, para que a tomada de decisão possa realmente agregar valor à organização.

Por esses motivos que se torna tão importante a disseminação de cultura, afinal somente possuir as normas, os procedimentos e os sistemas não são o suficiente, chamamos de “fraude inocente” se considerássemos que apenas por existir uma equipe de Compliance em

65

uma empresa, ela por si só, asseguraria todo atendimento às regras pelas áreas comerciais e administrativas da empresa. Isso não só seria inviável como também fugiria do que o objetivo maior do conceito Compliance significa, ou seja: difundir uma cultura de padrões legais e éticos na conduta de todas as áreas da corporação por meio de todos seus funcionários e estrutura de colaboradores.

* Marcos Assi é professor do MBA Gestão de Riscos e Compliance da Trevisan Escola de

Negócios, da Saint Paul Escola de Negócios e da FIA (Labfin), autor dos livros ?Controles

Internos e Cultura Organizacional ? como consolidar a confiança na gestão dos negócios?

e ?Gestão de Riscos com Controles Internos - Ferramentas, certificações e métodos para

garantir a eficiência dos negócios? pela (Saint Paul Editora) e consultor de finanças do

programa A Grande Idéia do SBT. Sócio Diretor da Daryus Consultoria e Treinamento.

66

ANEXO 4

INTERNET

http://auditoriaoperacional.com.br/gerenciamento-da-atividade-de-auditoria-interna/ acessado em 03/01/2016 AUDITORIA OPERACIONAL – ESCOLA DE AUDITORIA

Gerenciamento da Atividade de

Auditoria Interna

O diretor executivo de auditoria deve gerenciar de forma eficaz, a atividade de

auditoria interna para assegurar que adicione valor à organização.

– Planejamento

O diretor executivo de auditoria deve estabelecer planos com base em análise de

riscos para determinar as prioridades da atividade de auditoria interna,

consistentes com as metas da organização.

- O plano de trabalhos de auditoria da auditoria interna deve ser baseado na

avaliação de risco e realizado pelo menos uma vez ao ano. Informações

apresentadas pela alta gerência e o conselho de administração devem ser

consideradas nesse processo.

– O diretor executivo de auditoria deve considerar a aceitação de trabalho de

auditorias propostos para consultoria baseado no potencial destes para melhorar o

gerenciamento de riscos, adicionar valor e melhorar as operações. Os trabalhos de

auditoria aceitos devem ser incluídos no plano.

Comunicação e Aprovação

67

O diretor executivo de auditoria deve comunicar à alta administração e ao

Conselho para revisão e aprovação, os planos de atividades da auditoria e

necessidades de recursos, incluindo mudanças temporárias significativas. Deve

também comunicar o impacto de limitações de recursos.

Gerenciamento de Recursos

O diretor executivo de auditoria deve assegurar que os recursos de auditoria

interna sejam apropriados, suficientes e efetivamente utilizados para cumprimento

do plano aprovado.

Políticas e Procedimentos

O diretor executivo de auditoria deve estabelecer políticas e procedimentos para

orientar a atividade de auditoria interna.

Coordenação

O diretor executivo de auditoria deve compartilhar informações e coordenar

atividades com outros fornecedores internos e externos de serviços relevantes de

auditoria e de serviços de consultoria para assegurar apropriada cobertura e

minimizar a duplicação de esforços.

Comunicação com o Conselho e a Alta Administração

O diretor executivo de auditoria deve apresentar relatórios periódicos ao Conselho

e à alta administração sobre o propósito, autoridade, responsabilidade e

desempenho em relação a seus planos. Tais relatórios devem também incluir a

exposição a riscos significativos e matérias sobre controle, governança corporativa

e outras matérias necessárias ou solicitadas pelo Conselho ou pela alta

administração.

Natureza do trabalho

A atividade de auditoria interna deve avaliar e contribuir para a melhoria dos

processos de gerenciamento de riscos, de controle e de governança corporativa

aplicando uma abordagem sistemática e disciplinada.

Gerenciamento de Riscos

68

A atividade de auditoria interna deve assistir à organização através da identificação

e avaliação de exposições significativas a riscos e da contribuição para a melhoria

dos sistemas de gerenciamento de riscos e de controle.

– A atividade de auditoria interna deve monitorar e avaliar a efetividade do sistema

de gerenciamento de risco da organização.

– A atividade de auditoria interna deve avaliar os riscos de exposição no que diz

respeito à governança corporativa da organização, operações e sistemas de

informação relativos a:

• Confiabilidade e integridade das informações financeiras e operacionais.

• Efetividade e eficiência das operações.

• Salvaguarda do patrimônio.

• Obediência às leis, regulamentos e contratos.

– Durante o trabalho de consultorias, os auditores internos devem remeter-se ao

risco consistente com os objetivos do trabalho de auditoria e estar alertas à

existência de outros riscos significativos.

– Os auditores internos devem incorporar o conhecimento sobre riscos obtido em

trabalhos de consultorias, ao processo de identificar e avaliar exposições

significativas de riscos da organização.

Fonte: Curso – Auditoria, Controles e Gestão de Riscos

69

ANEXO 5

http://brasilescola.uol.com.br/informatica/algebra-booleana.htm acessado em 24/01/2015 BRASIL ESCOLA

ÁLGEBRA BOOLEANA

George Boole George Boole nasceu em Lincoln - Inglaterra em 2 de Novembro de 1815, filho de um

sapateiro pobre. A sua formação base na escola primária da National Society foi muito rudimentar.

Autodidata, fundou aos 20 anos de idade a sua própria escola e dedicou-se ao estudo da Matemática.

Em 1840 publicou o seu primeiro trabalho original e em 1844 foi condecorado com a

medalha de ouro da Royal Society pelo seu trabalho sobre cálculo de operadores.

Em 1847 publica um volume sob o título The Mathematical Analysis of Logic em que

introduz os conceitos de lógica simbólica demonstrando que a lógica podia ser

representada por equações algébricas.

Este trabalho é fundamental para a construção e programação dos computadores eletrônicos iniciada cerca de 100 anos mais tarde.

Na Álgebra de Boole existem apenas três operadores E, OU e NÃO (AND, OR, NOT).

Estas três funções são as únicas operações necessárias para efetuar comparações ou as quatro operações aritméticas base.

Em 1937, cerca de 75 anos após a morte de Boole, Claude Shannon, então estudante no

MIT - Boston, USA - estabeleceu a relação entre a Álgebra de Boole e os circuitos

eletrônicos transferindo os dois estados lógicos (SIM e NÃO) para diferentes diferenças de potencial no circuito.

Atualmente todos os computadores usam a Álgebra de Boole materializada em

microchips que contêm milhares de interruptores miniaturizados combinados em portas

70

(gates) lógicos que produzem os resultados das operações utilizando uma linguagem binária.

Álgebra Booleana Para descrever os circuitos que podem ser construídos pela combinação de portas

lógicas, um novo tipo de álgebra é necessário, uma em que as variáveis e funções

podem ter apenas valores 0 e 1. Tal álgebra é denominada álgebra booleana, devido ao seu descobridor, o matemático inglês George Boole (1815 - 1864).

Do mesmo modo que existem funções em álgebra "comum", também existem funções

na álgebra booleana. Uma função booleana tem uma ou mais variáveis de entrada e fornece somente um resultado que depende apenas dos valores destas variáveis.

Como uma função de n variáveis possui apenas 2n conjuntos possíveis de valores de

entrada, a função pode ser descrita completamente através de uma tabela de 2n linhas,

cada linha mostrando o valor da função para uma combinação diferente dos valores de

entrada. Tal tabela é denominada tabela verdade.

A B C 0 0 0 0 1 0 1 0 0 1 1 1

Acima temos a tabela verdade de uma função básica a função AND , ela e um conjunto

de funções da álgebra booleana têm implementação eletrônica através de transistores e são conhecidas como portas lógicas.

Um circuito digital é regido pela álgebra de Boole, e com as portas lógicas existentes é

possível implementar qualquer função da álgebra booleana. A seguir veremos as principais portas lógica, simbologia e tabela verdade.

-NOT

A função NOT é implementada na conhecida porta inversora.

A B 0 1 1 0 (a)

(b)

(a) tabela verdade, (b) símbolo

-AND

A função AND pode ser definida em linguagem natural como 1 se todas as entradas forem 1 e 0 se apenas uma das entradas for 0.

71

A B S 0 0 0 0 1 0 1 0 0 1 1 1

-OR

A função OR também pode ser definida em linguagem natural ela é 0 se todas as entradas forem 0 e 1 se existir uma entrada em 1.

A B C 0 0 0 0 1 1 1 0 1 1 1 1

-XOR

A função XOR conhecida como exclusive OR é muito parecido com a OR.

A B C 0 0 0 0 1 1 1 0 1 1 1 1

Temos acima algumas das principais portas lógicas existente, não são as únicas mas as

outras portas existentes são combinações destas portas básicas, e todos os circuitos digitais podem ser montados somente com estas portas.

Bibliografia: Trabalho por Ricardo K. L. Ferreira

Estudante de Ciência da Computação – Mackenzie

E-Mail: themagic@themagic.com.br