Manual do PlanejaMento - portaldagestaoderiscos.com · Método de Mosler 1 4.3.3.3. ... 4.3.4....

Manual do PlanejaMento e da Gestão de Risco

Manual do PlanejaMentoe da Gestão de Risco

uMa abordageM Prática


Manual do PlanejaMentoe da Gestão de Risco

uMa abordageM Prática

FeliPe Gonçalves silva, cesnelson RicaRdo FeRnandes da silva, Msc

Versão 1.12


Uma abordagem prática

FeliPe Gonçalves silva, ces

nelson RicaRdo FeRnandes da silva, Msc

Versão 1.12

Capa:

Diagramação e Ilustração:

Revisão: Felipe Gonçalves Silva e Nelson Ricardo Fernandes da Silva.

Nenhuma parte desta obra pode ser reproduzida ou duplicada sem autorização expressa do autor e do editor.

Impresso no Brasil - Abril de 2010

COMUNICAÇÃO CRIATIVA

COMUNICAÇÃO CRIATIVA

5Manual do PlanejaMento e da Gestão de Risco

suMÁRio

1. intRodução 1

1.1. Conceitos Básicos 1

1.2. Analise de Risco Parametrizada 1

2. conceitos BÁsicos 1

2.1. Conceito de Risco 1

2.2. Natureza dos Riscos 1

2.3. Categorias de Risco 1

2.4. Tratamento dos Riscos 1

3. Plano diRetoR de Gestão de Riscos: conceitos 1

3.1. Conceitos Gerais 1

3.2. Níveis de Planejamento 1

3.3. Metodologia e Fases do Planejamento 1

6

4. Plano diRetoR de Gestão de Riscos: “steP By steP” 1

4.1. Analise Prospectiva de Cenário 1

4.2. Analise do Negocio 1

4.2.1. Missão da Empresa 1

4.2.2. Valores 1

4.2.3. Visão de Futuro 1

4.2.4. Fatores Críticos de Sucesso 1

4.3. Avaliação dos Riscos 1

4.3.1. Riscos Estratégicos 1

4.3.2. Quantificação dos Riscos 1

4.3.3. Métodos de Analise de Risco 1

4.3.3.1. Método T-Fine 1

4.3.3.2. Método de Mosler 1

4.3.3.3. Método de Analise de Risco Parametrizada 1

Fase 1 – Quantificação do Impacto (QI) 1

Fase 2 – Estimativa da Probabilidade (EP) 1

4.3.4. Confecção da Matriz de Riscos 1

4.3.5. Analise de Quadrantes 1


4.3.6. Levantamento de Riscos / Cenários 1

4.4. Ferramentas de Apoio 1

4.4.1. Matriz SWOT (Modificada) 1

4.4.2. Diagrama de Ishikawa / Espinha de Peixe 1

4.4.3. Matriz de Sistemas 1

4.5. Analise de Custos 1

4.5.1. Quantificação da Perda 1

4.5.2. Qualificação da Solução 1

4.5.3. Quantificação da Solução 1

- Fase 1 – Definição dos Recursos Envolvidos 1

- Fase 2 – Avaliação de Custo da Solução 1

- Fase 3 – Calculo de Pay-back (simplificado) 1

4.6. Planejamento Estratégico: Políticas de GR / Objetivos / Metas 1

5. desdoBRaMentos do PlanejaMento estRatéGico 1

5.1. Planejamento Tático / Planos de Ação 1

5.2. Projeto Técnico 1

5.3. Relação Custo X Benefício 1

8

5.4. Investimento 1

5.5. Definição de Margem de Investimento 1

5.6. Downsizing Tecnológico 1

5.7. Plano Operacional – Normas e Procedimentos 1

5.8. Definição dos Objetivos de Treinamento 1

5.9. Treinamento e Elaboração das normas Operacionais 1

5.10. Implantação do Planejamento 1

5.11. Controle e Avaliação 1

5.12. Considerações de Planejamento 1

10

intRodução


1.1. conceitos BÁsicos

A partir do dia 11 de setembro de 2001, a Gestão de Riscos nos mais variados países do mundo passou por uma profunda reformulação em todos os seus conceitos e paradigmas – o impossível e inimaginável acontecera.

Pela primeira vez a humanidade viu diante dos seus olhos tudo aquilo que ela jamais suscitara acontecer. E ressentiu-se por ter agido de forma contingencial e amadora durante tantos anos seguidos. Viu que o custo da ausência de mecanismos sólidos de Gestão de Riscos é mais alto que o custo que se paga com a manutenção de uma Gestão de Riscos regular. Passou-se a se pensar de forma pró-ativa e preventiva. Sistemas preventivos passam a aumentar de importância de forma paulatina.

A polarização social, a qual aumenta a cada dia à medida que a classe média míngua ano após ano, diminui o colchão social responsável por abrandar esta bipolarização social.

Um novo mundo com novos desafios descortina-se diante de nossos olhos, onde os bens materiais cedem lugar aos intangíveis e onde a informação passa a ter um valor difícil de ser mensurado e notório.

Diante deste cenário tão desafiante e complexo o homem de Gestão de Riscos passa a ter que repensar as formas de agregar valor para a organização ao qual faz parte e, sobretudo buscar

12 intRodução

formas de alcançar vantagem competitiva para a empresa ou propiciar as condições para que tal objetivo seja atingido.

O novo cenário não admite mais o “achismo” ou um feeling apurado. Esta nova realidade necessita cada vez mais de capital intelectual que apresente competências essências mais complexas e capazes. Faz-se necessário o uso de ciência aplicada e metodologia cada vez mais sofisticada. Faz-se necessário ter a mensuração da perda o mais próximo da realidade possível, tendo em vista o grau de competitividade a que o mercado globalizado encontra-se.

Para se obter o máximo de aderência entre o projeto de Gestão de Riscos e os objetivos estratégicos da empresa é necessário que o planejamento de Gestão de Riscos seja capaz de colimar os mais variados níveis de projetos, planos e planejamentos em um único documento capaz de orientar as soluções nos níveis estratégicos, tático, operacional e técnico. Este documento poderá ser dividido de várias formas, sendo que no presente trabalho foi dividido em Plano Diretor de Gestão de Riscos

Corporativos (no que tange ao planejamento estratégico e foco desta obra), Plano de Ação de Riscos Corporativos e Projeto Técnico.

Além da metodologia básica utilizada na confecção dos respectivos planejamentos, por vezes os mesmos foram modificados recebendo outras ferramentas que agregaram valor ao planejamento como um todo.


Cabe ainda ressaltar que a base de toda a obra foi a Analise de

Risco Parametrizada. Metodologia própria, baseada em listas de parâmetros e de característica universal e modular. A referida metodologia foi desenvolvida por grupo de estudo que iniciou seu trabalho na FIA/USP, passando pelo NAIPPE/USP e tendo seu emprego pratico na antiga GV Consult, o que e conhecido hoje como GV Projetos – Núcleo da Fundação Getulio Vargas.

14 intRodução

1.2. analise de Risco PaRaMetRizada

A Analise de Risco Parametrizada foi uma metodologia desenvolvida inicialmente para o trabalho de consultoria com a finalidade de manter uniformidade no trabalho a ser desenvolvido e por conseguinte manter os padrões de qualidade desejados.

A metodologia basicamente consiste na aplicação direta de listas de parâmetros nos trabalhos de campo pelos “crash numbers”. A principal diferença consiste no fato de utilizar-se lista de parâmetros em 5 níveis de classificação onde um refere-se ao nível mais baixo e cinco refere-se a “best practice” existente no mercado ao invés de questionários do tipo Go / No Go ou Sim/Não. Desta forma o grau de precisão da avaliação e muito mais preciso.

Outra característica da Analise de Risco Parametrizada e sua facilidade na aplicação devido ao grau de detalhamento dos parâmetros em questão, conforme podemos constatar no quadro a seguir:


Nota-se quão fácil e sua aplicação por aqueles que irão desenvolver o trabalho de campo. Esta simplicidade em sua leitura permite uma uniformidade em sua aplicação e diminui a necessidade de profissionais com maior nível de experiência como “crash numbers” para a realização de trabalhos de campo, desta forma barateando o custo de consultoria ou auditoria.

A Analise de Risco Parametrizada pode ser aplicada aos mais variados campos de atividade, sendo necessário somente a realização de um processo de “Elicitacao do Conhecimento” por especialistas da área para a definição das Tabelas de Analise

de Risco Parametrizada que serão utilizadas posteriormente

PLANILHA DE ANÁLISE DE RISCO PARAMETRIZADA

AREA

GRUPO-TIPO:

ÁREAS E INSTALAÇÕES

SISTEMAS DE BARREIRA PERIMETRAL

VALOR GRAU

5

4

3

2

1

PARAMETRIZAÇÃO

Qualidade/Estrutura

a) A empresa possui barreira periférica constituida de alvenaria tipo “muro de fábrica” (4 metros ou mais de altura) com espessura do tipo “tijolo deitado” ou bloco de contreto em torno de 40cm de largura, possuindo vigas de sustentação a cada 4 metros ou menos.

b) A empresa possui barreira periférica constituida de alvenaria tipo “muro de fábrica” (2,5 metros ou mais de altura) com espessura de um muro normal ou de bloco de contreto normal, possuindo vigas de sustentação a cada 5 a 8 metros.

c) A empresa possui barreira periférica constituida de placas de concreto ou tijolos comerciais (2,0 metros ou mais de altura).

e) A empresa possui barreira constituida de placas de maderite ou cercas de arame (tipo industrial ou não).

d) A empresa possui barreira periférica constituida de placas de concreto relativamente antigas ou tijolos comerciais sem embolso em 1 ou nos 2 lados

16 intRodução

nos trabalhos de campo. Este processo consiste na realização de sucessivos “brainstorming” com especialistas da área para a definição dos grupos-tipo e dos parâmetros para a confecção das planilhas de trabalhos de campo.

A metodologia permite a criação de parâmetros não só para a obtenção de indicadores para os processos de consultoria e auditoria, mas também para a definição de Performance

Models para sua utilização em processos de gestão utilizando-se o Balanced Scorecard (BSC). Alem disto pode-se utilizar o seu sistema de indicadores para a definição de metas em Service

Level Agreement (SLA). Tais indicadores são facilmente sistematizados por meio e podem ser atualizados de tempos em tempos a medida que novas tecnologias vão surgindo.

18

conceitos Básicos


2.1. conceito de Risco

É uma ameaça real ou potencial que poderá vir a concretizar-se e causar perdas para a empresa ou organização em questão.

Torna-se necessário o seu estudo detalhado a fim de se encontrar a sua origem de forma bem clara e profunda. Alguns fatores devem ser suscitados para se definir qual é o impacto e suas decorrências. É de grande importância também saber como tratá-lo ou administrá-lo.

20 conceitos Básicos

2.2. natuReza dos Riscos

Quanto a sua natureza os riscos podem ser puros (estáticos), e riscos especulativos (dinâmicos), como se segue:

A PROPRIEDADE

RISCO

PUROS

AS PESSOAS

POR RESPONSABILIDADE

DE INOVAÇÃO

POLÍTICOS

ADMINISTRATIVO

ESPECULATIVO

De forma resumida poderíamos dizer que enquanto os riscos especulativos envolvem a possibilidade de perda ou ganho. Já os riscos puros, apresentam sempre a possibilidade de perda.

Lamentavelmente a gestão de riscos empresariais tem tido seu foco de preocupação essencialmente voltado para os riscos puros, agindo somente de forma contingencial e raramente de forma pró-ativa ou antecipatória. Contudo após o marco de 11 de setembro os EUA resolveram repensar o conceito de risco e, por conseguinte o de gestão de riscos. Com os novos paradigmas


decorrentes surge a figura do Chief Risk Officer (CRO) – o executivo que coordenando uma equipe interdisciplinar vai levantar os principais riscos existentes e antecipar tendências e riscos decorrentes.


2.3. cateGoRias de Risco

Os riscos podem ser classificados em três categorias:

• HUMANOS;

• TÉCNICOS;

• INCONTROLÁVEIS.

Riscos Humanos – são aqueles provenientes da ação direta, voluntária e involuntária, das pessoas, com suas origens em dois tipos de indivíduos:

a) as pessoas internas ao ambiente da empresa, autorizadas a permanecer nas dependências da empresa e, portanto testando e estudando as vulnerabilidades existentes. São elas:

• funcionários da empresa, tanto os efetivos como os terceirizados;

• visitantes;

• prestadores de serviço.

b) externo ao ambiente da empresa, não autorizadas a entrar na empresa, que não possuem qualquer tipo de vivência na organização e não possuem autorização para circular ou adentrar. Tais detratores podem se aproveitar das vulnerabilidades


existentes no sistema e se infiltrarem na empresa, com o objetivo de usurpar ou realizar agressões ao patrimônio da empresa.

Dentro do enfoque acima, os riscos humanos mais comuns são:

Assalto Agressão externa, com o intuito de adquirir numerário ou bens atrativos com valor de revenda

Pessoas externas e não autorizadas a adentrar ou circular nas dependências da empresa

Ação planejada, às vezes muito violenta e com um estudo formal para sua realização.

Furto Desvio sistemático, extravio ou perda de dados e informações

Pessoas internas e externas a organização


Acesso Indevido

Intrusão de estranhos ou pessoas não autorizadas na rede de informação


Ações elaboradas, com estudo das medidas de Gestão de Riscos implantadas.

Sequestro Retenção de pessoa privando-a de liberdade com intuito de extorsão ou facilitação de acesso as dependências da organização.

No Brasil geralmente são quadrilheiros comuns e/ou marginais vindos de outros tipos de crime, em busca de “caixa” para seus negócios.

Ação na maioria das vezes pouco planejada, a não ser que vise o acesso a organização para a invasão e busca do objetivo maior.

Negligência O não cumprimento das normas estipuladas, favorecendo a ocorrência de riscos.

Funcionário, equipe de Gestão de Riscos e manutenção, visitantes e prestadores de serviço a empresa

Ato involuntário

RISCO CONCEITO AGRESSOR FORMA DE ATUAÇÃOSurrupio Desvio de material

sistemático, feito de forma previamente estudada, pensada e planejada.

Funcionários e / ou qualquer pessoa com livre acesso a empresa

Ações elaboradas, com estudo das medidas de gestão de riscos implantadas.

Furto Apropriação indevida de objetos pessoais de funcionários ou outros colaboradores da empresa, ou de bens da empresa

Funcionários e / ou qualquer pessoa com livre acesso a empresa

Ação instintiva, com aproveitamento das oportunidades momentâneas. Não é realizado um estudo formal para executar a ação. Arrisca-se facilmente


Riscos Técnicos – São os oriundos da falha de equipamentos, tendo como conseqüência direta incêndios e explosões. Esses podem ter como origem :

• Má manutenção;

• Mau emprego;

• Falha técnica.

As áreas consideradas críticas nas instalações, onde podem ocorrer incêndios são:

• Local de almoxarifado;

• Sistema de ar condicionado;

• Áreas administrativas;

• Cozinha industrial;

• Local da deposito de material;

• Produção;

• Geradores;

• etc


Riscos Incontroláveis – São aqueles provenientes da ação da natureza (chuvas, vendavais, etc) e pelo impacto indireto. A natureza é incontrolável, apesar de que pode ser monitorada pelo homem. Fica impossível deter a ação da natureza.

O impacto indireto é aquele onde, pelos riscos humanos e técnicos, a instituição poderia a vir sofrer qualquer tipo de agressão.

Basicamente são riscos que qualquer organização pode ter. A diferença é a probabilidade de ocorrência. Para cada situação há uma probabilidade diferente, tendo em vista as características conjunturais. O sistema da Gestão de Riscos tem de possuir a sensibilidade de adequar os sistemas, sem interferir de forma a atrapalhar a atividade fim da empresa. A Gestão de Riscos tem de oferecer medidas práticas e eficazes, com base na vulnerabilidade existente interferindo o mínimo possível no dia a dia da empresa.


2.4. tRataMento dos Riscos

Partindo-se do princípio de que não existe atividade sem riscos, a alternativa é administrá-los, de forma que se possa dar o tratamento adequado. Para tal poderemos trabalhar na sua prevenção ou no seu tratamento. Por meio da prevenção poderemos eliminá-los quando o solucionamos por completo ou reduzi-los através de medidas ou de instalação de equipamento especifico capaz de reduzir sua consecução.

Por vezes torna-se impossível o tratamento eficaz do risco ou ele esta intimamente ligado a natureza do negocio em questão. Sendo assim necessário uma forma de financiamento deste risco. Dentre as formas mais conhecidas de financiamento de risco temos a contratação de seguro. Quando a empresa contrata uma seguradora, na realidade ela esta financiando o seu risco. Por vezes a concretização do risco pode assumir proporções de tal monta que geraria um impacto catastrófico para a empresa, podendo inclusive colocá-la em um estagio falimentar. Quando a empresa contrata a seguradora, ela na realidade transfere o seu risco. Entretanto, a empresa pode decidir por assumir a gestão do seu risco. Neste caso ela inicia algumas medidas preventivas para reduzir o risco e paralelamente recolhe uma quantia toda vez que vai iniciar a atividade de risco; como se fosse o recolhimento executado pela seguradora. Desta maneira ela faz o auto-seguro, ou seja, caso ocorra a sinistralidade ela mesmo paga caso não ocorra o dinheiro que seria pago a seguradora


vira lucro.

Eliminar Prevenção

Reduzir

Assumir Financiamento

Transferir

28

Plano diRetoR de Gestão de Riscos:conceitos


3.1. conceitos GeRais

A metodologia utilizada para o Plano Diretor de Gestão de Riscos e Análise de Riscos tem sua origem e sistematização baseada nos conceitos do planejamento empresarial, onde se tenta por meio de processos científicos – querem sejam eles objetivos ou subjetivos - mensurar os diversos vetores que proporcionam riscos a atividade empresarial em questão ou para a empresa como um todo. Tudo isto visando permitir tomada de decisões antecipadas e oportunamente para que se atinjam determinados objetivos.

A confecção do Plano Diretor de Gestão de Riscos ajuda a antecipação e visualização de futuros problemas, bem como facilita tomar decisões em momento asado. As projeções constantes no planejamento e as diretrizes estratégicas permitirão a definição e colimação dos esforços a serem atingidos da forma mais eficaz e eficiente possível.

Outro fator a ser levado em consideração é a necessidade que todos os setores da empresa estejam voltados para o “core business” da mesma, ou seja, que todos estejam direcionados para a consecução de um objetivo comum capaz de proporcionar as melhores condições para o desenvolvimento da atividade fim da empresa.

Além disto um adequado planejamento em gestão de riscos permite com que se decida antecipadamente aquilo que se quer

30 Plano diRetoR de Gestão de Riscos: conceitos

que aconteça no futuro.

Ainda do ponto de vista da Gestão de Riscos empresarial, o planejamento tem por objetivo estabelecer um conjunto de providências a serem tomadas para se evitar que se haja mudanças abruptas no “status quo” de determinadas situações vigentes na qual simples mudanças poderiam acarretar um grau de risco muito grande ao processo vindo a por em risco no futuro bens, pessoas ou ativos de conhecimento que se deseja preservar.

Tem que se ter em mente que é um processo contínuo, o qual deve ser implementado pela empresa. É também um processo operacional que requer algumas etapas teóricas preparatórias, onde são levantadas umas séries de questionamentos sobre o que deve ser feito e em que condições serão realizadas.

De acordo com fontes especializadas em planejamento empresarial, e o que não é diferente na área de gestão de riscos, o plano deve ser baseado em pesquisas e simulações conforme a orientação da fase do desenvolvimento da organização, devendo levar sua preparação de três a seis meses. Para tal deverão ser realizados questionários de levantamento de informações, pesquisas de campo, trabalhos de campo, auditagem etc...

O planejamento em gestão de riscos obedece aos mesmos princípios gerais do planejamento empresarial, tais como:

1. Deve ter sempre como objetivo primordial a política da empresa, devendo respeitá-la na sua íntegra;


2. Deve ser parte integrante no planejamento global da empresa;

3. Deve ser considerado estratégico e integrativo por seu grande potencial de penetração e abrangência, tendo em vista provocar uma série de modificações nas características físicas e operacionais da empresa, bem como nas normas de conduta;

4. Deve procurar maximizar os resultados e minimizar as deficiências;

5. Deve levar em conta e subordinar-se a missão e aos valores da empresa.

Toda atividade de planejamento na gestão de riscos empresariais deve ter como resultado prático, decisões presentes, tomadas a partir do exame do impacto destas no futuro, o que proporciona uma dimensão temporal de alto significado para o processo de planejamento tanto de curto, quanto de médio e longo prazo.

Como em qualquer planejamento é necessário que seja seguida uma metodologia e que se tome o devido cuidado na sua consecução, sob pena de comprometimento de todo o processo de planejamento.

Os princípios gerais para que os resultados da operacionalização do Plano de Gestão de Riscos sejam alcançados são:

1. O planejamento em gestão de riscos deve visar sempre aos objetivos da empresa, ou seja, deve-se buscar o máximo de aderência entre os processos da empresa e os objetivos de Gestão de Riscos para que estes não atrapalhem o “core


business” da empresa.

2. O processo da ação planejada deve hierarquizar os objetivos e as metas estabelecidas e procurar alcançá-los, considerando sua interligação.

3. O princípio da penetração e abrangência: o planejamento em Gestão de Riscos vai provocar uma série de modificações nas características e atividades da empresa. Em conseqüência, assume uma situação de maior importância na administração.

4. O princípio da efetividade: O planejamento deve procurar maximizar os resultados e minimizar as deficiências.

Partindo dos princípios macro acima, o processo de planejamento em gestão de riscos deve seguir os quatro princípios especificados abaixo que dizem respeito a atitude e visão interativa:

1. Planejamento Participativo – Na área de gestão de riscos, como em qualquer outro segmento empresarial, o principal benefício não é o produto, ou seja, o plano, mas sim o processo envolvido. Nesse sentido, o papel do homem de Gestão de Riscos, responsável pelo planejamento. Não é o fato de simplesmente elaborá-lo, mas sim o de facilitar o processo de sua elaboração pela própria empresa, interagindo com os diferentes departamentos envolvidos e integrando os setores, bem como diminuindo resistências futuras.

2. Planejamento Coordenado – Todos os aspectos envolvidos


devem ser projetados a atuar de forma interdependente, pois nenhuma área pode ser planejada isoladamente, sob pena de desenvolver-se um planejamento inadequado, fracionado e/ou sem aderência que não corresponde às necessidades da empresa.

3. Planejamento Integrado - Os variados departamentos da empresa devem ser chamados para participar de forma integrada, com o objetivo de não impor, mas sim tornar exeqüível os recursos e objetivos. Alem disto, deve-se buscar informações nos diferentes escalões da empresa. Desta forma assegura-se o comprometimento dos diversos níveis e aumenta o grau de aderência e credibilidade.

4. Planejamento Atualizado – Esta condição é exigida pelas mudanças naturais no ambiente, pois nenhum planejamento mantém seu valor com o tempo. Atualmente com o ciclo de mudanças cada vez mais curto, faz com que haja necessidade de consecutivos aprimoramentos e redirecionamentos dos objetivos estratégicos da empresa com reflexo para todas as áreas.


3.2. níveis de PlanejaMento

Considerando os grandes níveis hierárquicos, os níveis de planejamento na área de Gestão de Riscos empresarial são:

• Estratégico – é o que envolve toda a empresa, traçando sua política de Gestão de Riscos. Deve estar em consonância com os grandes objetivos e valores da empresa. Permite estabelecer a direção a ser seguida, visando maior grau de interação com o ambiente. Responde a pergunta “onde a empresa quer ir com sua Gestão de Riscos empresarial ?” É de responsabilidade dos “headquarters” da empresa para participar da sua elaboração e diz respeito tanto a formulação de objetivos e metas a serem atingidos, quanto à seleção dos cursos de ação a serem seguidos para sua consecução, considerando as condições externas e internas à empresa e sua evolução esperada. O planejamento estratégico tem que ser formalizado, estabelecendo de forma absolutamente clara a qual a filosofia da empresa na área de Gestão de Riscos.

• Tático – Tem como finalidade otimizar a área de Gestão de Riscos, com vistas ao resultado da empresa. O planejamento tático estabelece, com base nos objetivos e metas propostos no Plano Diretor de Gestão de Riscos Empresarial, os meios necessários para implantar o sistema integrado de Gestão de Riscos. É desenvolvido nos níveis organizacionais intermediários e tem como principal objetivo à utilização


eficiente dos meios materiais e humanos para a consecução das metas predeterminadas. Deve conter detalhes sobre os prazos estabelecidos e responsabilidades pela execução e implantação.

• Operacional – É aquele que descreve as normas e condutas sob a forma de documentos escritos, isto é, o manual de operações de Gestão de Riscos propriamente dito, os planos operacionais padrões. Nele são detalhados os recursos existentes, os procedimentos de rotina e emergenciais e os responsáveis pela execução e implantação das medidas. O planejamento operacional vai descrever como o sistema cumprirá a missão de gestão de riscos.

• Técnico – O planejamento técnico visa detalhar, sob o ponto de vista técnico, qual é a melhor alternativa para ser implantado na organização. Neste plano constam as especificações técnicas dos sistemas e detalhes para sua implantação.

Planejamento e Níveis na Empresa

NÍVEL PLANEJAMENTO CARACTERISTICASAlta Gerência Estratégico Sintético, conceitual, visual e

abrangente, de�nindo objetivos de longo prazo

Media Gerência Tático Detalhado, contendo metas de custo quanti�cadas e objetivos de médio prazo

Media Gerência Técnico Detalhado, analítico, contendo especi�cações técnicas e objetivos de médio prazo

Che�a / Supervisão Operacional Detalhado, explicativo e normativo, usando linguagem simples com objetivos de curto prazo


3.3. MetodoloGia e Fases do PlanejaMento

A formulação de um plano de gestão de riscos é o método mais efetivo para listar todas as contingências, riscos e seus respectivos impactos com que pode se deparar à organização. Querem sejam eles tanto no campo financeiro, quanto no que tange a imagem da empresa e outros reveses tangíveis ou intangíveis.

Uma análise completa e detalhada nesta fase de planejamento aumenta sobremaneira as chances de sucesso na concretização dos objetivos por ele apregoados.

Os principais objetivos deste planejamento são:

1. Conhecer o ambiente no qual a empresa encontra-se imersa;

2. Conhecer suas ameaças e oportunidades;

3. Conhecer seus pontos fortes e fracos;

4. Saber qual é a relação custo x benefício ideal para realizar um investimento em Gestão de Riscos;

5. Ter um plano de trabalho efetivo e que estabeleça:

- O quê, como, quando e por quem devem ser realizadas os planos de ação;

- Como e onde alocar recursos e de forma priorizadas;


- Levantamento dos Fatores Críticos de Sucesso da empresa e definir os riscos que os afetam (Riscos Estratégicos);

- Levantamento dos riscos reais e potenciais e suas chances de concretização;

- Impactos financeiros em caso de concretização dos riscos;

- Linhas de ação para prevenir e diminuir as chances de concretização dos respectivos riscos;

- Relação custo x benefício equilibrada;

- Prioridades na implementação das soluções.

O planejamento em gestão de riscos não deve ser considerado apenas como uma afirmação das aspirações da empresa, já que deve incluir necessariamente o que deve ser feito para transformar essas aspirações em realidade.

As principais fases de um planejamento em gestão de riscos focado no negócio da empresa são:

1. Análise de Cenário

2. Definição dos Fatores Críticos de Sucesso;

3. Definição dos Riscos Estratégicos

4. Definição dos Objetivos / Políticas de Gestão de Riscos – Planejamento Estratégico;

5. Diagnóstico;


6. Levantamento e Análise de Risco;

7. Análise Parametrizada;

8. Projeto Tático;

9. Projeto Técnico;

10. Vulnerabilidades – Relação Custo / Benefícios;

11. Priorização dos Riscos e Impactos – Matriz de Vulnerabilidade;

12. Elaboração das Normas e Procedimentos – Plano Operacional;

13. Elaboração de um Plano de Implantação do Projeto;

14. Cronograma de Metas e Objetivos;

15. Controle e Avaliação do Planejamento.

40 Plano diRetoR de Gestão de Riscos: “steP By steP”

A Gestão de Riscos (GR) é uma ferramenta para assegurar que os fatores críticos de sucesso da empresa sejam preservados. Através dela a empresa busca garantir o fluxo normal de sua atividade fim sem sofrer qualquer solução de continuidade. Visa manter a integridade no resultado do desempenho dos vários departamentos da empresa. Além disto a gestão de riscos corporativos deve envidar esforços para que se possa agregar o máximo de valor durante o processo.

Deve-se ter em mente que durante todo o processo de análise e planejamento deve-se buscar seguir os valores e políticas existentes na própria empresa, para se evitar um planejamento de gestão de riscos sem aderência com os seus objetivos estratégicos.

Dentro deste enfoque, a gestão de riscos é parte integral da elaboração de um planejamento estratégico da empresa como um todo. Sua abordagem é global, envolvendo toda a empresa, como um sistema integrado de recursos, capacidades, potencialidades, competências essenciais e, sobretudo, decisões que devem ser baseadas em julgamento calcado em metodologia condizente, em vez de decisões baseadas em dados desconexos.

O planejamento estratégico em gestão de riscos empresariais possui as seguintes características:

• É projetado para longo prazo, pelo menos em termos de efeitos, conseqüências e consecução de seus objetivos;

• Está voltado para as relações entre a empresa e seu ambiente, sujeito, portanto às incertezas a respeito dos riscos externos e internos;

• Leva em consideração o mercado como um todo e é confeccionado vendo os efeitos das constantes mudanças no cenário mundial e suas possíveis implicações;


• Envolve a empresa em sua totalidade, abarcando todos os seus recursos, no sentido de se obter um efeito sinérgico de sua capacidade e potencialidade;

• É estruturado buscando uma visão holística.

O planejamento estratégico em gestão de riscos envolve um comportamento global e sistêmico. Este nível de planejamento não se preocupa em antecipar as decisões, mas sim em considerar as implicações futuras das decisões que devem ser tomadas no presente.

O planejamento estratégico em gestão de riscos procura especificar, em nível macro as medidas a serem tomadas pela empresa, como fazer para colimar os esforços de forma sinérgica e como proporcionar o máximo retorno para empresa em termos de agregar valores.

A elaboração do planejamento de gestão de riscos estratégicos deve levar em consideração os seguintes fatores:

1. Análise da cultura organizacional da empresa;

2. Necessidade de integração e suporte de outros setores para a obtenção dos resultados esperados;

3. Levantamento de Riscos Estratégicos e suas implicações;

4. Uso de metodologia científica quer seja ela objetiva ou subjetiva, que permita a parametrização e mensuração dos riscos e impactos e a suportabilidade dos mesmos por parte da empresa;

5. Elaboração da política e filosofia de gestão de riscos em consonância com os objetivos estratégicos maiores da empresa;

6. Definição da Missão do Departamento de Gestão de Riscos

Corporativos de forma clara e coerente.

42

Plano diRetoR de Gestão de Riscos:“steP By steP”


4.1. anÁlise PRosPectiva de cenÁRio

A Análise de Cenário é fundamental para que a empresa tenha uma exata noção do ambiente no qual encontra-se inserida e avaliar quais os principais fatores externos podem afetar seu desempenho. Estes fatores externos que apresentam considerável grau de relevância são chamados de direcionadores. Neste capitulo encontra-se o extrato do resultado final de uma análise prospectiva de cenário no qual os direcionadores encontram-se em negrito-italico.

Apos serem definidos os direcionadores, o que deve ser feito por meio de “brainstorming” conduzido por especialistas das diversas áreas, deve-se analisar cada um de “per si” verificando qual o grau de certeza do mesmo vir a concretizar-se e qual o impacto para o negocio da empresa. Para facilitar, tais direcionadores podem ser colocados em uma tabela contendo os campos: Direcionares, Grau de Certeza e Grau de Impacto. Devem ser atribuídos valores baixo, médio e alto para os graus de certeza e de impacto.

Na seqüência deve-se construir uma matriz cujos eixos serão Grau de Certeza e Grau de Impacto totalizando nove quadrantes referente aos três níveis de grau de certeza e de impacto. Ao lançar os direcionadores na matriz deve-se desprezar aqueles nos quadrantes referentes a baixo grau de certeza ou de impacto, ficando somente com os direcionadores dos quadrantes médio e alto.


Para os direcionadores escolhidos serão definidos a pior e melhor hipótese, caso eles venham a concretizar-se. Estas hipóteses são chamadas de “endpoints” inferior e superior respectivamente. Nova tabela será construída lançando-se os direcionadores e os “endpoints” superiores e inferiores, descrevendo-se a melhor e a pior hipótese para cada direcionador.

O passo seguinte é definir quanto cada direcionador aproxima-se da melhor ou pior hipótese. Para tal deve-se construir uma tabela lançando-se os direcionadores e numerada de (- 6) a (+6), sendo a primeira numeração referente a concretização da pior hipótese (- 6) e a segunda para a melhor hipótese (+ 6). Para cada numero desta escala haverá uma gradação de adjetivos como referência a fim de definir a probabilidade e impacto no cenário futuro. No extrato da análise de cenário abaixo, tais adjetivos encontram-se em negrito.

- Extrato de Análise de Cenário (resultado final)

(“CC” + “CV”) – No nosso site pode ser encontrado uma análise de cenário genérica, “step-by-step” que provavelmente facilitará o processo de compreensão e poderá enriquecer o seu planejamento.

CENÁRIO PROVÁVELO processo de Globalização continuará a ser relativamente disseminado pelo mundo, aumentando o nível de comércio internacional e acirrando a concorrência global, bem como pressionando as empresas a diminuírem os seus custos de produção e administrativos. Tal fato trará como conseqüências diretas um grande aumento dos processos de terceirização ocasionando um aumento do numero funcionários e por conseguinte, aumentando os riscos decorrentes. Além do uso massivo de tecnologia da informação e sistemas eletrônicos para substituição de mão-de-obra humana. Em decorrência da crescente so�sticação tecnológica haverá uma grande necessidade da especialização da mão-de-obra.


4.2. anÁlise do neGocio

Para iniciar a análise de riscos propriamente dita e necessário que se tenha um claro entendimento do “business”. Para tal alguns passos são considerados básicos para o entendimento do negocio. Estes passos são conhecidos como “Análise do Negocio” que consiste numa transcrição dos “statements” básicos de qualquer empresa e que são facilmente encontrados em seu planejamento estratégico, “business plan” ou ate mesmo em sua homepage. Tal transcrição permite-me identificar com maior facilidade os fatores críticos de sucesso da empresa: peca fundamental no processo de definição dos riscos estratégicos e que passaremos a explicar de forma mais detalhada a “posteriori”.

4.2.1. Missão da eMPResa

Deve ser copiada “ipsis litteris” do plano estratégico da empresa. Tal declaração facilita o entendimento do negocio da empresa e as possíveis conseqüências para a gestão dos seus riscos. A declaração de missão da empresa da foco aos esforços a serem realizados pelos diversos departamentos a empresa, evitando que se fuja do foco principal. Segue abaixo exemplo de declaração de missão de empresa do setor hoteleiro:


(“CC + “CV”) – No nosso site podem ser encontradas algumas declarações de missão de empresas.

4.2.2. valoRes

Os valores definem como a empresa ira lidar com determinadas situações. São considerados basilares para a orientação das decisões dos seus executivos e de seus funcionários. Os valores devem ser claros e bem explicados não dando margem a duvidas de o que a empresa valoriza e de como ela espera que seus funcionários ajam em determinadas situações. Segue abaixo exemplo de declaração de valores de uma empresa multinacional de grande porte:

MISSÃOSer a empresa líder em “franchinsing” internacional de hotéis, obtendo os maiores retornos para os seus clientes, investidores, empregados e “shareholders”. Na consecução destes objetivos, mantendo sempre os mais altos padrões de ética, integridade e pro�ssionalismo.


(“CC + “CV”) – No nosso site podem ser encontradas algumas declarações de declaração de valores de empresas.

4.2.3. visão de FutuRo

Normalmente e encontrada no plano estratégico da empresa próximo a declaração de Missão e dos Valores da empresa. Define qual patamar de desenvolvimento a empresa pretende

VALORES DESCRIÇÃO IDÉIAS SÍNTESESRESPEITO A Colgate age e busca obter o

respeito dos funcionários, clientes, shareholders e parceiros de negócio. A Colgate tem comprometimento em agir com compaixão, integridade e honestidade em todas as situações, para respeitar as opiniões alheias e valorizar as diferenças. A empresa é também comprometida com a proteção do ambiente global e o crescimento das comunidades onde seus colaboradores vivem e trabalham.

- Responsabilidade Social e Ambiental

- Valorização do Pro�ssional

- Respeito pelo cliente e parceiros de negócios

- Respeito pelos shareholders

TRABALHO em EQUIPE

Todos os colaboradores da Colgate são partes de um Time Global, comprometidos em trabalhar juntos nos diversos países e pelo mundo. Somente pelo compartilhamento de idéias, tecnologias e talentos a empresa poderá obter o crescimento sustentável de sua rentabilidade.

- Compartilhamento de Ativos Tangíveis e Intangíveis

MELHORIA CONTÍNUA

A Colgate é comprometida com a melhoria diária em tudo o que faz individualmente e como time. Para melhor entender as expectativas dos consumidores e colaboradores e trabalhar continuamente para inovar e melhorar produtos, serviços e processos.

- Comprometimento com a melhoria e Inovação


atingir nos próximos anos.

(“CC + “CV”) – No nosso site podem ser encontradas algumas declarações de visão de futuro de empresas.

4.2.4. FatoRes cRíticos de sucesso

Fatores Críticos de Sucesso são os vetores que uma vez atingidos afetam de forma contundente o “core business” da organização, ou seja, são eles valores ou bens tangíveis ou intangíveis necessários ao sucesso da instituição. Cada organização possui um numero de fatores críticos de sucesso que estão intimamente ligados ao tipo de negocio da instituição, a seus objetivos estratégicos e seus valores.

Nesta fase será feita uma adequação do planejamento estratégico à gestão de riscos, para o que se faz necessária a determinação dos fatores críticos de sucesso. A análise do “Core Business” e dos Fatores Críticos de Sucesso da empresa são realizados através de levantamento no Planejamento Estratégico da Empresa, “anamnese” junto ‘a alta gestão e outras fontes de consulta e documentações, tais como consulta ao site da própria empresa.

Abaixo segue uma relação de fatores críticos de sucesso de uma

VISAO de FUTUROSer reconhecida como a maior gerenciadora de riscos do Brasil e ser uma das três maiores nos principais países da América Latina nos próximos cinco anos.


empresa como exemplo.

(“CC” + “CV”) – No nosso site pode ser encontrado uma relação de listas de Fatores Críticos de Sucesso (FCS) de empresas de diferentes segmentos que pode ser útil no processo de definição de (FCS) da sua empresa.

FATORES CRÍTICOS DE SUCESSO1. IMAGEM INSTITUCIONAL;2. EXCELÊNCIA NO ATENDIMENTO;3. CAPACIDADE ORGANIZACIONAL;4. CAPACIDADE DE PRONTO ATENDIMENTO;5. SEGURANÇA;6. LOCALIZAÇÃO GEOGRÁFICA;7. CLIMA DE CORDIALIDADE;8. SATISFAÇÃO DO CLIENTE;9. VALORIZAÇÃO PELO MERCADO10. CONFORTO11. PRATICIDADE12. COMPROMETIMENTO13. PROATIVIDADE14. VALORIZAÇÃO DO CAPITAL HUMANO

Obs: Os fatores críticos de sucesso acima descritos são de uma empresa do setor hoteleiro e foram colhidos durante trabalho de analise de risco e de confeccao de Plano Diretor de Gestão de Risco Corporativo.


4.3. avaliação dos Riscos

4.3.1. Riscos estRatéGicos

Riscos Estratégicos são os riscos que incidem diretamente sobre os Fatores Críticos de Sucesso e sua concretização podem causar consequências desastrosas para organização em questão.

Os Riscos Estratégicos serão definidos a partir dos Fatores Críticos de Sucesso e com base em entrevistas com dirigentes da empresa nos mais variados níveis. Novamente a Análise do “Core Business”, dos processos macros de forma genérica e de estatísticas de sinistralidade bem como relatórios de riscos de consultorias especializadas e “anamnese” junto a alta gestão serão de grande valia para a definição dos Riscos Estratégicos da empresa.

E interessante mostrar a diferença entre risco, ameaça e vulnerabilidade para evitar-se erros conceituais na fase de confecção do Plano Diretor de Gestão de Risco Corporativos. Entretanto não se constitui nenhum pecado capital confundir alguns riscos com ameaças. Vulnerabilidade e uma deficiência no processo, nos sistemas, nos recursos humanos empregados etc... que permitam a concretização dos riscos a que a organização esta exposta. Contudo, risco e ameaça são fatores intimamente ligados, as vezes não sendo clara a sua distinção. Enquanto ameaça esta intimamente ligada ao vetor que a conduz, o risco esta intimamente


ligado a sua concretização. Exemplificando teríamos algo do tipo: “Hackers ameaçam invadir os sistema”:

- Ameaça: Invasão do Sistema

- Riscos: “System Disruption”, “Phishing”, “Sniff” etc...

Quando definimos os riscos estratégicos para a confecção de Plano Diretor de Gestão de Risco Corporativo é muito importante saber a sua origem estratégica dos mesmos que por vezes podemos encontrar nestas origens algumas ameaças elencadas anteriormente. Destacamos que, com a visualização da origem do risco, podemos identificar os principais pontos onde o processo de gestão de risco e de segurança deverão ser focados, estabelecendo assim os diversos meios de proteção, sejam eles humanos, técnicos ou organizacionais.

Na realidade tal discussão filosófico-acadêmica mostra-se inócua e não agrega valor algum de forma pratica. O que importa é definir a origem estratégica dos riscos com precisão e definir estratégias exeqüíveis para evitar a sua concretização. Cabe ainda lembrar que o gestor deve preocupar-se em trabalhar somente com os riscos estratégicos, caso contrario ele terá uma lista gigantesca de riscos que será impossível de gerenciá-la, gastando assim energia com o que não será o foco principal da sua política de gestão de riscos.

A fase de definição da origem estratégica dos riscos mostra-se bastante critica, pois a inclusão errônea de um risco na lista de riscos estratégicos vai gerar todo um processo que poderá demandar um gasto desnecessário de tempo, recursos financeiros, de energia e de


perda de foco com um risco que não apresenta nenhuma ameaça a qualquer fator critico de sucesso da organização em questão.

Deve-se buscar a todo custo a compreensão dos riscos e sua origem, buscando descobrir e classificá-los de forma a definir os riscos estratégicos para diminuir o universo a ser trabalhado. Saber a real origem dos riscos de forma clara e consistente é fundamental para a eficácia da gestão de risco.

Abaixo segue uma relação de riscos estratégicos de uma empresa como exemplo:

RISCOS ESTRATEGICO ORIGEM ESTRATÉGICA DOS RISCOS1. Assalto - Mercado paralelo para os produtos e matéria-prima;

- Impunidade por parte do Poder Público (investigativa e repressiva);- Falha na segurança;- Atratividade das Instalações;- Atratividade dos bens dos hóspedes;- Facilidade de acesso ao site e de rotas de fuga;

4. Danos à Veículos - Falha na segurança;- De�ciência no controle de veículos;- Impunidade- Grande movimentação- Ausência de normas e procedimentos aos manobristas- Ausência de treinamento aos manobristas

5. Seqüestro de Executivos - Localização do Empreendimento;- Atratividade das instalações e veículos (ostentação);- Proximidade de rotas de fuga;- Falha na segurança / Rotina;- Mecanismos de segurança de�cientes (ausência de política de orientação ao VIP mais consistentes).

2. Furto Interno - Falha na segurança;- Atratividade dos produtos no Mercado Paralelo;- Di�culdade para o controle- Impunidade

3. Vandalismo - Descontentamento por parte do público interno;- Falha na segurança;- Vulnerabilidade das instalações

6. Incêndio - Nível de concentração de produtos com alto potencial in�amável;- Ausência de uso de produtos não in�amáveis na arquitetura das instalações;


(“CC” + “CV”) – No nosso site pode ser encontrado uma relação de listas de Riscos Estratégicos de empresas de diferentes segmentos que pode ser útil no processo de definição de Riscos Estratégicos da sua empresa.

4.3.2. QuantiFicação dos Riscos

Nesta fase do planejamento a empresa baseada nos dados do diagnóstico inicial busca quantificar os riscos que afetam de forma direta ou indireta os seus Fatores Críticos de Sucesso, ou seja, define a probabilidade e o nível de impacto dos Riscos Estratégicos.

É necessária uma avaliação precisa das ameaças, a fim de que possam ser determinadas quais as medidas ou condutas mais adequadas a serem tomadas para as respectivas situações.

É necessário que haja uma adequação e coerência entre as medidas e as características físicas e conjunturais da empresa. Para tal é mister que a definição do problema seja coerente com a projeção das medidas preventivas, coercitivas, contingenciais ou corretivas para solucioná-lo.

Para se definir e delimitar o problema deve se levar em consideração os seguintes aspectos básicos:

1. As ameaças que afetam o patrimônio quer sejam elas reais ou


potenciais;

2. A probabilidade de estas ameaças virem a se concretizar;

3. O real impacto sobre o patrimônio, de forma a buscar o real dimensionamento das perdas tangíveis e intangíveis .

A metodologia utiliza uma forma de quantificação a qual é fundamental para a determinação da relação custo X benefício e principalmente sensibilizar os decisores, quanto ao verdadeiro impacto financeiro que a empresa terá, caso os riscos venham a concretizar-se. Além disto visa encontrar soluções para se minimizar ou reduzir as chances de concretização das ameaças, cujas conseqüências, em última instância, poderão paralisar os negócios da empresa.

4.3.3. Métodos de anÁlise de Riscos

A avaliação dos riscos tem como principal objetivo determinar a probabilidade do risco vir a se concretizar e quais as principais conseqüências dele advindas.

Quando se possui um histórico com um universo amostral adequado podemos utilizar processos objetivos por meio de ferramentas estatísticas, contudo quando não temos uma base de dados suficiente ou sem a devida confiabilidade podemos parametrizá-los através de processos subjetivos. Tais processos


embora subjetivos são processos científicos e apresentando relativa confiabilidade. Dentre eles podemos citar os métodos de Mosler, T – Fine e de Analise de Risco Parametrizada. Quando temos a opção de utilizar o método estatístico este devera ser preferido, uma vez que o grau de assertividade é maior. Tanto os métodos de Mosler quanto o de T-Fine só serão descritos sumariamente no livro, mas estarão a disposição no site inclusive com exemplos, bem como o estatístico. No livro será adotado o Método de Analise de Risco Parametrizada, uma vez que o principal objetivo e construir a Matriz de Risco. Alguns autores, erroneamente, designam tal ferramenta como Matriz de Vulnerabilidade o que não tem lógica, uma vez que tal ferramenta estima o impacto e a probabilidade de concretização dos riscos. Vulnerabilidade esta ligada diretamente aos sistemas de proteção, normas e procedimentos o que não e o caso.

4.3.3.1. Método t – Fine

Na metodologia em questão, a análise de riscos é obtida por meio de uma fórmula simples, na qual os riscos são parametrizados de forma subjetiva, e terá como resultado o Grau de Criticidade (GC), que será confrontado com um valor tabelar o qual foi obtido através de estudos estatísticos anteriormente. Por sua vez este fator determina a urgência da tomada de decisão, ou seja, se o risco deverá ser tratado com maior ou menor brevidade. Este


artifício faz com que seja diminuído o grau de subjetividade do processo.

Embora seja subjetivo, a metodologia é científica e está embasada em grades de probabilidades, onde caso a empresa não possua histórico de sinistros, o estudo terá como base dados e avaliações subjetivas por comparação com um consistente e vasto banco de dados referencial que foi utilizado para a definição das tabelas.

A fórmula abaixo descrita possibilita o cálculo do Grau de Criticidade:

Conseqüência (C): são os impactos mais prováveis de ocorrer caso o evento venha a concretizar-se.

Exposição (E): é a freqüência com que este evento ou ameaça costuma manifestar-se na empresa ou em empresas similares.

Probabilidade (P): é a real chance do evento vir a acontecer dentro de uma escala de tempo.

Onde:

C = Conseqüência

E = Exposição

P = Probabilidade

As variáveis da fórmula apresentada anteriormente poderão ser encontradas nas tabela encontradas no site, bem como

Gc = c x e x P


exemplos explicativos.

4.3.3.2. Método de MosleR

Neste método, a análise é elaborada sob os pontos de vista quantitativo e qualitativo, enfocando a atividade fim da empresa. O objetivo de tal método é servir de base para a identificação, análise e evolução dos fatores que podem influir na manifestação e concretização da ameaça, projetando qual será o impacto em caso de concretização, pela classe e dimensão de cada risco.

Este método está calcado em quatro fases distintas e seqüenciais, ou seja, uma fase depende da outra, para que se possa ter uma visão global do risco. São elas:

Definição do Risco – Objetiva levantar e identificar qual será o risco a ser analisado, integrado com determinada atividade da empresa;

Análise do Risco – É baseada em seis critérios, voltados para a influência direta da materialização da ameaça estudada, com uma determinada atividade crucial para a empresa;

Evolução do Risco – Tem como objetivo quantificar o risco analisado;

Classificação do Risco – Consiste, em comparar o valor da Evolução do Risco quantificada, na tabela descrita a


seguir, a fim de que possamos classificar o risco estudado, e conseqüentemente, priorizar os esforços e investimentos em Gestão de Riscos.

As diversas tabelas de referencia, bem como o passo a passo detalhado deste processo encontra-se no nosso site.

4.3.3.3. Método de anÁlise de Risco PaRaMetRizada

Com a grande vantagem de aproveitar o conhecimento dos 2 métodos anteriores, este método insere alguns novos elementos e leva em consideração a definição de 2 grandes componentes: a probabilidade e o impacto por meio da Quantificação do

Impacto (QI) e da Estimativa da Probabilidade (EP). A Quantificação do Impacto (QI) e uma media aritmética ponderada que leva em consideração os danos causados pela concretização do risco nos seguintes campos: Função, Substituição, Imagem, Extensão, Perda e Legislação que serão explicados cada um de “per si” posteriormente.

A segunda grande componente e a Estimativa da Probabilidade

(EP) que e composta por 3 fatores: a Probabilidade (Pb), a Exposição (Ep) e o Índice de Vulnerabilidade (IV); sendo EP = Pb X Ep X IV. Geralmente, confunde-se a probabilidade referente a uma circunstancia (Pb) com o seu valor geral que se obtém quando realiza-se o calculo da Estimativa da


Probabilidade (EP) que ocorre quando a mesma e multiplicada pelas demais componentes: Ep e IV.

Pb e a probabilidade de um risco vir a concretizar-se em uma determinada circunstancia. Por exemplo: facilidade de pegar vírus acessando a internet, assalto a estabelecimento comercial na Cidade de São Paulo durante o dia. Normalmente, nos não temos como influenciar neste fator. Quase sempre e inerente ao meio que estamos inseridos, referente a determinada região ou ambiente, tais como: probabilidade de seqüestro no Rio de Janeiro, probabilidade de roubo de carro na grande São Paulo etc....

O critério da Exposição (EP) mede quantas vezes fica-se exposto a determinado risco. Por exemplo a Probabilidade (Pb) de ser atropelado atravessando a Rodovia Presidente Dutra e “X”, mas se eu atravesso 10 vezes por dia, minha exposição e maior de quem atravessa só uma vez por dia. Por vezes, não se consegue influenciar neste fator, uma vez que a natureza do negocio nos forca a determinado nível de exposição.

Por ultimo temos o Índice de Vulnerabilidade (IV) que refere-se a efetividade dos recursos empregados para diminuir a vulnerabilidade ao risco. Por exemplo 2 lojas de conveniência na mesma avenida, sendo que uma possui circuito fechado de TV e a outra não. O risco de furto nesta avenida e igual para as duas: Pb. Contudo, a probabilidade (EP) da loja que possui CFTV ser furtada e menor, pois seu Índice de Vulnerabilidade (IV) e menor: EP = Pb X Ep X IV. Logo, por meio das ferramentas de


Analise Parametrizada consegue-se influenciar diminuindo-se o IV e por conseguinte no resultado da probabilidade final obtida: EP.

Fase 1 – Quantificação do Impacto (QI)

- Nesta fase definiremos os fatores que influenciam na definição e quantificação do grau de impacto, para tal usaremos como base alguns fatores definidos por Mosler e outros definidos pelo autor, aos quais atribuiremos pesos e procederemos a sua media aritmética a fim de chegarmos a um valor de referencia. Abaixo a formula que descreve tal quantificação:

- Quantificação do Impacto (QI)

A seguir estão descritos os critérios de avaliação, conforme se segue:

• Critério da Função (F): projeta as conseqüências negativas ou danos que podem alterar a atividade principal da Empresa. Define o quanto afeta o “Core Business” da empresa, quanto afeta os Fatores Críticos de Sucesso ligados a operação da

Quanti�caçãodo Impacto

QI =

Função(F)

F x 2 + S x 2 + I x 3 + E x 2 + P x 3 + L x 2

14

Faixas de ImpactoClassi�cação

Conceito Insigni�cante Leve Moderado Severo Catastró�co

Substituição(S)

Imagem(I)

Extensão(E)

Perda(P)

Legislação(L)

Índice (faixa) 1,00 - 1,50 1,51 - 2,50 2,51 - 3,50 3,51 - 4,50 4,51 - 5,00

Índice (faixa)


empresa, dentro da seguinte gradação:

• Critério da Substituição (S): avalia qual o impacto da concretização da ameaça sobre os bens, ou seja, quanto os bens atingidos podem ser substituídos. Com que grau de facilidade eles podem ser substituídos.

• Critério da Imagem (I): uma vez o risco materializado, mede a perturbação e os efeitos psicológicos que o risco poderá causar para a imagem da Empresa. Define o quanto a imagem será afetada publicamente.

Muito Gravemente 5

Gravemente 4

Moderadamente 3

Levemente 2

Muito Levemente 1

ESCALA PONTUAÇÃO

Muito Di�cilmente 5

Di�cilmente 4

Sem Muita Di�culdade 3

Facilmente 2

Muito Facilmente 1

ESCALA PONTUAÇÃO

Muito Gravemente 5

Gravemente 4

Moderadamente 3

Levemente 2

Muito Levemente 1

ESCALA PONTUAÇÃO


• Critério da Extensão (E): mede o alcance e a extensão que o dano causa para a Empresa publicamente. Define o alcance em termos de efeito publico da concretização do risco.

• Critério da Perda (P): mede quais serão as perdas financeiras causadas pela concretização do risco. Define a componente financeira em relação ao grau de suportabilidade por parte da empresa. Quanto a empresa e afetada pela perda financeira.

• Critério da Legislação (L): uma vez o risco materializado, mede a perturbação e os efeitos jurídicos causados pela concretização do risco. O quanto tais efeitos afetarão a empresa, desde o pagamento de multas insignificantes ate a proibição do desenvolvimento de sua atividade fim.

De Caráter Internacional

De Caráter Nacional

De Caráter Regional

De Caráter Local

De Caráter Individual

5

4

3

2

1

ESCALA PONTUAÇÃO

Muito Gravemente 5

Gravemente 4

Moderadamente 3

Levemente 2

Muito Levemente 1

ESCALA PONTUAÇÃO


Fase 2 – Estimativa da Probabilidade (EP)

- Nesta fase definiremos os fatores que influenciam na quantificação da probabilidade de determinado risco vir a concretizar-se. Para tal seguiremos o mesmo conceito de tabelas referenciais aproveitando os conceitos já definidos por Mosler (Critério da Agressão) e T-Fine (Critério da Exposição). Alem disto, introduziremos o conceito de Índice de Vulnerabilidade – o índice que mede a eficiência dos sistemas de proteção no que concerne a capacidade destes de evitar a concretização de determinado risco. Este índice pode ser estimado pelas tabelas que encontram-se adiante neste capitulo ou pode ser obtido com maior precisão “downloadando-se” as Tabelas de Analise Parametrizada do nosso site, realizando-se um trabalho de verificação / auditagem “in loco” e aplicando-se o valor obtido na media dos sistemas. Embora tal procedimento seja muito mais trabalhoso, a precisão no resultado e considerável. Ademais, a aplicação dos Formulários de Analise de Risco Parametrizada possibilita a visualização de possíveis soluções para os problemas existentes uma vez que todo parâmetro de

Muito Gravemente 5

Gravemente 4

Moderadamente 3

Levemente 2

Muito Levemente 1

ESCALA PONTUAÇÃO


nível 5 foi baseado em uma solução considerada uma referencia ou “Best Practice” pelo mercado.

Abaixo a formula que define tal quantificação:

- Estimativa da Probabilidade (EP):

• Critério da Probabilidade (Pb):

Mede a possibilidade do dano ou risco vir a acontecer, tendo em vista as características conjunturais e físicas da Empresa, Cidade e Estado, onde ela se encontra.

Para a definição do Pb tem-se 2 formas. A primeira delas e quando já se possui o calculo estatístico da probabilidade, normalmente este e baseado em estatísticas oficiais ou e feito por meio de histórico confiável das ocorrências e a outra forma e quando tem que ser avaliado por meio de estimativa subjetiva.

No primeiro caso, onde tem-se dados oficiais ou baseados em estatística tradicional: calculo da media estatística (percentual) – faz-se necessário alinhar a informação estatística inicial ao Pb da formula. Tal procedimento e bastante simples e ocorre por meio de interpolação baseado em tabela de referencia e regra de três simples. Este procedimento basicamente transforma o dado estatístico inicial bruto no Pb a ser utilizado na formula.

ESTIMATIVA DA PROBABILIDADE

125

100 x (Probabilidade X Exposição X Índice de Vulnerabilidade)EP=


A Tabela Referencial de Interpolação visa facilitar o calculo e alinhar o resultado inicial com o da formula, permitindo que o mesmo possa ser utilizado. Por vezes, permite a transformação direta quando as estatística iniciais são números múltiplos de cinco.

Segue modelo de Tabela Referencial de Interpolação:

TABELA REFERENCIAL DE INTERPOLACAO

100 5,00

95 4,75

90 4,50

85 4,25

80 4,00

75 3,75

70 3,50

65 3,25

60 3,00

55 2,75

50 2,50

45 2,25

40 2,00

35 1,75

30 1,50

25 1,25

20 1,00

15 0,75

10 0,50

5 0,25

0 0,00


Exemplo Base 1:

Suponhamos que a probabilidade de assalto em estabelecimento comercial na Grande São Paulo e de 15% ao ano.

Neste caso e bastante simples, haja vista que a probabilidade por ser múltipla de cinco já existe na tabela. Verifica-se então pela tabela que Pb = 0,75

Contudo, por vezes, a probabilidade procurada não existe na Tabela Referencial de Interpolação. Neste caso, deve-se proceder ao uso da Regra de Três Simples.

Exemplo Base 2:

Suponhamos que a probabilidade de roubo de carro em Blumenau e de 3%.

Neste caso a probabilidade desejada não se encontra na tabela. Devendo-se proceder da seguinte forma:

20 1,00

15 0,7510 0,50

5 0,25

0 0,00

5 0,25

0 0,00


Regra de Três Simples:

100% 5,00

3% “X”

X = 0,15

Ou seja,

A outra situação ocorre quando não se possui dados estatísticos confiáveis, ou na pior das hipóteses, nenhum dado estatístico sobre determinado risco. Neste caso, deve-se usar a Tabela

Referencial de Probabilidade. Neste caso, o uso do “feeling” para classificar de forma subjetiva e definir o Pb.

100 5,00

95 4,75

X=100%

3% x 5,00

Pb = 0,15


Neste caso o numero encontrado na tabela já e o Pb a ser utilizado na formula.

• Critério da Exposição (Ep):

Mede o grau que determinada ação ou operação esta exposta a um determinado risco. Por vezes a probabilidade de determinado evento ocorrer em determinada região e idêntica, contudo o grau de exposição de determinado ator e muito maior, fazendo com que se altere significativamente a sua Estimativa

da Probabilidade (EP).

Poderíamos exemplificar comparando 2 proprietários de automóveis (“A” e “B”) da mesma marca e modelo, morando na mesma rua onde os dados estatísticos (Pb) de roubo de veiculo de determinado modelo naquele bairro seja “X” – igual para ambos. Contudo, “A” possui um estilo de vida extremamente recatado, sendo que raramente sai de carro. Enquanto “B” utiliza seu veiculo com freqüência. Embora, ambos estejam sob as “mesmas estatísticas circunstanciais” (Pb) no que diz respeito aos dados estatísticos de roubo de veículos, o fator Exposição

Escala Referencial TeóricoPontuação (Pb)

Tabela Referencial de Probabilidade

Muito Alta 5

Alta 4

Normal 3

Baixa 2

Muito Baixa

- Espera-se que aconteça

- Possível ocorrência

- Coincidência se ocorrer

- Remota possibilidade

- Extremamente remota1


(Ep) influencia significativamente na obtenção da Estimativa

da Probabilidade (EP), ou seja, na obtenção do resultado final.

A tabela que segue quantifica quanto determinado ator expõe-se a determinado risco.

• Índice de Vulnerabilidade (IV):

Mede o quanto determinado patrimônio ou operação esta vulnerável a determinado tipo de risco. Define o grau de efetividade dos sistemas de proteção, lavando-se em conta os meios tecnológicos e humanos empregados para tal, assim como o processo, a sua normatização, aderência e aplicabilidade. Este índice pode ser obtido de 2 formas: pela aplicação das Planilhas

de Analise de Risco Parametrizada ou pelo uso da Tabela

Referencial do Calculo do Índice de Vulnerabilidade.

O ideal e que o Índice de Vulnerabilidade seja obtido pelo uso da aplicação das Planilhas de Analise de Risco Parametrizada constantes no site podendo ser “downloadadas” facilmente. Embora tal procedimento demande mais tempo que utilizar a Tabela Referencial do Calculo do Índice de Vulnerabilidade,

Escala Pontuação

Tabela Referencial de Nível de Exposição

Muito Freqüentemente 5

Freqüentemente 4

Ocasionalmente 3

Raramente 2

Muito Raramente 1


a sua precisão e bem maior alem de orientar as medidas a serem tomadas para a melhoria dos sistemas avaliados. De maneira geral podemos dizer que apos a aplicação das mesmas, deve-se tirar a media aritmética dos sistemas que foram analisados e teremos o Índice de Vulnerabilidade. O site possui um dispositivo que realiza automaticamente este calculo.

A seguir seguem 2 exemplos de Planilhas de Analise de Risco

Parametrizadas que são usadas pelos “Crash Numbers” para fazer a coletânea de dados no trabalho de campo. Por meio delas e possível verificar o nível de efetividade dos sistemas e processos da empresa. O resultado de sua compilação gerara a Tabela de Analise de Risco Parametrizada.


AREA

GRUPO-TIPO:

ÁREAS E INSTALAÇÕES

SISTEMAS DE BARREIRA PERIMETRAL

VALOR GRAU

5

4

3

2

1

PARAMETRIZAÇÃO

Qualidade/Estrutura

a) A empresa possui barreira periférica constituida de alvenaria tipo “muro de fábrica” (4 metros ou mais de altura) com espessura do tipo “tijolo deitado” ou bloco de contreto em torno de 40cm de largura, possuindo vigas de sustentação a cada 4 metros ou menos.

b) A empresa possui barreira periférica constituida de alvenaria tipo (2,5 metros ou mais de altura) com espessura de um muro normal ou de bloco de contreto normal, possuindo vigas de sustentação a cada 5 a 8 metros.

c) A empresa possui barreira periférica constituida de placas de concreto ou tijolos comerciais (2,0 metros ou mais de altura).

e) A empresa possui barreira constituida de placas de maderite ou cercas de arame (tipo industrial ou não).

d) A empresa possui barreira periférica constituida de placas de concreto relativamente antigas ou tijolos comerciais sem embolso em 1 ou nos 2 lados


(“CC” + “CV”) – No site pode ser feito o “download” das

planilhas para que possam ser aplicadas na verificação dos

sistemas e processos existentes.

Cabe ressaltar que devido a simplicidade das Planilhas de

Analise de Risco Parametrizada, sua aplicação tem-se mostrado muito adequada e eficiente para a realização dos trabalhos de consultoria e auditoria tanto internas quanto externas uma vez que não se necessita de muito conhecimento técnico sobre o assunto para se chegar as conclusões sobre o que será analisado. Desta forma consegue-se diminuir custos pela substituição de profissionais de nível Sênior por profissionais de nível Junior nas fases iniciais da analise sem perder qualidade. Assim preserva-se aqueles para os trabalhos de revisão de relatórios e supervisão enquanto os Juniors realizam o trabalho de “Crash Numbers” (trabalho de campo).


AREA

GRUPO-TIPO:

SEGURANÇA DA INFORMAÇÃO

SISTEMAS DE BACK-UP

VALOR GRAU

5

4

3

2

1

PARAMETRIZAÇÃO

Armazenagem

a) Todos backups �cam instalados em salas cofres e cópias em sites remotos.

b)Apenas back-ups de sistemas de “missão crítica” �cam instalados em salas cofres e com cópias em site remotos.

c) Todos backups �cam instalados em areas proprias, climatizadas.

e) Não possui local especí�co para mídias de back-up e nem cópias remotas.

d) Apenas back-ups de sistemas de “missão crítica” �cam instalados em areas próprias, climatizadas.


Outra característica e a universalidade da metodologia que permite a elicitacao do conhecimento das mais diversas áreas para a confecção das planilhas, necessitando somente dos especialistas das áreas numa fase inicial para a confecção das mesmas.

A Tabela de Análise de Risco Parametrizada e o resultado da compilação das Planilhas de Análise de Risco Parametrizadas

que atualmente cobrem 4 áreas especificas: Áreas e Instalações, Recursos Humanos, Segurança da Informação e Logística (Transporte Rodoviário de Cargas) – apresentando em torno de 1.600, 400, 2.000 e 15.000 parâmetros respectivamente. Ela fornece um “overview” dos diversos sistemas e seu respectivo nível de efetividade.


Segue exemplo de Tabela de Análise de Risco Parametrizada:

EFICÁCIA DOS SISTEMAS ANALISADOS(Sites Inspecionados)SISTEMAS

AVALIADOSA B C D E

Índice deVulnerabilidade

(IV)

BARREIRAPERIMETRAL

OUTRASAÇÕES

ELETRICIDADEILUMINAÇÃO

SEGURANÇAPATRIMONIAL

CIRCUITOFECHADO TV

SEGURANÇAELETRÔNICA

SEGURANÇAFÍSICA

CONTROLETERCEIROS

CONTROLEDE VEÍCULOS

CONTROLEDE MATERIAL

CONTROLEDE ACESSO

BARREIRAINTERNA

1,80

2,20

2,46

3,00

2,80

2,75

1,45

1,20

2,95

3,00

2,90

3,00

2,54

2,00

2,00

3,00

1,10

4,40

1,40

1,40

2,90

1,50

1,50

2,80

3,00

2,75

2,30

2,20

1,40

3,00

2,85

2,90

1,40

1,25

2,90

3,00

3,00

2,80

2,59

2,30

2,40

3,00

2,40

2,30

2,90

1,20

1,20

2,95

2,40

4,90

2,80

2,44

2,00

2,40

3,00

2,90

2,40

2,85

1,30

1,00

2,20

2,40

4,90

2,90

2,48

F

2,00

2,10

3,20

3,00

2,75

2,80

1,40

1,30

2,90

4,90

2,80

2,55

2,36


Outra forma possível e a utilização de código de cores ao invés de números. Tal procedimento facilita a visualização e permite uma identificação rápida dos sistemas mais vulneráveis.

Quando utiliza-se a Tabela de Análise de Risco Parametrizada

pode-se utilizar também o Quadro Referencial de

Necessidade Corretiva que fornece uma referencia entre o Nível de Vulnerabilidade e sua Necessidade Corretiva. Desta

EFICÁCIA DOS SISTEMAS ANALISADOS(Sites Inspecionados)SISTEMAS

AVALIADOSA B C D E

BARREIRAPERIMETRAL

OUTRASAÇÕES

ELETRICIDADEILUMINAÇÃO

SEGURANÇAPATRIMONIAL

CIRCUITOFECHADO TV

SEGURANÇAELETRÔNICA

SEGURANÇAFÍSICA

CONTROLETERCEIROS

CONTROLEDE VEÍCULOS

CONTROLEDE MATERIAL

CONTROLEDE ACESSO

BARREIRAINTERNA

MÉDIA DOSSISTEMAS

MÉDIA DOSSISTEMAS

INSTALADOSF


forma permite um entendimento prático e rápido da Tabela

de Analise de Risco Parametrizada, quer ela esteja expressa por cores ou números, permitindo facilmente a visualização dos riscos que são agrupados de forma lógica, sistemica e devidamente classificados.

Quando são usadas as tabelas e Planilhas de Analise de

Risco Parametrizada e importante lembrar para não se confundir o valor da Media dos Sistemas que e obtida através da media aritmética pura e simples da soma dos sistemas que foram avaliados e serve para o calculo final do Índice de

Vulnerabilidade (IV), mas que não representa o IV. Índice de

Vulnerabilidade (IV) e calculado por uma formula especifica e que o site executa os cálculos automaticamente.

Intervalo(Média dosSistemas)

1,00 – 1,50

1,51 – 2,00

2,01 – 2,50

2,51 – 3,00

3,01 – 3,50

3,51 – 4,00

4,01 – 4,50

4,51 – 5,00

BAIXÍSSIMA

MUITO BAIXA

BAIXA

SUPORTÁVEL

ACEITÁVEL

REGULAR

BOA

MUITO BOA

QUASE TOTAL

ALTÍSSIMA

ALTA

ALGUMA

POUCA

MUITO POUCA

POUQUÍSSIMA

QUASE NENHUMA

Código de CorNível de

Vulnerabilidade

QUADRO REFERÊNCIAL DE NECESSIDADE CORRETIVA

NecessidadeCorretiva


Caso não se tenha esta disponibilidade de tempo ou Planilhas

de Analise de Risco Parametrizada especificas para determinado tema ou área de avaliação, pode-se estimar de forma bem mais rápida utilizando-se a Tabela Referencial de

Calculo do Índice de Vulnerabilidade. Contudo, cabe lembrar que a precisão deste processo e significativamente afetada. Segue modelo da referida tabela:

Suporte Tecnológico (ST)

Quantidade Qualidade

Ideal

Su�ciente

Suportável

Insu�ciente

Inexistente

1

2

3

4

5

1

2

3

4

5

=

=

+

+

/3

IV

Quantidade+

Qualidade

2

Excelente

Boa

Razoável

Ruim

Inexistente

Recursos Humanos (RH)

Quantidade Treinamento

Ideal

Su�ciente

Suportável

Insu�ciente

Inexistente

1

2

3

4

5

1

2

3

4

5

Excelente

Boa

Razoável

Ruim

Inexistente

Normas / Procedimentos (NP)

Existência Respeito

Ideal

Su�ciente

Suportável

Insu�ciente

Inexistente

1

2

3

4

5

1

2

3

4

5

Excelente

Boa

Razoável

Ruim

Inexistente

SuporteTecnológico

SuporteTecnológico

=

Quantidade+

Treinamento

2

RecursosHumanos Recursos

Humanos

=

Existência+

Respeito

2

Normas/Procedimentos

Normas/Procedimentos

3

2

ST + RH + NP

TABELA REFERENCIAL DE CALCULO DO INDICE DE VULNERABILIDADE

Índice de

Vulnerabilidade

=


Cabe lembrar que o nível de distorção e ainda maior quando usa-se o “feeling” ao invés de utilizar-se a Tabela Referencial

de Calculo do Índice de Vulnerabilidade ou as Planilhas de

Analise de Risco Parametrizada.

Calculado o Índice de Vulnerabilidade (IV), passa-se ao passo seguinte: a definição da Estimativa da Probabilidade

(EP). Nesta fase, são levadas em consideração as 3 variáveis ou critérios já previamente definidos: Probabilidade (Pb), Exposição (Ep) e o Índice de Vulnerabilidade (IV).

Conforme modelo matemático que se segue, obtém-se a Estimativa da Probabilidade (EP):

MODELO MATEMÁTICO

Índice de Vulnerabilidade (IV):

Índice de Vulnerabilidade (IV):

Somatória dos Índices:(Suporte Tecnológico + Recursos Humanos + Normas / Procedimentos)

Suporte Tecnológico Recursos Humanos

/2

=

/2

=

/2

=

==

/2

=

EP = (Pb X Ep X I V) x 100 / 125

100 x (Probabilidade X Exposição X Índice de Vulnerabilidade)

125

Normas /Procedimentos

(Quantidade +Qualidade)

Índice doSuporte Tecnológico

Índice doRecursos Humanos

Índice das Normase Procedimentos

(Quantidade +Treinamento)

Pb(Probabilidade)

Ep(Exposição)

(Existência + Respeito)

Probabilidade Exposição

- Aplicação da Tabela Referencial do Índice de Vulnerabilidadeou

- Resultado Direto da Media Aritmética das Planilhas de Analise Parametrizada

-Tabela Referencial de Probabilidade

ou- Tabela de

Interpolação

-Tabela Referencial de

Nível de exposição

EP =


(“CC” + “CV”) – No nosso site pode ser encontrado uma

relação de analises utilizando o método da Analise

Parametrizada

4.3.4. conFecção da MatRiz de Riscos

A Matriz de Riscos é uma ferramenta voltada para assessorar os processos decisórios, que permite fazer uma priorização coerente da alocação dos recursos a serem investidos no processo de Gestão dos Riscos Corporativos. Ela fornece um “overview” dos riscos estratégicos, colocando-os numa mesma matriz composta por 2 eixos: Impacto e Probabilidade.

Para a sua confecção basta pegar os Riscos Estratégicos elencados, calcular sua probabilidade e o seu grau de impacto. O desejável e que se tenha um banco de dados consistente e proceda-se ao calculo estatístico (conforme demonstrado passo a passo no site). Caso não se tenha uma base de dados consistente, pode-se usar o Método da Analise de Risco

Parametrizada tanto para a Quantificação do Impacto (QI), quanto para a Estimativa da Probabilidade (EP).

Nas empresas e muito comum não se ter os dados estatísticos necessários para o calculo da Matriz de Riscos, ou seja um histórico de ocorrências consistente. Contudo, usando-se o Método da Analise de Risco Parametrizada e possível suprir


tal deficiência de forma razoável.

A seguir temos um exemplo de cálculos de Quantificação

do Impacto (QI) e de Estimativa da Probabilidade (EP) da planta de uma industria do segmento químico para a confecção de sua Matriz de Riscos.

Quanti�cação do Impacto

Riscos / Classi�cação (Quanti�cação do Impacto – QI)

Fatores Função(F)

Assalto Incêndio Depredação Furto

Interno Seqüestro VazamentoAmbiental

Explosão

Moderado Severo Severo Leve Leve Severo Catastró�co

Imagem(I)

Extensão(E)

Perda(P)

Legislação (L)

Substituição(S)

Riscos \ Pesos

1. Assalto

2. Incêndio

3. Depredação

4.Furto Interno

5. Seqüestro

6. Vazamento

7. Explosão

F x 2

6

10

8

4

2

10

10

S x 2

6

8

8

6

8

6

10

I x 3

9

12

12

6

6

15

12

E x 2

6

8

8

4

4

10

10

P x 3

9

15

12

6

3

12

15

L x 2

4

4

6

4

2

10

10

TotalFatores

14

2,86

4,07

3,86

2,14

1,79

4,50

4,79


Índice de Vulnerabilidade (I V)

Índice de Vulnerabilidade (I V) = 2,33

Riscos


Quantidade

1. Assalto

Qualidade Quantidade Treinamento Existência Respeito

2 2 3 3 2 2

Normas / ProcedimentosRecursos Humanos (RH)

2 23


2. Incêndio

2 2 2 2 1 1

2 12


3.Depredação

3 2 3 4 3 3

2,5 33,5


4.Furto Interno

3 3 4 4 2 3

3 2,54


5. Sequestro

4 4 5 5 3 3

4 35


6. Vazamento

1 1 3 2 1 1

1 12,5


7. Explosão

1 1 3 2 1 1

1 12,5


Quanti�cação do Impacto (QI) X Estimativa da Probabilidade (E P)(Matriz de Riscos: QI X EP)

1. Assalto

2. Incêndio

3. Depredação

4. Furto Interno

5. Seqüestro

6. Vazamento

7. Explosão

3

4

2

4

1

4

4

Assalto (1)

16,8%

Moderado

Incêndio (2)

15,9%

Severo

Depredação(3)

9,6%

Severo

Furto Interno (4)

40,6%

Leve

Seqüestro (5)

9,6%

Leve

VazamentoAmbiental(6)

19,2%

Severo

Explosão (7)

9,6%

Catastró�co

3

3

2

4

3

4

2

2,33

1,66

3,00

3,17

4,00

1,50

1,50

20,97

19,92

12,00

50,72

12,00

24,00

12,00

2097 / 125

1992 / 125

1200 / 125

5072 / 125

1200 / 125

2400 / 125

1200 / 125

16,8%

15,9%

9,6%

40,6%

9,6%

19,2%

9,6%

Riscos (Pb) (Ep) (I V) (Parcial) (100/125) (EP)

Estimativa da Probabilidade (EP)de Vulnerabilidade (I V)

Probabilidade Exposição Índice de

VulnerabilidadeTotal Fator

Estimativa daProbabilidade


Matriz de Riscos

(“CC” + “CV”) – No nosso site pode ser encontrada uma

relação de analises e a construção da Matriz de Riscos

passo a passo

0 25 50 75 100%

MODERADO

INSIGNIFICANTE

QU

AN

TIF

ICA

ÇÃ

O D

O I

MPA

CT

O (

QI)

ESTIMATIVA DA PROBABILIDADE (EP)

CATASTRÓFICO*7

*2

*6

*3

*1

*4

*5


4.3.5. anÁlise de QuadRantes

A criteriosa analise dos quadrantes da Matriz de Riscos permite que algumas conclusões sejam tiradas, facilitando assim a forma de proceder ao tratamento dos riscos conforme descrito a seguir:

• As ameaças que resultam do quadrante “A” têm alta probabilidade de ocorrência e poderão resultar em impactos com perdas avaliadas entre severas e catastróficas, caso ocorram. São os riscos que exigem atenção imediata, não devendo ser poupado esforços para a solução dos mesmos. Por vezes estes riscos são inerentes a natureza do negocio.

Poderíamos exemplificar com o risco de vazamento de material radioativo no caso de uma usina nuclear ou risco de explosão numa planta química que fabrica trotil ou algum produto similar. Neste caso todos os esforços devem ser feitos a fim de reduzir a

B A

D C


vulnerabilidade dos sistemas de proteção e conscientização dos funcionários a respeito das conseqüências caso algum destes riscos venha a concretizar-se.

Alem disto, pode-se procurar a sua transferência por meio da cobertura de um seguro ou auto-seguro quando for o caso.

• No quadrante “B”, localizam-se as ameaças que devem ser monitorados rotineiramente mas com atenção, pois embora sua probabilidade de ocorrência seja relativamente baixa, o impacto financeiro poderá ser alto, entre severo e catastrófico.

Devem ser adotadas medidas voltadas para os processos a fim de inibirem tais riscos. Por vezes cabe tê-los coberto por seguro. Tendo em vista o grau de gravidade destes riscos e apropriado ter-se um Plano de Contingência e um Gabinete de Crise definido para lidar com estas situações.

Neste caso poderíamos exemplificar com o risco de explosão em uma usina nuclear, cuja sua probabilidade de ocorrência e extremamente baixa, mas sua ocorrência geraria conseqüências catastróficas.

• No quadrante “C” têm-se as ameaças com alta probabilidade de ocorrência, mas pouco impacto para Empresa. Devem ser gerenciados e monitorados de forma continua. Muitas vezes a colocação de sistemas de proteção e uma rotina de “check lists” são suficientes para o controle destes riscos.

Poderíamos exemplificar como o risco de furto de mercadorias


em um supermercado ou furtos de oportunidade que podem ser facilmente inibidos com o uso de sistemas de proteção adequados. Neste caso de solução por adoção de sistemas ou meios tecnológicos temos o aumento crescente da instalação de sistemas de CFTV (Circuito Fechado de TV) em supermercados e lojas de conveniências.

Quanto ao uso de “check lists”, podemos citar a adoção de procedimentos de conferencia de configuração sistemas ou maquinas a fim de evitar-se a quebra de pecas por funcionamento do maquinário na configuração inadequada.

Ainda podemos encontrar como solução a criação de um “lay-out” especifico que impeça ou dificulte a concretização destes riscos, tal como a transferência de produtos que apresentem maior atratividade para serem furtados das gôndolas internas do supermercado para uma área especifica ou junto aos caixas.

• No quadrante “D”, a baixa probabilidade e o pequeno impacto financeiro representam pequenos problemas e prejuízos que ocorrem de tempos em tempos. Os riscos têm uma baixa probabilidade de ocorrência e um impacto financeiro classificado como leve, porém deve-se ser bastante criterioso na sua analise.

Por vezes seus impactos financeiros diretos são baixos, mas poderemos com estes riscos nos deparar com conseqüências intangíveis, tais como danos psicológicos, morais, etc... de difícil quantificação. Neste caso, tais riscos devem ser recolocados


num quadrante que corresponda a sua real classificação.

Por este motivo a Analise de Risco Parametrizada na fase do calculo da Quantificação do Impacto (QI) contempla não só os fatores financeiros diretos, mas também outros fatores tais como: imagem, extensão, legislacao etc... a fim de fugir de uma avaliação simplória, subdimensionada, incoerente ou inadequada do risco a ser analisado.

Outro problema também enfrentado neste quadrante e que tais ameaças que ocorrem de tempos em tempos, se não forem devidamente tratadas podem aumentar sua freqüência e tornar-se corriqueiras.

Para facilitar a compreensão da analise dos quadrantes da Matriz de Riscos segue Quadro Sintético de Analise dos Quadrantes.


4.3.6. levantaMento de Riscos / cenÁRios

A Tabela de Levantamento de Riscos e Cenários e uma ferramenta que visa proporcionar um “overview” dos riscos e seus impactos em caso de sua concretização, além de traçar uma panorâmica dos impactos sobre as várias componentes da empresa. E uma ferramenta que também facilita a visualização da necessidade da confecção de Planos de Contingências para algumas situações especificas.

O desejável e que para cada cenário critico seja confeccionado um Plano de Contingência ou ao menos um Plano de Ação. O

Quadro Sintético de Analise dos Quadrantes

Quadrante Medidas

A

- Atenção Imediata- Transferência do Risco- Procedimentos De�nidos e Planejados- Constante Checagem e sensores- Procedimentos de Crise De�nidos

- Controles Rotineiros- Planos de Contingência- Gabinetes de Crise- Sensores Especí�cos

- Sistemas e Sensores- Rotina de Check Lists- Procedimentos Padronizados- “Lay out” Especi�co

- Cuidado na Classi�cação- Sistemas e Sensores- Procedimentos Padronizados- “Lay out” Especi�co- Evitar “Migração de Quadrante”

B

C

D


ideal e que o Chief Risk Officer ou o Gestor de Risco Corporativo seja o coordenador desta ação que deve ser desenvolvida por equipes interdisciplinares constituídas por representantes dos diversos segmentos da empresa, tais como: Diretoria de TI, Segurança, Marketing, Financeira, Responsabilidade Social etc... Contudo, parece ser algo ainda distante da realidade brasileira. Caso tal procedimento não seja possível, sugere-se que o Chief Risk Officer ou o Gestor de Risco Corporativo coordenem um “brainstorming” ou “brainwriting” com a participação dos representantes das áreas supracitadas para a confecção da Tabela de Levantamento de Riscos e Cenários. Após isto, poderá iniciar a confecção dos Planos de Ação e Planos de Contingências, os quais deverão ser apresentados e validados pelas diversas áreas da empresa. No site podem ser encontrados Planos de Contingência e de Ação que podem ser “downloadados” e servir como base para este trabalho.


(“CC” + “CV”) – No exemplo acima foi aproveitado um

levantamento de cenário de uma analise de riscos feita

para uma rede hoteleira. Em nosso site pode ser encontrada

uma relação completa de levantamento de cenários para

empresas de diversos segmentos.

Tabela de Levantamento de Riscos e Cenários

Impacto ou Efeito Potencial sobre as Variáveis:

Descrição de Cenário (Pior Hipótese)

Meio - Ambiente PopulaçãoAutoridades e meios

de comunicação

Pessoal NegóciosEquipamentos

Risco 01: Furto

-Furto de lap-tops ou de outros bens dos hóspedes.-Furto de equipamentos ou componentes de PCs (slot de memória, cartuchos etc) da administração ou de outros setores, contendo informações con�denciais ou reservadas do hotel ou de hóspedes.-Furto de equipamentos ou produtos de pequena monta, mas que geram transtornos.

- Sem efeito direto -Perda de credibilidade da empresa.-Imagem negativa da empresa.

-Exploração de imagem negativa de insegurança da empresa.

-Criação de clima de descon�ança e queda de produtividade em decorrência de falta de con�ança no grupo.-Quebra de espírito de corpo.

-Desvio da alta gestão para solução de problemas que não agregam valor.

-Descrédito do Corpo de Segurança junto aos funcionários e hóspedes e desgaste na solução de problemas, que poderiam ser evitados.

-Paralisação momentânea dos negócios.

-Perda de capital devido à subtração de equipamentos.

-Gastos desnecessários com a compra de material subtraído

-Desgaste da gerência junto aos hóspedes.

-Perda de equipamentos e componentes eletrônicos ou de objetos de relativo valor.

-Perda de lap-top, palms, celulares etc de hóspedes ou funcionários.


4.4. FeRRaMentas de aPoio

4.4.1. Matriz SWot (ModiFicada)

Uma ferramenta bastante interessante, aplicada para facilitar a análise é a Matriz SWOT (Pontos Fortes e Fracos, Oportunidades e ameaças). Neste caso a confecção da Matriz SWOT e direcionada com ênfase nos riscos e baseada em Análise SWOT: analise de Pontos Fortes, Pontos Fracos, Oportunidades e Ameaças.

Tal ferramenta é largamente utilizada no setor de marketing e permite uma visão dos principais recursos da empresa, quer sejam eles tangíveis ou intangíveis (Pontos Fortes) e suas principais deficiências (Pontos Fracos), compondo assim os quadrantes superiores da matriz. Paralelamente, nos quadrantes inferiores as principais ameaças e oportunidades oriundas do ambiente externo a empresa são definidas nos quadrantes de mesmo nome. No caso de sua utilização para Analise de Risco, as oportunidades devem ser analisadas como contrapartida dos riscos e fazem parte do planejamento estratégico, enquanto a identificação das ameaças, orienta a identificação dos riscos prioritários. Pode-se utilizar um outro quadrante descrevendo as principais oportunidades da empresa cuja concretização depende principalmente da vontade da organização em implementá-la e que merecem ser ressaltadas, tal quadrante e designado como quadrante “Janela de Oportunidade” (sendo


uma modificação da Matriz SWOT original). Este quadrante visa focar os esforços da organização para a tomada de ações que permitam aproveitar oportunidades especificas tanto ligadas a melhoria de seus processos, sistemas, serviços etc...

Para facilitar a confecção dos quadrantes referentes aos Pontos Fortes e Pontos Fracos, sugerimos que sejam utilizadas as próprias planilhas de Analise Parametrizada onde entende-se que qualquer item que tenha atingido o “Nível 5” e considerado um Ponto Forte tendo em vista que eles são considerados “Best Practices” no mercado. Por outro lado os itens onde foram obtidos “Níveis 1 e 2” são considerados bastante críticos e por conseguinte considerados Ponto Fracos. Por vezes pode-se “pinçar” somente os mais contundentes. Alem disto outros pontos pondem ser levantados como fruto da observação direta ou da entrevista com funcionários da própria empresa.

Outra forma de obter-se dados para completar a Matriz SWOT e por meio dos Diagramas de Ishikawa / Causa e Efeito, onde são lançados os riscos estratégicos e buscam-se as vulnerabilidades dos sistemas, nas normas e procedimentos, etc... Uma vez levantados eles são transpostos para a matriz. A seguir temos um exemplo de Matriz SWOT conforme descrito anteriormente:


(“CC” + “CV”) – No nosso site podem ser encontrados alguns

exemplos de Matrizes SWOT e Matrizes SWOT Modificadas

sendo feitas passo a passo.

4.4.2. MatRiz de sisteMas

A Matriz de Sistemas define quais sistemas estão envolvidos na solução ou mitigação dos riscos em questão. Tal ferramenta facilita no calculo dos custos das soluções que serão empregadas

MATRIZ SWOT

JANELA DE OPORTUNIDADE

PONTOS FORTES PONTOS FRACOS-Os funcionários terceirizados trabalham com uniformes característicos o que facilita a identi�cação dos mesmos diminuído os riscos de intrusão e de acesso a áreas criticas da empresa. -O nível de comprometimento dos funcionários com a Empresa diminuem a probabilidade de ações delituosas contra a empresa;- Baixo “turnover” de funcionários da empresa denotando comprometimento e diminuindo a disseminação de informações criticas da empresa no mercado;-Nível de satisfação dos funcionários da empresa alto diminui a probabilidade de ações delituosas;

-Ausência de um Plano Diretor de Gestão de Riscos Corporativo Integrado e de procedimentos formais mais rigorosos que contemple as diversas áreas: TI (Segurança da Informação), Segurança Física etc...-Existe uma interligação interdisciplinar relativamente baixa entre as áreas (TI, Segurança da Informação, Segurança Física etc...);-Não existe de�nição de áreas críticas, com controle rígido de acesso as mesmas.-Ausência de campanha de “endomarketing” para conscientização de uma Política de Segurança Corporativa mais consistente.

PONTOS FORTES PONTOS FRACOS-Melhoria no Setor de Segurança Pública e de iniciativas de inteligência integrada público-privada-Melhoria nos níveis de desenvolvimento humano brasileiro diminuindo o índice de criminalidade e o risco decorrente para a empresa.

- Desenvolvimento de um Plano Diretor de Gestão de Risco Corporativo Integrado, baseado em trabalhos de análise de risco.- Desenvolvimento de um projeto de endomarketing visando a conscientização do público interno para as ações destinadas a mitigação dos riscos da empresa.- Adoção da Política de Management Risk, com um especialista dedicado assessorando e fornecendo suporte para todo o grupo.

-Atratividade despertada pelas instalações aos meliantes da região.-Grandes eixos de fuga existentes na região.-Migração das atividades do crime organizado buscando diversi�car suas atividades para outros alvos.


em relação aos riscos que elas prevenirão ou mitigarão. Este procedimento facilita a definição das planilhas de custo, bem como a avaliação dos sistemas que estarão envolvidos na solução de múltiplos riscos simultaneamente podendo ter seu custo rateado por estes.

4.4.3. diaGRaMa de ishikawa / esPinha de Peixe

O Diagrama de Ishikawa e uma das ferramentas clássicas da Qualidade Total e que auxilia na elucidação das ferramentas e recursos utilizados na solução dos riscos elencados, desta forma auxilia o gestor no passo lógico seguinte que e a definição dos custos a serem gastos na solução do problema. O seu detalhamento rigoroso e fundamental para uma perfeita quantificação dos projetos envolvidos na solução dos riscos estratégicos que foram levantados, conforme exemplo a seguir:

Riscos CFTV Sensores Procedimentos EndomarketingRecursosHumanos Treinamento

Furto Interno

Assalto

Vandalismo

Seqüestro

Incêndio

Explosão

Danos àVeículos


(“CC” + “CV”) – No nosso site podem ser encontrados alguns

exemplos de Diagrama de Ishikawa oriundos de relatórios

de consultorias de Analise de Risco ou de Planos de Gestão

de Risco de Empresas.

PROCESSOS

-Plano de Contingências - Segregação de Áreas Sensíveis - Sistemas de Eclusas - Controle de Terceirizados (uniformes / tags)

- Treinamento de Vigilantes / porteiros - Palestras de Conscientização - Treinamento de Supervisores / Coordenadores

- Contratação de Especialistas- Revisão do Processo de Seleção

- Instalação de detectores- Instalação de Câmeras Especiais

RECURSOSHUMANOS

TREINAMENTOS

TECNOLOGIA

Roubo/Assalto


4.5. analise de custos

4.5.1. QuantiFicação da PeRda

Existem 2 formas clássicas para se quantificar a perda. Numa e calculada a Perda Direta (PD) referente ao valor da sinistralidade sem levar em consideração as Perdas Indiretas

(PI). Na outra forma, são acrescentados os valores referentes a Perda Indireta (PI). Neste caso passamos a ter o valor da Perda

Total (PT), que nada mais e que a somatória da Perda Direta

(PD) com os respectivos acréscimos de Perdas Indiretas (PI) envolvidas. Enquanto a Perda Direta (PD) refere-se ao valor da perda causada pela concretização de determinado risco de forma pura e simples – o qual poderíamos exemplificar como no caso do incêndio de um escritório causaria a destruição de um patrimônio (instalação física “escritório”) avaliado em U$ 150,000, ou seja, a Perda Direta (PD) pela concretização do risco de incêndio no escritório e de U$ 150,000.

No caso do calculo da Perda Total (PT), seriam acrescentados ao valor inicialmente obtido no calculo da Perda Direta (PD)

(U$ 150,000) os valores das Perdas Indiretas (PI) envolvidas no acidente, tais como: material, maquinário, computadores destruídos e indenizações por mortes ou acidente paga aos funcionários e familiares.


Temos como variante ainda usar o critério da Perda Esperada

(PE). Basicamente, a Perda Esperada (PE) e o valor da Perda Direta (PD) ou Perda Total (PT) multiplicada pela probabilidade dela vir a concretizar-se. No caso do Método

Analise de Risco Parametrizada entenda-se multiplicado pela Estimativa da Probabilidade (EP) com seu respectivo calculo utilizando sua formula especifica e suas respectivas tabelas de calculo. Este artifício e muito útil quando quer chegar-se a um numero para servir de base para as negociações e que seja menor que o numero originalmente encontrado para Perda

Direta (PD) ou Perda Total (PT).

O conceito de Perda Esperada (PE) e bastante simples. Na Perda Esperada (PE) considera-se que determinado evento ocorre dentro de uma determinada probabilidade, ou seja, quando necessita-se priorizar os riscos não tem lógica computá-los levando-se em consideração somente a Perda Total (PT). Isto é facilmente percebido quando é solicitado um calculo de avaliação de custo para seguro de um mesmo modelo de automóvel, com perfis de proprietários similares, mas morando

QUADRO SUMARIO DE CALCULO DE PERDAS

Perda Direta(PD)

Perda Total(PT)


(EP)

Perda Esperada(PE)+ = =XPerda Indireta

(PI)

PT = PD + PI EP = Pb X Ep X IV PE = PD X EPPE = PT X EP

- Valor de indenizações pagas a funcionários ou a terceiros, indenização por “lucros cessantes” etc...

- Valor do patrimônio principal destruído no sinistro.


em cidades diferentes e que possuam uma discrepância sensível nos seus índices de roubo de carro.

Na confecção da Matriz de Riscos este critério é facilmente evidenciado quando decompõe-se os riscos nos 2 eixos da matriz: Quantificação do Impacto (QI) e Estimativa da Probabilidade

(EP). Desta forma conseguimos visualizar graficamente os efeitos das componentes Impacto e Probabilidade.

Mesmo os processos mais antigos e tradicionais de quantificação de riscos, tais como Mosler e T-Fine já levavam em conta a probabilidade e o impacto de forma conjugada de um risco vir a concretizar-se.

Nos cálculos de soluções tecnológicas e afins para a eliminação de riscos pode ser interessante, por vezes, dependendo do risco e das circunstancias, realizar o calculo da Perda Total (PT), ou seja levando-se em consideração a Perda Direta (PD) e a Perda Indireta (PI) e desconsiderando-se a probabilidade e considerando a perda como certa. Tais artifícios são interessantes, pois bem empregados podem gerar vantagem financeira para o Gestor de Risco Corporativo que por vezes pode usar um numero maior ou menor de acordo com a sua conveniência.

Por exemplo, supondo que o Gestor de Riscos de uma planta farmacêutica avaliada em U$ 4,5 Mn decide analisar a transferência do Risco de Incêndio por meio de seguro. Ao negociar com a seguradora poderá alegar que a probabilidade


de incêndio é de 15,9% conforme calculada usando-se o Método

da Análise Parametrizada. Desta forma pode induzir que seja feito o calculo por meio do processo da Perda Esperada (PE) conduzindo a um menor valor a ser assegurado, conforme demonstrado a seguir:

Perda Esperada (PE): Perda Direta (PD) X Estimativa da

Probabilidade (EP)

PE = U$ 450 Mn X 0,159

De posse deste valor o Gestor de Riscos poderia tentar uma negociação com a seguradora. Além disto, ele poderia chamar o avaliador de risco da seguradora para proceder a Análise de

Calculo do Índice de Vulnerabilidade (I V)


(Método da Tabela Referencial do Índice de Vulnerabilidade)

Riscos



2

2 2 1

2 2 2 1 1

Quantidade Treinamento Existência Respeito

Recursos Humanos (RH) Normas / Procedimentos

Incêndio

Estimativa da Probabilidade (EP)

RiscosProbabilidade

(Pb)Exposição

(Ep)

4 3 1,66 19,92 15,9%1992 / 125


(I V)

TotalParcial

Fator(100 / 125)


(EP)

Incêndio

Pe = u$ 71, 55 Mn


Risco Parametrizada junto com ele e de posse dos dados das Planilhas de Análise Parametrizada poderia fazer um termo de comprometimento para a diminuição das vulnerabilidades (baseadas no Índice de Vulnerabilidade – IV) existentes em sua planta. Por meio de medidas tais como a instalação ou melhoria nos seus sistemas de proteção, implantação ou revisão de normas e procedimentos de segurança e no treinamento de seu “staff” poderia diminuir assim o seu Índice

de Vulnerabilidade (IV) e por conseguinte a Estimativa da

Probabilidade (EP) do sinistro ocorrer, uma vez que: EP =

Pb X Ep X IV. Conseqüentemente, a Perda Esperada: PE =

EP x QI cairia proporcionalmente; ou seja, é licito supor que quanto menor o Índice de Vulnerabilidade (IV), menor será a Estimativa da Probabilidade (EP) e a Perda Esperada (PE), possibilitando em bases solidas uma redução do premio junto as seguradoras.

Tal simulação esta demonstrada na pratica a seguir utilizando-se o case anterior onde as mesmas condições foram mantidas, diminuindo-se somente o seu Índice de Vulnerabilidade (IV)

original de 1,66 para 1,00.

O procedimento em questão é perfeitamente exeqüível tendo-se em vista que as Planilhas de Analise Parametrizada permitem não somente a identificação das principais vulnerabilidades, mas também a identificação das “Best Practices” que existem e poderão ser implantadas.


Perda Esperada: Perda Direta X Estimativa da Probabilidade

PE = U$ 450 Mn X 0,096

Pe = u$ 43, 2 Mn




Riscos



1

1 1 1

1 1 1 1 1



Incêndio

Estimativa da Probabilidade (EP)

RiscosProbabilidade

(Pb)Exposição

(Ep)

4 3 1,00 12,00 9,6%1200 / 125


(I V)

TotalParcial

Fator(100 / 125)


(EP)

Incêndio


Uma outra hipótese seria este mesmo gestor, encontrando dificuldade para convencer a diretoria da necessidade de investir-se mais em sistemas de segurança e proteção, bem como a contratação e treinamento de Recurso Humanos ter necessidade de obter um numero mais “consistente”. Para tal ele pode ao invés de usar o critério da Perda Esperada (PE)

baseando-se no calculo da Perda Direta (PD), usar o da Perda

Total (PT) sem levar em conta a Estimativa da Probabilidade

(EP) conforme demonstrado a seguir:

Perda Total:

Valor da Planta: U$ 450 Mn (Perda Direta)

Valor do Estoque (Turnover): U$ 1,1 Mn

Numero de Funcionários: 800

Percentual de Mortes: 1%

Valor Médio das Indenizações (Morte): U$ 50,000

Percentual de Feridos: 5%

Valor Médio das Indenizações (Feridos): U$ 20,000

Lucro Anual: U$ 35 Mn

Tempo de Paralisação (pos-sinistro): 6 meses


Indenizações (Morte): U$ 50,000 X 0,01 X 800

Indenizações (Morte) = U$ 400,000

Indenizações (Feridos): U$ 20,000 X 0,05 X 800

Indenizações (Feridos) = U$ 800,000

Notem que este numero e bem mais convincente que o primeiro. Este e um valor muito mais próximo do real que seria gasto caso o incêndio ocorresse. De toda forma os gastos com projetos para a mitigação do risco de incêndio não deverão ultrapassar o valor da Perda Total (PT), pois o custo da solução não pode ser maior do que do problema que ele veio solucionar. Alguns consultores adotam como referencia como valor limite para o custo do projeto o valor da Perda Esperada (PE). Contudo deve-se ter claro que a concretização do risco, vai gerar um prejuízo acima

Calculo da Perda Total (U$)

Perda Direta(PD)

Planta TotalEstoque Indenização(Morte)

Indenização(Feridos)

Lucro(Perdido)

450 Mn 470,8 Mn2,1 Mn 0,4 Mn 0,8 Mn 17,5 Mn

Perda Indireta(PI)

Perda Total(PT)

Perda total (Pt): u$ 470,8 Mn


do valor da Perda Esperada (PE).

4.5.2. QualiFicação da solução

Durante a Qualificação da Solução, verificamos quais sistemas estarão envolvidos na eliminação ou mitigação dos riscos. Por vezes uma mesma solução pode contribuir para a eliminação e / ou mitigação de mais de um risco. O primeiro passo a fazer e analisar cada risco de “per si” buscando conhecer suas reais origens e possíveis soluções. Nesta analise podem ser utilizadas algumas ferramentas que facilitam a identificação dos meios envolvidos em cada solução.

Cabe lembrar que nesta fase do planejamento os Riscos

Estratégicos já foram definidos e calculado o impacto e a

Menor Indice de Vulnerabilidade (IV)=

Menor Estimativa de Probabilidade (EP):EP = Pb x Ep x IV

Menor EP = Menor Perda Esperada (PE):PE = Perda Direta (PD) x EP

ou PE = Perda Total (PT) x EP

Menor IV = Menor EP = Menor PE:Menor Seguro


probabilidade de sua concretização por meio da Quantificação

do Impacto (QI) e da Estimativa da Probabilidade (EP). Alem disto os Riscos Estratégicos já foram lançados na Matriz de Risco que permite a visualização dos efeitos de sua concretização.

A seguir verificamos a qualificação e quantificação de uma solução voltada para os riscos de Incêndio e Explosão. Observe que no exemplo foi utilizado tanto o Diagrama de Ishikawa (Espinha de Peixe) quanto a Matriz de Sistemas para a definição dos sistemas, medidas e recursos que estariam envolvidos na solução dos riscos estratégicos envolvidos.

PROCESSOS

- Plano de Abandono / Contingências - Segregação de Áreas Sensíveis - Placas de “Proibido Fumar” - Inspeção continua de locais de armazenagem de in�amáveis

- Treinamento de Brigadas de Incêndio - Palestras de Conscientização - Treinamento de Abandono


- Instalação de detectores- Aquisição de EPI Especiais

RECURSOSHUMANOS

TREINAMENTOS

TECNOLOGIA

INCÊNDIO


No exemplo foi utilizado os Diagramas de Ishikawa (Espinha de Peixe) de uma planta química. Note que os meios e medidas adotadas na solução de ambos os riscos (Incêndio e Explosão) são muito semelhantes. A disposição gráfica do Diagrama de Ishikawa facilita a visualização dos recursos envolvidos.

Matriz de Sistemas

Observe que de forma similar ao Diagrama de Ishikawa (Espinha de Peixe), a Matriz de Sistemas também permite saber quais os sistemas estão envolvidos na solução ou mitigação de quais riscos, possibilitando o calculo dos custos das soluções que

PROCESSOS

- Plano de Abandono / Contingências - Segregação de Áreas Sensíveis - Placas de “Proibido Fumar” - Inspeção continua de locais de armazenagem de in�amáveis

- Treinamento de Brigadas de Incêndio - Palestras de Conscientização - Treinamento de Abandono


- Instalação de detectores - Aquisição de EPI Especiais - Ampliação do Heliponto paraEvacuações Aeromedicas (larga escala)

RECURSOSHUMANOS

TREINAMENTOS

TECNOLOGIA

EXPLOSÃO


serão empregadas.

4.5.3. QuantiFicação da solução

Nesta fase, tendo o valor da Perda Total (PT) e da Perda Esperada (PE) para a concretização dos diversos riscos já calculadas, são levantados os custos das soluções. Deve ser levantado o valor das soluções, verificar que riscos elas solucionam e confrontá-los com o custo da concretização dos mesmos. Apos isto deve-se calcular o “pay back” do investimento e definir sua viabilidade.

Primeiramente, neste cálculo demonstrativo foi levado em consideração somente o risco de Explosão da planta. Foi calculado, grosseiramente, o prejuízo da concretização do risco de Explosão, o investimento necessário para sua mitigação e o “pay back” da implantação do projeto em relação a redução do premio do seguro em questão.


Incêndio

Explosão


Case Demonstrativo

- Empresa: Planta Farmacêutica

- Valor da Planta: U$ 4,5 Mn

- Risco Analisado:

- Explosão

- Perdas Estimadas:

- Explosão:

- Perda Esperada Atual: PE (Atual) = U$ ?

- Perda Esperada Projetada: PE (Projetada)= U$ ?

- Perda Total: PT = U$ ?


Por exemplo, supondo que o Gestor de Riscos de uma Planta

Farmacêutica avaliada em U$ 4,5 Mn decida analisar a viabilidade de solucionar, mitigar ou transferir o Risco de

Explosão.

Fase 1 – Definição dos Recursos Envolvidos

Fase 2 – Avaliação de Custo da Solução


Explosão

Quadro de Avaliação de Custos

Tecnológica

EXPLOSÃO

Componentes US$

Sensores

Válvulas Especiais

Projeto (Dimensionamento)

Redimensionamento (Heliponto)

Sub-Total

35.000

25.000

15.000

20.000

95.000

Risco:

Recursos Humanos

Contratação Especialista (Custo / ano)

Treinamento Especializado (Consultoria)

Sub-Total

10.000

15.000

25.000

Normas / Procedimentos

Analise Especializada (Consultoria)

Confecção de Normas

Sub-Total

10.000

20.000

30.000

Total Geral 150.000


Suponhamos que apos ter realizado a Analise de Risco

Parametrizada na planta industrial com a utilização de

Planilhas de Risco Parametrizada ou de Software de

Parametrização ou de Tabela Referencial de Calculo do

Índice de Vulnerabilidade tenha sido encontrado o seguinte Índice de Vulnerabilidade (I V) para o Risco de Explosão:

- Explosão: IV= 1,50

Sendo o risco demonstrado conforme o calculo que se segue:

Com um Índice de Vulnerabilidade: I V = 1,50 para o Risco de Explosão chega-se a Estimativa de Probabilidade EP = 9,6%, gerando uma Perda Esperada (PE) = U$ 43, 2 (Explosão) de valor a ser assegurado (ao invés de U$ 450 Mn de valor da planta baseado na Perda Direta: PD) conforme calculo que se segue:




Riscos



1

1 2,5 1

1 3 2 1 1



Incêndio

Calculo da Estimativa da Probabilidade (EP)

RiscosProbabilidade

(Pb)Exposição

(Ep)

4 2 1,50 12,00 9,6%1200 / 125


(I V)

TotalParcial

Fator(100 / 125)


(EP)

Explosão


Explosão:

Perda Esperada (PE): Perda Direta (PD) X Estimativa da

Probabilidade (EP)

PE = U$ 450 Mn X 0,096

Tal discrepância advêm do fato que se utiliza o critério da Perda

Esperada (PE) ao invés da Perda Direta (PD) ou Perda Total

(PT) (que incluiria o valor da indenização das vitimas, lucros cessantes etc...), ou seja, neste caso leva-se em consideração não unicamente o valor da perda, mas a probabilidade de tal fato vir a ocorrer.

Com esta Perda Esperada (PE = U$ 43, 2 Mn), o valor anual a ser pago de seguro e da ordem de U$ 86,4. Entretanto, baseado nos Relatórios de Analise de Riscos Parametrizada e conforme Quadro de Avaliação de Custos, com um investimento na ordem de U$ 165,000 pode-se alcançar um Índice de Vulnerabilidade

(I V) = 1,00 para o Risco de Explosão, conforme calculo que segue:

Pe = u$ 43, 2 Mn


Com um IV = 1,00 a probabilidade cai de 9,6% para 6,4% no caso do risco de Explosão, fazendo com que a Perda Esperada

(PE) também caia conforme calculo que se segue:

Explosão:

Perda Esperada:

Perda Direta (PD) ou Perda Total (PT) X Estimativa da

Probabilidade (EP)

Pe = u$ 450 Mn x 0,064

Com uma Perda Esperada (PE) caindo de PE = U$ 43, 2 Mn para PE = U$ 28, 8 Mn pode-se solicitar a renegociação do valor inicial do seguro de U$ 86,400 para um valor de U$ 57,600




Riscos



1

1 1 1

1 1 1 1 1



Incêndio

Calculo da Estimativa da Probabilidade (EP)

RiscosProbabilidade

(Pb)Exposição

(Ep)

4 2 1,00 8,00 6,4%800 / 125


(I V)

TotalParcial

Fator(100 / 125)


(EP)

Explosão

PE = (PD) X (EP) PE = (PT) X (EP)ou

PE = U$ 28, 8 Mn


gerando uma economia anual de U$ 28,800 conforme calculo que se segue:

PE = U$ 43, 2 Mn

Seguro 43 = U$ 86,400

PE = U$ 28, 8 Mn

Seguro 28 = ?

Seguro 28 = (86,400 X 28,8) / 43,2

Fase 3 – Calculo de Pay-back (simplicado)

Resumidamente teríamos:

Seguro 28 = U$ 57,600


TABELA DE PAY-BACK (Risco de Explosão)

Step by Step

ANTES

1,50Índice de Vulnerabilidade(IV Explosão)

(*) – Custo de Contratação de Especialista (salário anual incorporado)

Custo Implantação (Ano 1)

Economia do Seguro (Ano 1)

Economia (Ano 1)

Resíduo (Ano 1)

Custo Projeto (Ano 2)


Economia (Ano 2)

Resíduo (Ano 2)



Economia (Ano 3)

Resíduo / Lucro (Ano 3)



Economia (Ano 4)


(U$ 150.000)

U$ 28.800

U$ 28.800 - U$ 150.000 = (U$ 121.200)

(U$ 121.200)

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 121.200 - U$ 15.000 = (U$107.400)

(U$ 107.400)

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 107.400 - U$ 15.000 = (U$ 93.600)

(U$ 93.600)

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 93.600 - U$ 15.000 = (U$ 79.800)

(U$ 79.800)

1,00Índice de Vulnerabilidade(IV Explosão)

U$ 43,2 MnPerda Esperada(PE Explosão)

U$ 28,8 MnPerda Esperada(PE Explosão)

U$ 86,400Seguro U$ 57.600Seguro

9,6%Estimativa da Probabilidade

(EP Explosão)6,4%Estimativa da Probabilidade

(EP Explosão)

DEPOIS

Valor Seguro (diferença anual) U$ 28.800

Valor do Projeto (Ano 1) U$ 150.000

Valor do Projeto (demais anos)* U$ 15.000




Economia (Ano 5)




Economia (Ano 6)




Economia (Ano 7)




Economia (Ano 8)




Economia (Ano 9)




Economia (Ano 10)


Custo Projeto (Demais anos)

Economia do Seguro

Economia (Demais Anos)

Economia Anual

Tempo de Pay-back

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 79.800 - U$ 15.000 = (U$ 66.000)

(U$ 66.000)

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 66.000 - U$ 15.000 = (U$ 52.200)

(U$ 52.200)

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 52.200 - U$ 15.000 = (U$ 38.400)

(U$ 38.400)

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 38.400 - U$ 15.000 = (U$ 24.600)

(U$ 24.600)

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 24.600 - U$ 15.000 = (U$ 10.800)

(U$ 10.800)

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 10.800 - U$ 15.000 = U$ 3.000

U$ 3.000

(U$ 15.000)

U$ 28.800

U$ 28.800 - U$ 15.000 = U$ 13.800

U$ 13.800

10 anos


(“CC” + “CV”) – No site podem ser encontrados alguns

exemplos de maior complexidade

Entretanto, por vezes, a mesma solução ou projeto pode atender a mais de um risco, tendo seu custo diluído de forma equânime ou proporcional pelos riscos que soluciona ou mitiga.

No exemplo seguinte nos cálculos demonstrativos foram levados em consideração os riscos de Explosão e de Incêndio para a mesma planta. Note como o custo de uma solução integrada que atende parcialmente ou totalmente aos 2 riscos em questão faz com que o tempo de pay-back* seja diminuído significativamente. Compare as Tabelas de Pay-back dos 2 projetos em questão.


Case Demonstrativo

- Empresa: Planta Farmacêutica

- Valor da Planta: U$ 4,5 Mn

- Riscos Analisados:

- Incêndio

- Explosão

- Perdas Estimadas:

- Incêndio:

- Perda Esperada (Atual): PE = U$ 71, 55 Mn

- Perda Esperada (Projetada): PE = U$ 43, 20 Mn

- Perda Total: PT = U$ 470, 80 Mn

- Explosão:

- Perda Esperada (Atual): PE = U$ 43, 20 Mn

- Perda Esperada (Projetada): PE = U$ 28, 80 Mn

- Perda Total: PT = U$ 470, 80 Mn

pay-back* – tempo em que um projeto leva para se pagar


Por exemplo, suponhamos que o Gestor de Riscos de uma planta avaliada em U$ 4,5 Mn decida analisar a viabilidade de solucionar, mitigar ou transferir o Risco de Incêndio e Explosão.

Fase 1 – Definição dos Recursos Envolvidos


Incêndio

Explosão


Fase 2 – Avaliação de Custos da Solução

Suponhamos que apos ter realizado a Analise de Risco

Parametrizada na planta industrial com a utilização de Planilhas de Risco Parametrizado ou de Software de Parametrização foram encontrado os seguintes Índices de

Vulnerabilidade (I V) para os Riscos de Incêndio e de Explosão

Quadro de Avaliação de Custos

Tecnológica

INCÊNDIO / EXPLOSÃO

Componentes US$

25.000

35.000

25.000

15.000

20.000

120.000

Risco:

Recursos Humanos

Contratação Especialista (Custo / ano)***

Treinamento Especializado (Consultoria)*

Sub-Total

30.000

10.000

40.000

Normas / Procedimentos

Analise Especializada (Consultoria)*

Confecção de Normas*

Sub-Total

(*) – Atende aos 2 projetos (Risco de Incêndio / Explosão)

(**) – Atende ao Projeto de Mitigação do Risco de Incêndio

(***) – Atende ao Projeto de Mitigação do Risco de Explosão

10.000

20.000

30.000

Total Geral 190.000

Sprinklers**

Sensores*

Válvulas Especiais***

Projeto (Dimensionamento)*

Redimensionamento (Heliponto)

Sub-Total


respectivamente:

- Incêndio: IV= 1,66

- Explosão: IV= 1,50

Ambos os riscos demonstrados conforme calculo que se segue:

Com Índices de Vulnerabilidades I V = 1,66 e I V = 1,50 para os Risco de Incêndio e Explosão respectivamente chega-se as Estimativas de Probabilidade EP = 15,9% e EP = 9,6%, gerando Perdas Esperadas PE = U$ 71, 55 Mn (Incêndio) e

PE = U$ 43, 2 (Explosão). Ocasionando uma PE Total = U$

114, 75 de valor a ser assegurado (ao invés de U$ 450 Mn de

Fase 1 - Calculo do Índice de Vulnerabilidade (I V)



Riscos



2

2 2 1

2 2 2 1 1



Incêndio


1

1 2,5 1

1 3 2 1 1

Explosão

Fase 2 - Estimativa da Probabilidade (EP)

Riscos

Probabilidade(Pb)

Exposição (Ep)

4 3 1,66 19,92 15,9%1992 / 125


(I V)

TotalParcial

Fator(100 / 125)


(EP)

Incêndio

4 2 1,50 12,00 9,6%1200 / 125Explosão

Estimativa da Probabilidade (E P)


valor da planta) conforme calculo que se segue:

Incêndio:

Perda Esperada: Perda X Probabilidade

PE = U$ 450 Mn X 0,159

Explosão:

Perda Esperada: Perda X Probabilidade

PE = U$ 450 Mn X 0,096

Perda Esperada Total: Perda Esperada Incêndio + Perda

Esperada Explosão

PE = 71,55 Mn + 43,2 Mn

Com esta Perda Esperada (PE = U$ 114, 75 Mn), o valor anual a ser pago de seguro e da ordem de U$ 229,5. Entretanto, baseado nos Relatórios da Analise de Riscos Parametrizada e conforme Quadro de Avaliação de Custos, com um investimento na ordem de U$ 190.000 pode-se alcançar um

PE = U$ 71, 55 Mn

PE = U$ 43, 2 Mn

PE = U$ 114, 75 Mn


Índice de Vulnerabilidade (I V) = 1,00 tanto para o Risco de Incêndio como para o Risco de Explosão, conforme calculo que se segue:

Note que neste caso foi utilizado o Método da Tabela

Referencial de Calculo do Índice de Vulnerabilidade, mas o desejável é que seja utilizado Softwares de Parametrização ou Planilhas de Risco Parametrizadas que além de conferir uma precisão muito maior ao processo de obtenção do Índice de

Vulnerabilidade (IV), também permite que as recomendações para a melhoria dos sistemas instalados e processos sejam vislumbradas mais facilmente durante a própria leitura das Planilhas de Risco Parametrizadas para a execução dos

Fase 1 - Calculo do Índice de Vulnerabilidade (I V)



Riscos



1

1 1 1

1 1 1 1 1



Incêndio


1

1 1 1

1 1 1 1 1

Explosão

Fase 2 - Estimativa da Probabilidade (EP)

Riscos Probabilidade(Pb)

Exposição (Ep)

4 3 1,66 19,92 9,6%1200 / 125


(I V)

TotalParcial

Fator(100 / 125)


(EP)

Incêndio

4 2 1,50 12,00 6,4%800 / 125Explosão

Estimativa da Probabilidade (E P)


trabalhos de campo.

Com um IV = 1,00 as probabilidades caem de 15,9% para 9,6% no caso de Incêndio e de 9,6% para 6,4% no caso de Explosão, fazendo com que a Perda Esperada também caia conforme calculo que se segue:

Incêndio:

Perda Esperada (PE): Perda Direta (PD) X Estimativa

Probabilidade (EP)

PE = U$ 450 Mn X 0,096

Explosão:

Perda Esperada (PE): Perda Direta (PD) X Estimativa

Probabilidade (EP)

PE = U$ 450 Mn X 0,064

PE = U$ 43, 2 Mn

PE = U$ 28, 8 Mn


Perda Esperada Total: Perda Esperada Incêndio + Perda

Esperada Explosão

PE Total = PE Incêndio + PE Explosão

PE = U$ 43, 2 Mn + U$ 28, 8 Mn

Com uma Perda Esperada (PE) caindo de PE = U$ 114, 75 Mn

para PE = U$ 72, 00 Mn pode-se solicitar a renegociação do valor inicial do premio do seguro de U$ 229.500 para um valor de U$ 144.000 conforme calculo que se segue:

PE = U$ 114, 75 Mn

Seguro 114 = U$ 229.500

PE = U$ 72, 00 Mn

Seguro 72 = ?

Seguro 72 = (229.500 X 72,00) / 114,75

PE = U$ 72, 00 Mn

Seguro 72 = U$ 144.000


Fase 3 – Calculo de Pay-back (simplificado)

Resumidamente teríamos:

ANTES

(*) – Custo de Contratação de Especialista (salário anual incorporado)

U$ 86,400Seguro U$ 57.600Seguro

DEPOIS

1,00

9,6 %

U$ 43,2 Mn

1,00

6,4 %

U$ 28,8 Mn

U$ 72,0 Mn

1,66

15,9 %

U$ 71,55 Mn

1,50

9,6 %

U$ 43,2 Mn

U$ 114,75 Mn

Índice de Vulnerabilidade(IV Incêndio)

Perda Esperada(PE Incêndio)

Índice de Vulnerabilidade(IV Explosão)

Probabilidade Estimada(Pb Explosão)

Perda Esperada(PE Explosão)

Perda Esperada(Total)

Probabilidade Estimada(Pb Incêndio)

Índice de Vulnerabilidade(IV Incêndio)

Perda Esperada(PE Incêndio)

Índice de Vulnerabilidade(IV Explosão)

Probabilidade Estimada(Pb Explosão)

Perda Esperada(PE Explosão)

Perda Esperada(Total)

Probabilidade Estimada(Pb Incêndio)

Valor Seguro (diferença anual)

Valor do Projeto (Ano 1)

Valor do Projeto (demais anos)*

U$ 85.500

U$ 190.000

U$ 30.000


(“CC” + “CV”) – No site podem ser encontrados alguns

exemplos de maior complexidade

Economia do Seguro

Economia (Ano 4)

Economia (Demais Anos)

Economia Anual

U$ 85.500

U$ 85.500 + U$ 6.500 - U$ 30.000 = U$ 62.000

U$ 85.500 - U$ 30.000 = U$ 55.500

U$ 55.500

Step by Step

Custo Implantação (Ano 1)


Economia (Ano 1)

Resíduo (Ano 1)



Economia (Ano 2)

Resíduo (Ano 2)



Economia (Ano 3)


Custo Projeto (Demais Anos)

(U$ 190.000)

U$ 85.500

U$ 85.500 - U$ 190.000 = (U$ 104.500)

(U$ 104.500)

(U$ 30.000)

U$ 85.500

U$ 85.500 - U$ 104.500 - U$ 30.000 = (U$ 49.000)

(U$ 49.000)

(U$ 30.000)

U$ 85,500

U$ 85,500 - U$ 49.000 - U$ 30.000 = U$ 6.500

U$ 6.500

(U$ 30.000)


4.6. PlanejaMento estRatéGico:

Políticas de GR / oBjetivos / Metas

Nesta fase são traçadas as Políticas de Gestão de Risco (GR) baseadas nos Objetivos e Metas Estratégicas. Esta fase e a parte principal do Plano Diretor de Gestão de Riscos Corporativos.

Para este estudo são levados em consideração como os Fatores Críticos de Sucesso, ou seja, os vetores que uma vez atingidos afetam de forma contundente o “core business” da empresa quer na forma de valores tangíveis ou intangíveis. Servindo de base para definição dos Objetivos Estratégicos a serem atingidos. Proporcionando desta forma a máxima aderência entre eles e o esforço a ser desenvolvido pela empresa.


TABELA DE DEFINIÇÃO DE OBJETIVOS / METAS ESTRATEGICAS

FATORES CRÍTICOSDE SUCESSO OBJETIVOS ESTRATEGICOS

METASESTRATEGICAS

1. IMAGEM INSTITUCIONAL

1.1. INCOLUMIDADEDA MARCA

1.2. CREDIBILIDADE

- De�nição dos principais cenários envolvendo exposição negativa da marca e medidas mitigadoras

- De�nição de Planos de Contingência e Comités de Crise para situações de crises

- 100% dos Planos de Contingências e Painéis de Cenários confeccionados ate o �nal do semestre

2. COMPARTILHAMENTODE INFORMAÇÕES

2.1. CAPILARIDADEDA INFORMACAO

2.2. INTEGRACAODE SISTEMAS

- 100% das informações criticas mapeadas

- Mapa de Informações Criticas confeccionado ate o �nal do trimestre

3. QUALIDADE3.1. CERTIFICACAO

3.2. MELHORIA CONTÍNUA

- Levantamento de Risco de Sabotagem e de acoes prejudiciais ao sistema de TQC

4. RELACIONAMENTOC/ CLIENTE

4.1. ADERENCIA

4.2. NIVEL DE SATISFACAO(CLIENTES)

4.3. PRO-ATIVIDADE

4.4. AGREGACAODE VALOR

- Mapeamento dos riscos (Mapa de Riscos) que possam levar a interrupção da prestação do serviço ao cliente ate o �nal do bimestre

- De�nição de Planos de Contingências para restabelecimento do serviço ate o �nal do bimestre

5. CAPACIDADE INOVATIVA

5.1. CONHECIMENTODAS DEMANDAS

5.2. NOVAS TECNOLOGIAS

- Quanti�cação dos riscos de fuga de informação e de roubo de informação e projetos

- Confecção de Plano de Inteligência / Contra-inteligência Corporativo ao termino do mes


6. RESPONSABILIDADESOCIAL

6.1. REDUCAO IMPACTO AMBIENTAL

6.2. INTEGRACAO ASOCIEDADE

- Mapeamento das atividades criticas que possam gerar impacto ambiental (termino do semestre)

- Planos de Contingências para acidentes ambientais (termino do trimestre)

7. KNOW-HOW

7.1. METODOLOGIA

7.2. GESTAO DOCONHECIMENTO /INFORMACAO

- Mapeamento das informações criticas (ao termino dos semestre)

- Aplicação de Teste de Aderência Ética aqueles que lidam com informações criticas (ao termino do semestre)

8. RECURSOS HUMANOS

8.1. COMPROMETIMENTO

8.2. MOTIVACAO

8.3. ESPIRITO DE EQUIPE

8.4. NIVEL DE SATISFACAO(COLABORADORES)

8.5. AMBIENTEORGANIZACIONAL

- Identi�cação de lideranças e mapeamento de per�l por meio de aplicação de teste sociometrico e analise de pesquisas (�nal do mes)

- Realizar Pesquisa de Nível de Satisfação dos Colaboradores Internos (com apoio da Gerência de RH) para identi�car principais lideranças e mapeá-las (�nal do mes)

9. GOVERNANCA

9.1. CAPACIDADEORGANIZACIONAL

9.2. INTEGRIDADE

9.3. TRANSPARENCIA

9.4. GESTAOPARTICIPATIVA

- Implementação de Plano de Auditorias semestral

- Mapeamento de Atividades de Gestão Critica de Governanca Corporativa

- Aplicação de Testes de Aderência Ética para Alta Gestão

130

desdoBRaMentos doPlanejaMento estRatéGico


A principal idéia deste capitulo e alertar para as demais ações que decorrem do planejamento estratégico. Na realidade o Plano Diretor de Gestão de Risco Corporativo é uma ordenação de idéias macro sobre gestão de riscos em forma de um documento especifico. Entretanto, o Plano Diretor de

Gestão de Risco Corporativo não é suficiente para fazer com que as coisas ocorram por si só. Ele é somente uma parte deste processo de gestão: o “carro chefe”.

132 desdoBRaMentos do PlanejaMento estRatéGico

5.1. PlanejaMento tÁtico / Planos de ação

Após a confecção do Plano Diretor de Gestão de Risco

Corporativo é que se passa ao nível tático, ou seja, passe-se ao nível de execução. Neste momento serão confeccionados os Planos de Ação.

Os Planos de Ação de Gestão de Riscos tem por finalidade, com base no levantamento e análise de riscos estratégicos, propor as soluções possíveis para diminuir a possibilidade dos riscos levantados virem a concretizar-se, dimensionando os meios técnicos, organizacionais e humanos a serem empregados nesta tarefa.

Os Planos de Ação de Gestão de Riscos tem que ser o mais operacional possível e aderente ao Plano Diretor de Gestão

de Risco Corporativo. Além disto deve fazer frente aos riscos com eficácia e eficiência cumprindo os objetivos propostos, incorporando um conjunto de medidas e meios, subdividindo-se em:

• Meios Humanos – Pessoal encarregado de cuidar da Gestão de Riscos do local com a qualificação e formação necessária para tal.

• Meios Técnicos – Devem ser especificados para o apoio aos meios humanos, preferencialmente controlando as tarefas da Gestão de Riscos. Facilitam com maior efetividade a detecção, a monitoramento e a intervenção nos eventos.


• Meios Organizacionais – São procedimentos e normas padronizados que tem como meta coordenar e integrar os meios técnicos e humanos. Dentre eles temos a confecção de Planos Operacionais Padrões (POP).

Normalmente os Planos de Ação de Gestão de Riscos definem quem faz o que. E em sua confecção é muito utilizada a metodologia 5W1H oriunda dos processos de Qualidade Total. Neste caso o plano de ação acaba sendo uma coletânea das diversas ações a serem tomadas, alinhadas com o Plano

Diretor de Gestão de Risco Corporativo e definidas na forma da metodologia 5W1H, ou seja, é um desdobramento lógico da idéia básica contida no Plano Diretor de Gestão de Risco

Corporativo de forma palpável e exeqüível. A seguir temos um exemplo de uma meta estratégica oriunda de um Plano Diretor

de Gestão de Risco Corporativo desdobrada em uma ou mais metas de um Plano de Ação de Gestão de Riscos conforme extratos a seguir:


Extrato do Plano Diretor de Gestão de Risco Corporativo:

As varias ações definidas claramente ou implicitamente no Plano Diretor de Gestão de Risco Corporativo darão origem ao Plano de Ação de Gestão de Riscos, sendo o documento que define o desdobramento da meta estratégica definindo as responsabilidades e prazos para sua realização. Neste exemplo foi escolhido a Meta Estratégica Planos de Contingência

conforme extrato do Plano de Ação de Gestão de Risco

Corporativo a seguir:

TABELA DE DEFINIÇÃO DE OBJETIVOS / METAS ESTRATEGICAS

FATORES CRÍTICOSDE SUCESSO OBJETIVOS ESTRATEGICOS

METASESTRATEGICAS

1. IMAGEM INSTITUCIONAL

1.1. INCOLUMIDADEDA MARCA

1.2. CREDIBILIDADE

- De�nição dos principais cenários envolvendo exposição negativa da marca e medidas mitigadoras

- De�nição de Planos de Contingência e Comités de Crise para situações de crises

- 100% dos Planos de Contingências e Painéis de Cenários confeccionados ate o �nal do semestre


linhas estRatéGicas

iMaGeM

oBjetivos

• Incolumidade da marca

• Manutenção da credibilidade da marca

• Preservação da Marca

• Confecção de Plano de Contingência para situações de desastres ambientais envolvendo desgaste da marca

• Confecção de Normas para regulamentação do Comitê de Crise

PRinciPais Metas


Meta 1 – Plano de Contingência 01 – Desastre Natural

Atividade(What)

Objetivo(Why)

Local(Where)

- Diretoria de Projetos- Ter um plano que norteie as ações em caso de desastre natural

- Confecção de Plano de Contingência 01 (para desastre natural)

Tempo (When)

Descrição Sumaria(How)

Medidas Preliminares Documento de Referencia Inicio / Deadline

- 28 – Setembro / 10

- 18 – Dezembro / 10

- Desenvolver Plano de Contingência contemplando a concretização dos principais desastres ambientais e as ações para salvaguarda da imagem da empresa junto a mídia nacional e internacional evitando ou mitigando o respectivo desgaste de sua imagem junto aos principais veículos de comunicação.

- Guidelines do CEO

- Mapa de Ação Global da Empresa

- Brie�ng c/ CEO

- Reunião de Diretoria

Custo(How Much)

Responsável(Who)

Indicadores / Meta

- % de riscos de desastres ambientais mapeados

- Numero de Planos de Contingências prontos

- Meta: 80% dos principais riscos mapeados e c/ Planos de Contingên-cia ate Dez / 10

Diretor de Projeto / Gerente de Risco

- Custo: R$ 15.000 / US$ 7,500(30 hrs Diretor de Projeto) R$ 12.000 / US$ 6,000(50 hrs Gerente Risco)

Custo Total:R$ 37.000 / U$ 18,500


5.2. PRojeto técnico

O projeto técnico é o descritivo funcional de todo o sistema integrado. É um documento que o departamento de Gestão de Riscos terá como base para realizar a aquisição do sistema. Este documento deve ser bem detalhado, pois tem como meta explicar aos potenciais fornecedores e ao departamento de engenharia ou compras da empresa, como o sistema vai funcionar e quais são suas características técnicas.

Os objetivos técnicos e táticos devem estar bem claros, já que tal documento visa a compra técnica atrelada à compra funcional do sistema.

O descritivo funcional deve, em geral, ser elaborado pelo pessoal técnico, com base nos objetivos demarcados pelo departamento de Gestão de Riscos.


5.3. Relação custo x BeneFício

Uma das fases mais difíceis no planejamento de Gestão de Riscos é a exata mensuração do valor baseado nos riscos que podem afetar a empresa, levando-se em conta também a sua real probabilidade de ocorrência e seu impacto caso venha a se concretizar.

Deve-se buscar a todo custo integrar os mais variados vetores que possam vir a influenciar a empresa, definindo-se caso a caso, risco por risco.

Para tal deve-se ter uma classificação e priorização dos riscos a fim de se definir as formas de como irão ser tratados. Deve-se ter sempre como alvo a integralização das possíveis conseqüências dos impactos, ou seja, é necessário não mensurar somente o tangível e sim o intangível. Valores como a imagem da empresa, a marca, “share of mind” dentre outros fatores também devem ser mensurados. Tudo isto com a finalidade de se definir da forma mais clara e completa possível as prioridades de investimento dentro da correta relação Custo X Benefício.

Paulatinamente são levantadas as perdas em conformidade com os riscos e verificando suas conseqüências para se ter um “overview” das perdas potenciais da empresa. A partir de então começa a priorização dos investimentos para o tratamento dos diversos riscos e redução das possíveis perdas, projetando-se valores de investimentos e retornos.


5.4. investiMento

Nesta fase do planejamento será apresentado à alta gestão da empresa o quanto será necessário para a implementação das soluções, baseado nas perdas esperadas. Devem-se conscientizar os executivos dos reflexos negativos nos mais variados setores da empresa. Buscando de toda forma mensurar também as perdas intangíveis. Para tal deve-se usar metodologias científicas, já mencionadas anteriormente.


5.5. deFinição de MaRGeM de investiMento

Embora não exista nenhum processo matemático que possa definir com precisão este valor, contudo é de bom alvitre que seja investido no tratamento dos riscos na mesma proporção das perdas esperadas dos mesmos.


5.6. downsizinG tecnolóGico

O advento de soluções tecnológicas sofisticadas é capaz de promover a redução de forma significativa do número de funcionários de determinada operação, bem como melhorar a eficiência do sistema. Contudo deve ser realizado um estudo criterioso e metódico.


5.7. Plano oPeracional – norMaS e ProcediMentoS

Para que se tenha o máximo de efetividade nos sistemas e operações na área de Gestão de Riscos, faz-se necessário que os recursos humanos sigam exatamente o que foi apregoado pelos planos operacionais padrões. Desta forma estará assegurado o máximo rendimento dentro daquilo que o sistema pode proporcionar. Para tal deverá ser previsto treinamentos de tempos em tempos, devidamente integrados a um plano de treinamento com cronogramas definidos.

O treinamento dos recursos humanos na área de Gestão de Riscos deverá contemplar os mais variados níveis. Devendo ainda trabalhar nos campos afetivo, cognitivo e psicomotor. Além de desenvolver habilidades de psicomotoras, deve ele desenvolver determinados atributos da área afetiva especificamente ligados às necessidades do profissional de Gestão de Riscos.


5.8. deFinição dos oBjetivos de tReinaMento

Para se atingir da forma mais eficaz e eficiente possível os resultados do treinamento, devem ser definidos objetivos de treinamento em consonância com as funções e atribuições de cada funcionário. Uma boa medida é utilizar o descritivo de cargos e funções junto ao setor de recursos humanos e de posse desta documentação realizar o planejamento bem direcionado para o desempenho das funções. Baseando-se logicamente na descrição real de tarefas de cada cargo.

A confecção de todo plano de treinamento deverá sempre levar em consideração os seguintes aspectos:

• Definição de atributos básicos

• Definição de tarefas a serem executadas

• Condições de execução

• Padrão Mínimo a ser atingido


5.9. tReinaMento e elaBoRação

das noRMas oPeRacionais

Os objetivos do treinamento são:

• Preparar o Homem para execução das diversas tarefas;

• Propiciar oportunidades para o contínuo desenvolvimento pessoal;

• Padronizar formas de atuação sob determinadas condições;

• Melhorar a eficiência de determinadas respostas sob determinadas condições específicas;

• Mudar atitude da pessoa, com varias finalidades, criando um clima satisfatório entre os empregados.

Algumas premissas básicas para a realização de um treinamento operacional:

• Treinamentos de habilidades motoras, psicomotoras e cognitivas;

• A distribuição dos períodos de aprendizagem deve considerar a fadiga e a monotonia e ser adequada para assimilação do conteúdo didático;

• O exercício e a prática são indispensáveis para aprendizagem e a retenção de habilidades;


• A aprendizagem eficiente depende da utilização de técnicas instrucionais adequadas;

• A aprendizagem eficiente depende da aptidão e das capacidades individuais.

Pelo que foi exposto, torna-se necessário que a elaboração de normas detalhadas, tanto as direcionadas para as situações de rotinas como as emergenciais devem ser calcadas na exqüibilidade tanto no seu treinamento quanto nas situações práticas.


5.10. iMPlantação do PlanejaMento

Esta fase vai desde o convencimento da alta gestão da empresa de aporte de capital no projeto em questão, passando pela divulgação e convencimento junto ao público interno até colocar a solução em andamento. Nesta fase ainda deve-se buscar a todo custo que os usuários tornam-se verdadeiros colaboradores e defensores da correta implantação do plano de Gestão de Riscos com o mínimo de atrito entre suas normas e o dia a dia dos diversos setores.

O projeto de implantação inclui seis fases:

• Venda do projeto

• Preparação das instalações

• Habilitação da mão – de -obra

• Compra dos sistemas

• Instalação dos sistemas

• Start-up do Sistema Integrado


5.11. contRole e avaliação

O controle e avaliação são necessários para o desenvolvimento e melhoramento de qualquer processo, bem como para correção de rumos e verificação de metas e objetivos a serem atingidos.

O controle, mormente é realizado através de quatro fases distintas:

• Estabelecimento de padrões de desempenho;

• Acompanhamento dos resultados;

• Comparação do desempenho atual com o padrão almejado;

• Tomada de ação corretiva para ajustar o desempenho atual ao padrão desejado.


5.12. consideRações de PlanejaMento

Qualquer plano para gestão empresarial, independente a que nível destina-se, deve ser um documento que estabeleça os objetivos da organização, referentes a um próximo período, defina as estratégias e os programas de ação necessários para a consecução destes objetivos.

Este plano deve ser uma comunicação organizada, documentada e formal com as seguintes finalidades:

1. Propiciar uma fotografia atual da organização;

2. Explorar a situação da organização dentro de uma panorâmica futura, levando-se em conta uma análise de tendências;

3. Levantar ameaças e oportunidades, reais ou potenciais que a empresa poderá encontrar pela frente;

4. Estabelecer objetivos específicos e realísticos a serem atingidos pela organização;

5. Especificar as estratégias adotadas e os programas de ação necessários a consecução dos objetivos definidos;

6. Definir e atribuir responsabilidades pela execução dos programas, subprogramas e tarefas específicas;

7. Estabelecer prazos para a execução dos programas e os respectivos controles;


8. Apresentar metas, objetivos e programas devidamente quantificados e ou quando qualitativos, devidamente explicitados para que se estabeleçam os meios de controle e que sirvam de base para o planejamento de outros departamentos.

Dentre os principais benefícios auferidos pela organização neste processo de planejamento podemos citar os seguintes:

1. O raciocínio estruturado e disciplinado exigido para a própria documentação dos planos faz com que:

a) as condições da organização sejam analisadas com maior detalhes;

b) os objetivos sejam especificados com maior clareza;

c) os programas sejam estudados com maior atenção;

d) as responsabilidades pela consecução dos objetivos atribuídos de maneira mais explícita.

2. As consultas, as divergências e os acordos que devem ocorrer entre as pessoas do “headquarter” da empresa durante a elaboração do plano, oferecem o máximo de possibilidades aos diversos departamentos de serem orientados para o mesmo ponto, ou seja, para uma série de metas comuns, assim como de reduzir ao mínimo os problemas de coordenação durante a execução do plano.

3. O preparo formal do plano impõe a necessidade de estudar todos os problemas e oportunidades em conjunto, permitindo


a descoberta das interações existentes entre eles e a empresa em geral.

4. Os executivos responsáveis ficam sabendo sobre que bases os planos estão sendo apoiados, ao invés de ficarem na dependência de explicações verbais características do planejamento menos formal e completo.

5. As atividades de execução têm como base a obtenção de resultados importantes, porque o plano completo de destaque aos fatores críticos de sucesso.

6. Mediante a previsão do que pode ocorrer e dando atenção especial à preparação dos programas, o planejamento reduz os procedimentos contingenciais permitindo agir de maneira pró-ativa.

7. Os objetivos e os programas, incluídos no plano, são excelentes instrumentos de mensuração de resultados.

Além de todos os fatores que já foram citados, o preparo do Plano Diretor de Gestão de Riscos Empresarial proporciona a conscientização da mentalidade de Gestão de Riscos de forma capilarizada dentro da empresa despertando o interesse pelo tema. Este trabalho conjunto de forma interdisciplinar também diminui o nível de atrito durante a fase de implementação e cria vínculos mais fortes com os colaboradores.

Manual do PlanejaMento - portaldagestaoderiscos.com · Método de Mosler 1 4.3.3.3. ... 4.3.4....

Documents

Transcript of Manual do PlanejaMento - portaldagestaoderiscos.com · Método de Mosler 1 4.3.3.3. ... 4.3.4....