1526386544LIVRO_GRC_INTERNET_AF-

Prévia do material em texto

2a
edição
Revisada e 
ampliada
 com o 
coso 20
17 e iso 
31000:20
18
Antonio Celso Ribe iRo bRAs il iAno
INTELIGÊNCIA EM RISCOS
 Gestão InteGrada em rIscos corporatIvos
Dados Internacionais de Catalogação na Publicação (CIP) 
(Câmara Brasileira do Livro, SP, Brasil)
Brasiliano, Antonio Celso Ribeiro
 Inteligência em riscos [livro eletrônico]: gestão integrada em riscos corporativos / 
Antonio Celso Ribeiro Brasiliano. -- 2. ed. rev. e ampl. -- São Paulo: Sicurezza, 2018. 
14 Kb; PDF 
 “2ª edição revisada e ampliada com o COSO 2017 e ISO 31000:2018” 
Bibliografia. 
 1. Administração de riscos 2. Análise de risco 3. Planejamento estratégico 4. 
Riscos corporativos I. Título.
18-15505 CDD-658.155
Índices para catálogo sistemático:
1. Gestão e análise de riscos corporativo: Planejamento estratégico: Administração 
de empresas 658.155
Maria Paula C. Riyuzo - Bibliotecária - CRB-8/7639
Titulo Original:
Inteligência em riscos: Gestão integrada em riscos corporativos - 2ª edição revisada 
e ampliada com o COSO 2017 e ISO 31000:2018
© Copyright by Antonio Celso Ribeiro Brasiliano
2a edição, Abril de 2018
Todos os direitos reservados. É proibida a reprodução desta obra por qualquer meio, 
em seu todo ou em partes, sem autorização expressa do autor e do editor.
Direitos dessa edição cedidos por contrato para:
Sicurezza Gestão de Riscos Corporativos, Editora e Distribuidora Ltda
www.sicurezzaeditora.com.br
Telefone: 11 5531 6171
Email: contato@sicurezzaeditora.com.br
Coordenação/Edição: Enza Cirelli
Coedição: Matheus Fridori
Projeto Gráfico/Edição de Arte: Marina Brasiliano
2a
edição
Revisada e 
ampliada
 com o 
coso 20
17 e iso 
31000:20
18
Antonio Celso Ribe iRo bRAs il iAno
INTELIGÊNCIA EM RISCOS
 Gestão InteGrada em rIscos corporatIvos
5 
 À Silvia, pelo incanSável apoio ao longo de minha vida.
aoS meuS filhoS, Té e má, minha maior criação e fonTe de incenTivo.
aoS meuS neToS, anTonio e aniTa, guerreiroS da Terceira geração, 
que renovam conSTanTemenTe a energia da minha vida. 
6 
eScrever para mim Sempre é um proceSSo que chamo de “deSTruição criaTiva”, poiS conSidero 
momenToS de creScimenTo, incerTezaS e que Sempre São comparTilhadoS com inúmeraS 
peSSoaS, meSmo algumaS não Sabendo diSSo. agradeço em eSpecial algumaS delaS. 
À enza, minha Sócia, amiga, parceira, pelo fundamenTal SuporTe em TodaS aS 
noSSaS inveSTidaS como empreendedoreS, meSmo com alTo “apeTiTe ao riSco”, 
Soube apoiar noS momenToS críTicoS de noSSa caminhada empreSarial e ainda pela 
compreenSão da minha aTribulada vida. meu muiTo obrigado de coração! 
À Sandra, fiel eScudeira, hoje direTora, que começou como “pica poa” na braSiliano 
inTeriSK há maiS de 15 anoS, aguenTou a anSiedade e a corrida nervoSa do chefe, eSTudando 
e creScendo por Seu próprio mériTo, fiel e baTalhadora, SuporTou inúmeroS projeToS; 
ao guSTavo, gerenTe de conSulToria comigo há maiS de dez anoS, Também iniciou 
como “pica pau” na braSiliano inTeriSK, TeimoSo, maS baTalhador e perSpicaz;
ao daviS, gerenTe de projeToS, amigo há maiS de 35 anoS, deSde oS TempoS 
de TenenTe de cavalaria, TeimoSo, maS baTalhador e leal; 
AGRADECIMENTOS
7 
ao pedro paulo, gerenTe de projeToS, fanfarrão, amigo há maiS de 30 anoS, 
maS aguenTa bem o chefe anSioSo e nervoSo, leal e Trabalhador;
aoS conSulToreS mário, jefferSon, KíSSia, lucaS, álvaro 
e junior, pela paciência de “aTurar” um chefe anSioSo;
À marina e maTheuS, oS comunicadoreS e marqueTeiroS da braSiliano inTeriSK, 
que “aperTam e brigam” para que a reviSTa e o newS Saiam no prazo;
ao efraim, noSSo “imporTado” do maranhão, com muiTa honra, parceiro fiel já 
de ouTraS luTaS, hoje enfrenTando, como direTor de Ti e Sócio noSSo, da grande 
empreiTada da ferramenTa de Ti inovadora inTeriSK, dedicado, baTalhador e ouSado;
À Toda equipe de ouTSourcing que Trabalha lá noS confinS do pará e maTo groSSo 
em noSSoS projeToS de riScoS de Saúde e Segurança, claudemir, juliana, aguinaldo, 
dilTon, Thiago, bruno, edrielSon e éder, TodoS baTalhadoreS e dedicadoS;
À michele e ao miTSuo, por eSTarem há maiS de 15 anoS 
aguenTando o chefe anSioSo e nervoSo, aS vezeS; 
aoS amigoS e colegaS deSTe noSSo mercado exTremamenTe voláTil, incerTo, 
complexo e ambíguo, com o anacrônico vica, a quem Seria impoSSível 
nomear individualmenTe, que incenTivaram com palavraS e geSToS.
À TodoS meuS alunoS, TanTo oS do curSo de eSpecialização (mba), como oS doS 
curSoS de exTenSão, grandeS incenTivadoreS deSTa luTa conTínua da peSquiSa; 
À TodoS meuS clienTeS, oS verdadeiroS proTagoniSTaS deSTe Trabalho. 
8 
SUMÁRIO
Palavras do autor 9
 1. Introdução 18
 2. Contexto holístICo da gestão de rIsCos CorPoratIvos 20
 3. a gestão de rIsCos CorPoratIvos e os objetIvos estratégICos da organIzação 50
 4. a gestão de rIsCos CorPoratIvos e as 3 lInhas de defesa 59
 5. Melhores PrátICas – fraMeworks de MerCado 66
 6. ConCeIto de rIsCo – aPetIte ao rIsCo 127
 7. ConCeIto de rIsCo – rIsCo Inerente e rIsCo resIdual 159 
 8. Controles Internos e a gestão de rIsCos 162 
 9. fases do ProCesso de gestão de rIsCos CorPoratIvos – Método brasIlIano 166 
 10. CoMunICação e Consulta 177
 11. Contexto estratégICo 199
 12. IdentIfICação de rIsCos 234
 13. análIse e avalIação de rIsCos – Inerente 266
 14. análIse e avalIação de rIsCos – resIdual 285
 15. resPostas aos rIsCos 306
 16. MonItoraMento e análIse CrítICa 328
 17. o PerfIl do líder no Mundo vICa 330
 18. a transforMação do gestor de rIsCos na era da quarta revolução IndustrIal 338
ConClusão 355
referênCIas bIblIográfICas 357
sobre o autor 361
9 
PALAVRAS DO AUTOR
O atual contexto de Gestão de Riscos Corporativos das organizações, no Brasil e no mundo, está cada vez mais 
complexo e dinâmico, exigindo um processo com alta flexibilidade e, mandando um nível elevado da área de gestão 
de riscos, bem como uma maior tempestividade na avaliação contínua e na resposta a potenciais cenários de riscos. 
Esta 2a edição, abril de 2018, da Inteligência em Riscos: Gestão Integrada em Riscos Corporativos, foi elaborada 
em função da Revisão do COSO II 2004, agora denominado COSO ERM 2017 – Gerenciamento de Riscos Corporativos – 
Integrado com Estratégia e Performance, lançado em junho de 2017 e da ISO 31000 – Gestão de Riscos, que também 
sofreu revisão, tendo já sido publicada em março de 2018. Esta é a principal razão da revisão completa do Processo 
de Gestão e Análise de Riscos Corporativos, Método Brasiliano – Avançado, incluindo a troca do nome por Inteligência 
em Riscos – Gestão Integrada em Riscos Corporativos, pois as variadas disciplinas de riscos devem estar debaixo do 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
10 
mesmo Framework, falando a mesma linguagem, de tal forma que possa haver uma interpretação das informações 
relevantes gerando a verdadeira inteligência em riscos na organização. Esta Inteligência em Riscos Corporativos, inte-
gração das disciplinas, agrega valor para o negócio e, previne contra as incertezas do ambiente de negócios, ajudando 
desta forma a empresa a priorizar recursos. No entanto, outro desafio prioritário que se coloca é integrar a estrutura de 
gestão de riscos aos processos e às estratégias da organização. Além de mensurar os riscos da empresa, o objetivo 
destacado pelas organizações é a criação de uma função integrada às estratégias da organização, que gere e preserve 
valor aos acionistas.
Em junho de 2016, o COSO colocou em consulta pública uma revisão do modelo de 2004, adotando o título “Integra-
do com Estratégia e Performance”, para destacar a importância do gerenciamento de riscos tanto na definição quanto na 
execução da estratégia e no gerenciamento do desempenho organizacional. Com a incorporação dessa perspectiva, o 
modelo proporciona maior alinhamento às expectativas em torno das responsabilidades da governança e da alta admi-nistração no cumprimento das suas obrigações de accountability. A revisão atualiza os componentes, adota princípios, 
simplifica definições, enfatiza o papel da cultura e melhora o foco no valor: como as organizações criam, preservam 
e entregam valor, inserindo o gerenciamento de riscos em três dimensões fundamentais para a gestão eficaz de uma 
organização: 1o) a missão, a visão e os valores fundamentais; 2o) os objetivos estratégicos e de negócios; e 3o) o de-
sempenho organizacional. 
Em função das inovações, da volatidade, das incertezas e complexidades do mercado, o modelo revisado faz com que 
o gerenciamento de riscos seja um processo integrado com outros processos organizacionais, sobretudo os processos 
de governança, ajudando as empresas na definição da estratégia e dos objetivos, bem como medindo o desempenho 
com relação aos riscos. A revisão deu um salto qualitativo para o gestor de riscos, indo além da tradicional aplicação 
por áreas ou níveis dentro das organizações para a empresa como um todo. A versão final, publicada em junho de 
2017, recebeu o nome oficial de Gerenciamento de Riscos Corporativos – Integrado com Estratégia e Performance.
O novo framework COSO ERM 2017 – Gerenciamento de Riscos Corporativos – Integrado com Estratégia e Performance, 
explora o papel do risco na seleção da estratégia, enfatizando dois aspectos principais que podem ter um grande efeito 
no valor da organização: a possibilidade da estratégia não se alinhar e as implicações das escolhas estratégicas. 
Os aspectos enfatizados são: 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
11 
a) A possibilidade da estratégia – e, assim, os objetivos estratégicos e de negócios – não se 
alinhar com a missão, a visão e os valores fundamentais da organização;
b) As implicações da estratégia escolhida. 
O COSO ERM 2017 integra a gestão de riscos com a gestão do desempenho, explorando como que a identificação e 
avaliação de riscos podem impactar a implementação da estratégia e o alcance dos objetivos de negócios. 
Figura 1 – Definição dos objetivos estratégicos alinhados com a Missão, Visão e Valores, visando a Performance 
Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Executive Summary, 2017
Foi uma revisão substancial, elevando oficialmente, o gerenciamento de riscos para o nível estratégico das empresas. 
O COSO ERM 2017 reduziu os componentes do gerenciamento de riscos de oito para cinco, não tendo mais o famoso 
“cubo”. Formalizou e detalhou aos componentes, vinte princípios de gerenciamento de riscos, os quais representam di-
retrizes para práticas que podem ser aplicadas de diferentes maneiras por diferentes organizações, independentemen-
te de tamanho ou setor, e cuja implementação permitirá que a governança e a administração tenham uma expectativa 
razoável de que a organização entende e é capaz de gerenciar os riscos associados com a sua estratégia e os seus 
objetivos de negócio, em um nível aceitável.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
12 
Figura 2 – FRAMEWORK REVISADO 2017 – COSO ERM 2017 – Gerenciamento de Riscos Corporativos – Integrado com Estratégia e Performance 
Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Executive Summary, 2017
Como a revisão foi substancial, tivemos também que rever e pensar nossos processos de Gestão de Riscos. 
A revisão da 31000 foi estrutural e estratégica, onde gerenciar riscos baseia-se nos princípios, estrutura e processos 
delineados na nova ISO 31000:2018, conforme Figura 3. Estes componentes podem já existir total ou parcialmente na 
organização; contudo, podem necessitar ser adaptados ou melhorados, de forma que gerenciar riscos seja eficiente, 
eficaz e consistente.
A nova ISO 31000:2018 teve mudanças em seus princípios, que também fazem da gestão de riscos criarem valor 
para a empresa, sua estrutura, mais estratégica, dando maior responsabilidade direta a alta administração. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
13 
No seu framework a ISO 31000: 2018 eleva ao nível estratégico, e no estabelecimento do escopo, critério e contexto, 
o objetivo é personalizar o processo de gestão de riscos, permitindo um processo de avaliação de riscos eficaz e um 
tratamento de riscos apropriado. Escopo, contexto e critérios envolvem a definição do escopo do processo, a compreen-
são dos contextos externo e interno.
Figura 3 – Componentes da Gestão de Riscos: Princípios, Estrutura e Processo 
Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018, pg 5.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
14 
Com todas estas revisões nas melhores práticas, ISO 31000:2018, COSO ERM 2017 – Integrado com Estratégia e Per-
formance e com a ISO 31010 também sofrendo revisões, nós da Brasiliano INTERISK tivemos que colocar em prática 
nossa “destruição criativa” e também acompanhar a evolução das tecnicidades e dos modelos de gestão de riscos. 
Como a melhoria é contínua e nada permanece certo por muito tempo, tive que mudar a perspectiva sobre concei-
tos e aplicações, o que considero uma grande evolução do gerenciamento de riscos corporativos. Além disso, nosso 
framework, Método Brasiliano, acomoda diferentes pontos de vista e melhora as estratégias e a tomada de decisões. 
Portanto esta 2a edição apresenta: 
• Maior visibilidade do papel do gerenciamento de riscos corporativos ao estabelecer e executar a estratégia.
• Melhora o alinhamento entre desempenho e gerenciamento de riscos corporativos.
• Acomoda expectativas de governança e supervisão.
• Reconhece a globalização dos mercados e das operações e a necessidade de aplicar 
uma abordagem comum, embora personalizada, entre as geografias.
• Apresenta novas formas de ver o risco para a definição e a consecução de 
objetivos no contexto de uma maior complexidade empresarial.
• Expande relatórios para atender às expectativas de maior transparência das partes interessadas.
• Acomoda tecnologias em evolução e o crescimento da análise de dados no suporte à tomada de decisões.
Este livro foi totalmente remodelado, com novos critérios e novas ferramentas, alinhadas e integradas com os três 
Framework’s: a ISO 31000: 2018, o COSO I – Controles Internos, Revisado em 2013 e COSO ERM 2017 – Gerenciamen-
to de Riscos Corporativos – Integrado com Estratégia e Performance.
O motivo da integração das três estruturas em um só framework é que o ambiente de negócio, hoje, passa por fortes 
mudanças exigindo dos gestores e de seus administradores um modelo de gestão de riscos flexível, mas ao mesmo 
tempo consistente e estruturado para atender as regulações e exigências do mercado. 
Hoje podemos dizer que o mercado empresarial passa pelo que chamamos de VUCA em inglês, VICA em português, 
uma sigla utilizada para descrever a volatilidade (volatility), a incerteza (uncertainty), a complexidade (complexity) e a 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
15 
ambiguidade (ambiguity) nos ambientes e situações de negócio. Oriunda do vocabulário militar americano, o uso co-
mum do termo VICA começou no final dos anos 1990. O conceito VICA expressa a complexidade da nossa sociedade 
contemporânea, devido à interdependência e a globalização, situações que antes tinham pouco impacto, mas que ago-
ra refletem em toda sociedade. Por exemplo, a catástrofe de Fukushima, em 2011, fez as montadoras japonesas no 
Brasil pararem suas linhas produtivas devido à falta de peças. Ou seja, a interdependência é uma realidade no mundo 
globalizado e deve fazer parte da gestão deriscos. 
Partindo desta abordagem, o US Army War College formulou um programa de formação para o desenvolvimento das 
lideranças militares, ao nível estratégico, o qual contempla a adoção de metodologias adequadas para enfrentar o 
VICA e fazer frente a um ambiente extremamente agressivo e predador. O US Army College, caracteriza os componentes 
deste contexto envolvente do seguinte modo:
- Volatilidade: é marcada pelo ritmo elevado com que ocorrem mudanças com impacto na vida das 
sociedades desenvolvidas e, concomitantemente, nas suas organizações. Assim, no atual contexto de uma 
Era da Informação e do Conhecimento, os dados e as evidências existentes no momento presente podem 
não ser suficientes para a tomada de decisão. Antecipar e prever o que pode acontecer, por exemplo 
durante o período de execução de um projeto, são dimensões, por vezes, absolutamente decisivas.
- Incerteza: é uma característica do contexto marcada pela necessidade de se assumir que o conhecimento 
sobre uma dada situação é sempre incompleto, potencializando deste modo o aparecimento de opiniões 
divergentes sobre a melhor estratégia a prosseguir, exigindo uma cuidadosa análise do risco. De fato, 
é cada vez mais difícil levantar cenários futuros com base em acontecimentos passados.
- Complexidade: característica do contexto envolvente que está associada à dificuldade de compreender o 
resultado das interações das várias componentes de um sistema, uma vez que estas raramente são de natureza 
mecanicista e linear. A Teoria da Complexidade vem, deste modo, mostrar a interdependência essencial de 
todos os fenômenos. Neste ponto, a assunção de fenômenos complexos, no seio de uma organização, impõe 
a necessidade de admitir interações não-lineares entre os componentes do sistema, com consequências 
que se multiplicam rápida e imprevisivelmente. Característica mais marcante do século XX e XXI!
- Ambiguidade: descreve um tipo específico de incerteza que resulta de diferenças na interpretação quando as evidências 
existentes são insuficientes para esclarecer o significado de um determinado fenômeno. Na prática, no âmbito da 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
16 
gestão das organizações, a consequência deste fato é a elevada probabilidade das lideranças poderem interpretar, 
legitimamente, eventos de formas diferentes, aumentando significativamente a probabilidade de erros na interpretação dos 
mesmos. A imprecisão da realidade, o potencial de erros de leitura, os significados mistos de condições; a falta de ação, 
confusão entre causa e efeito e a falta de clareza. Para Greg Hutchins, especialista americano em gestão da qualidade 
e gestão de risco: “nós estamos saindo de um mundo linear de saber a solução dos problemas e tomar uma decisão 
clara para um mundo dinâmico de entender o sentido, de tomada de decisão baseada no risco, em condições VICA.”
O mundo VUCA e/ou VICA só pode ser gerenciado com base em riscos. Daí a importância de todos os gestores sa-
berem e/ou possuírem a competência de lidar com as incertezas. 
O mundo VICA é baseada na própria gestão de riscos, lidando com cenários complexos e altamente dinâmicos, onde 
se exige dos gestores:
- Visão do todo e não da parte, o gestor tem que enxergar a floresta e não a árvore; 
- Grande velocidade na tomada de decisão (o movimento é mais importante, não podemos 
ficar parado, se ficarmos o inimigo mata! O ótimo é inimigo do bom, conhecem?); 
- Não ortodoxia, pensar fora da caixa, não dogmatizar soluções, ser criativo diante das incertezas; 
- Colaboração e co-criação entre as equipes, redes de colaboração, estar conectado para o entendimento rápido do contexto; 
- Agilidade, saber mover-se com grande flexibilidade, possuir estrutura leve para poder carregar.
O mundo VICA é um mundo que para ser vencido é preciso possuir estes preceitos, o velho novo conceito da Gestão 
de Riscos. Por esta razão que a Gestão de Riscos deve ser internalizada nas empresas de forma a possuir capilarida-
de em todos os processos e respectivos níveis organizacionais. Com isto, a média e alta gerência das organizações 
estarão aptas a lidarem com o mundo VICA e, desta forma, a empresa terá uma grande vantagem competitiva frente 
aos seus adversários.
Após um grande período de economia pujante, o temor de uma recessão voltou a assombrar nós brasileiros. As in-
certezas econômicas e políticas impulsionam esse cenário desafiador no Brasil, e ainda não há uma perspectiva clara 
de quanto tempo ele durará e qual é sua real profundidade. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
17 
Além do esgotamento de um modelo de crescimento com base no consumo, o País convive com inseguranças que 
afetam o mercado de forma mais ampla, como custo de energia, escassez de recursos hídricos, falta de profissionais 
qualificados e mudança demográfica dos consumidores. Some-se a isto volatilidade do câmbio, aumento da taxa de 
juros e pressão inflacionária, e aí temos um “VICA” perfeito para gerenciar. 
Crises são cíclicas, inevitáveis e sempre desafiadoras, mas sempre é possível aos líderes aproveitarem as oportu-
nidades vindas com elas para obterem uma vantagem competitiva e melhor posicionarem suas empresas para o mo-
mento de retomada do crescimento.
Para apoiar a gestão da organização nesse caminho desafiador, é que apresento meu livro, que traz reflexões para 
apoiar a travessia desse período, mantendo-se atento às oportunidades que possam surgir com ela.
O livro reúne as informações e orientações para que os gestores de riscos, de qualquer disciplina, possam, de for-
ma prática e objetiva, elaborarem a sua gestão de riscos, enxergando e compreendendo as incertezas do futuro. Nos 
últimos cinco anos o Brasil teve inúmeros exemplos de concretização de riscos corporativos com consequências mas-
sivas para as suas corporações e respectivas comunidades, por falta direta ou indireta de um processo estruturado de 
gestão de riscos. É uma motivação para que os profissionais e os líderes repensem as causas e não cometemos mais 
os erros crassos que potencializaram os eventos. 
Encerro minhas palavras pedindo que os leitores façam uma reflexão nas palavras do explorador da Antártica 
Norman Vaughan, quando tiverem dificuldade de colocar em prática o processo ou encontrarem resistência de seus 
pares ou superiores: 
“Sonhe grande e ouse fracassar.”
Não tenhamos medo neste mundo de incerteza, se temos convicção, vamos em frente!!
Sucesso a todos!
Antonio Celso Ribeiro Brasiliano
Abril de 2018
18 
As empresas devem estar comprometidas com seus clientes, acionistas, parceiros comerciais e com a sociedade em 
que atua, focando esforços em reduzir os riscos existentes e/ou os que possam se manifestar no futuro e também na 
maximização das oportunidades de negócio. Para tanto, é necessário conhecer os riscos que a afetam e seus impactos 
sobre os seus negócios. 
Os riscos permeiam todos os níveis das atividades do negócio e, se não forem gerenciados adequadamente, poderão 
resultar em perdas financeiras, deterioração da imagem e reputação ou desencadear uma crise.
O gerenciamento de riscos tem se tornado um assunto de suma importância no meio empresarial, uma vez que a 
conscientização da necessidade de administração dos riscos potenciais é, hoje, uma questão de competitividade e 
sobrevivência.
1. INTRODUÇÃO
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
19 
Para que seja eficaz, o gerenciamento de riscos deve fazer parte da cultura de qualquer empresa e deve estar inserido 
em sua filosofia, nas práticas e nos processos de negócio.
O Método Avançado de Gestão de Riscos Corporativos – Método Brasiliano fornece um processo para a identificação 
e avaliação dos riscos. Este método descreveos passos a serem percorridos, as ferramentas, os critérios a serem 
utilizados tanto na mensuração da probabilidade como do impacto, além de estabelecer, tendo em vista a criticidade 
e apetite ao risco a priorização das ações a serem executadas. É uma ferramenta de gestão, integrada com as três 
melhores e mais utilizadas práticas de mercado: ISO 31000: 2018, COSO I: 2013 e COSO ERM 2017. Portanto é uma 
das únicas metodologias que integrou os três conceitos em um único Framework, facilitando desta forma a utilização 
por parte dos gestores.
20 
2.1 Origem da gestãO de riscOs 
A origem da gerência de risco teve seu início efetivo nos Estados Unidos e em alguns países da Europa, logo após a 
segunda Guerra Mundial, tendo os responsáveis pela segurança das grandes empresas, bem como, os responsáveis 
pelos seguros, começando a examinar a possibilidade de reduzir os gastos com prêmios de seguro e aumentar a pro-
teção da empresa, frente aos perigos reais e potenciais. Só seria possível atingir tais objetivos, redução dos custos, 
com uma profunda análise das situações de risco. 
Além da avaliação das probabilidades de perda, tornou-se necessário identificar quais riscos poderiam ser conside-
rados inevitáveis e quais poderiam ter a chance diminuída, de concretização, de forma direta. Em cima deste estudo 
2. CONTEXTO HOLÍSTICO 
DA GESTÃO DE RISCOS 
CORPORATIVOS
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
21 
detalhado, levantou-se a relação Custo x Benefício das medidas de segurança a serem implantadas, bem como, a 
situação financeira da empresa, para escolha adequada do nível de segurança a ser atingido.
A partir da década de 70, o gerenciamento de riscos ligado à área de crédito e financeiro, tomou uma proporção 
grande, tendo em vista os sinais dos tempos de mudança. A desregulamentação, a globalização e a desintermediação 
mudaram a definição dos mercados e alteraram os aspectos econômicos das operações desses mercados.
Uma pesquisa recente, realizada pela British Bankers’ Association (BBA), levantou que 70% dos bancos do Reino Uni-
do consideravam seus riscos operacionais tão importantes quanto os riscos de crédito e de mercado. Quase um quarto 
daqueles bancos havia experimentado perdas relacionadas a operações de US$ 1,6 milhões de dólares. Dados históri-
cos de perdas da Operational Risk Inc (ORI) sugerem que em mais de 50 casos, instituições individuais perderam mais 
de US$ 500 milhões cada uma, enquanto que, em 30 casos, empresas perderam acima de US$ 1 bilhão cada uma.
Dentro deste enfoque, o entendimento de risco corporativo começou a tomar um outro corpo dentro das organiza-
ções. Embora o risco acompanhe o homem e é inerente à sua natureza, as organizações começaram a observar e 
sentir que nem todos os riscos eram iguais. O que existe, quando se faz uma viagem de avião, não é igual ao de uma 
dona de casa nas suas tarefas domésticas, nem estes são comparáveis ao de um navegante solitário que cruza o 
Atlântico. A era da crença excessiva na racionalidade gerencial parece ter chegado ao fim. Hoje, sabe-se que o mundo 
organizacional é mais complexo e ambíguo do que se pensava. A atuação gerencial, hoje, convive com a imprevisibili-
dade e com a ambiguidade. E um dos elementos principais dessa convivência é ter que tomar decisões baseadas em 
informações incompletas e/ou em constante mudança. O mundo VICA!
Os acontecimentos em 2001, desde o ataque terrorista até as grandes fraudes nas corporações americanas, e, em 
2015 no Brasil, os casos de fraudes e corrupção, passaram a sensibilizar os decisores quanto à necessidade de mo-
nitorar, de forma constante, as variáveis internas e externas às empresas. Variáveis estas que podiam influenciar sua 
Cadeia de Valor. Ou seja, a necessidade de administrar riscos, tanto reais como os potenciais, passa a ser, hoje, uma 
questão de competitividade e sobrevivência.
Num cenário onde as mudanças são velozes, as instabilidades permanentes e há um predomínio de alta imprevisi-
bilidade, a formulação de estratégias organizacionais já não pode combinar com métodos tradicionais de projeção e 
análise. Mais uma vez o mundo VICA comparece integrado com a gestão de riscos, visando gerenciar a incerteza.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
22 
2.2 a NOva FuNçãO dO gereNciameNtO de 
riscOs cOrpOrativOs – iNteligêNcia em riscOs 
Cabe, antes de prosseguir, definirmos a Gerência de Risco, sob o aspecto do seguro, onde quase tudo começou, 
vejamos: “O processo para conservar o poder de ganho e o patrimônio da empresa (ou pessoa) pela minimização do 
efeito financeiro de perdas acidentais” (Jaime Cristy).
É preciso, também, estabelecer a distinção entre risco puro e risco especulativo. Os vários autores e estudiosos, 
principalmente norte-americanos, da Gerência de Riscos, digamos, “tradicional”, têm classificado os riscos que podem 
atingir uma empresa, basicamente, em riscos especulativos (ou dinâmicos) e riscos puros (ou estáticos).
A diferença principal entre essas duas categorias, reside no fato de que os riscos especulativos envolvem uma chan-
ce de ganho ou uma mesma possibilidade de perda; ao passo que os riscos puros envolvem somente uma possibilida-
de de perda, não existindo nenhuma chance de ganho ou de lucro.
Um exemplo clássico, que mostra essa diferença, é o do proprietário de um veículo, cujo risco (puro) que está asso-
ciado a ele é o da perda potencial por colisão. Se ocorrer eventualmente uma colisão, o proprietário sofrerá, no mínimo, 
uma perda financeira. Se não ocorrer nenhuma colisão, o proprietário não terá, obviamente, nenhum ganho.
Hoje em dia a visão e o escopo do gerenciamento de risco corporativo ficou muito mais amplo, muito mais holístico, 
abrangendo inúmeras disciplinas nas empresas, decorrentes das atividades desenvolvidas nas organizações. A alta 
direção deve ter uma visão consolidada de suas exposições, sejam operacionais, legais, financeiras e ou estratégicas. 
Para este fim, é necessária a criação de uma área específica, com uma estrutura e recursos definidos. 
As atividades de um departamento de gerenciamento de riscos corporativos, dentro do enfoque moderno, abrangem 
inúmeras disciplinas. Muitas dessas atividades são comuns a uma ampla gama de funções administrativas. Por esta 
razão, é que este departamento deve possuir processo sistêmico e contínuo de identificação de exposição, medição, 
análise, controle, prevenção, redução, avaliação e financiamento de riscos. Esta nova função ajuda a integrar riscos 
financeiros e não financeiros tradicionais a seguros e responsabilidade legal. É uma área que possui uma grande 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
23 
abrangência, mas com muitas interações através de diferentes disciplinas e, portanto, com uma necessidade de uma 
abordagem integrada. Algumas das disciplinas de riscos que devem se interagir são:
1. Riscos Estratégicos;
2. Riscos Operacionais – Ligados à Operação;
3. Riscos nos Processos;
4. Riscos de Tecnologia da Informação;
5. Riscos Cibernéticos;
6. Riscos do Negócio;
7. Riscos de Meio Ambiente;
8. Riscos de Saúde E Segurança Do Trabalhador;
9. Riscos de Segurança Empresarial;
10. Riscos do Mercado – Financeiros;
11. Riscos de Liquidez – Financeiros;
12. Riscos de Crédito – Financeiros;
13. Riscos de Ativos;
14. Riscos de Facilidade;
15. Riscos Legais;
16. Riscos Sociais;
17. Riscos de Sustentabilidade;
18. Riscos de Comunicação;
19. Riscos de Fraudes;
20. Riscos na Cadeia Logística;
21. Riscos no Projeto;
22. Outras tantas disciplinas.
Estas disciplinas devem estar integradas com um único Framework e com Políticas integradas, visando a empresa falar 
uma mesma linguagem. Este é o principal desafiodas empresas, integrar as disciplinas para que possam possuir a cha-
mada Inteligência em Riscos Corporativos – IRC. 
O gerenciamento de riscos, sob este enfoque, contribui para o fortalecimento e a eficácia operacional e financeira da 
empresa, na medida que proporciona mecanismos de alocação de recursos para o seu emprego mais eficiente e eficaz, 
atingindo de forma direta a efetividade.
Portanto a função do gestor de riscos é de integrar disciplinas e gerenciar as informações das inúmeras disciplinas de 
riscos. O gestor de riscos tem que relacionar os diversos riscos e verificar as interdependências entre eles. Hoje por si só 
não existe mais a possibilidade de só ter como ferramenta de gestão a Matriz de Riscos, mas deve também ter a Matriz 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
24 
de Impactos Cruzados para ver a motricidade entre riscos. Segundo o Fórum Econômico Mundial, em seu Relatório de 
Riscos Globais de 2015 ressalta: “A edição 2015 do relatório de Riscos Globais completa uma década destacando os 
riscos a longo prazo mais significantes ao redor do mundo, extraindo as perspectivas de especialistas e dos tomadores 
de decisões globais. Nesse tempo, a análise mudou da identificação dos riscos a pensar através das interconexões dos 
riscos e os potenciais efeitos-cascata que resultarão deles.”
Podemos então afirmar que a função do gestor de riscos corporativos é possuir Inteligência em Riscos, levado para a alta 
administração os riscos considerados mais críticos, já com as conexões feitas. A figura abaixo mostra os entregáveis que 
um gestor de riscos precisa elaborar para oferecer uma visão estratégica para a alta direção e conselho de administração. 
Figura 4 – Visão Holística da Inteligência em Riscos
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
25 
Com o modelo acima entendemos a Inteligência em Riscos em integrar soluções e indicadores, fornecendo para 
os decisores a visão holística dos riscos considerados críticos e as respectivas soluções integradas, com um farol 
de monitoramento de acompanhamento das evoluções. Desta forma, a organização possuirá verdadeiramente con-
dições operacionais de se antecipar de forma objetiva a possíveis riscos, trabalhando de forma preventiva e não só 
de forma reativa. A organização ganha com isso: velocidade e competitividade, fatores chaves de sucesso em um 
mundo VICA!
A abrangência da área da Gestão de Riscos Corporativos é muito grande, deixando de ser somente uma aborda-
gem financeira e regulamentar – trabalhista, tributária e de investimento. A tendência é que a área de gestão de 
riscos caminhe para fatores de interesse de seus stakeholders, com forte atenção à imagem e à reputação das 
organizações. Por esta razão a amplitude cresceu e acabou abrangendo a organização como um todo, envolvendo as 
médias gerências como responsáveis na gestão de riscos corporativos. Desta maneira, a área de riscos passa atuar 
como uma área de Inteligência em Riscos, ou seja, de interpretação das informações e utilização de ferramentas 
estratégicas. A figura a seguir demonstra esta abrangência nas áreas e processos das organizações, incluindo os 
fornecedores críticos/estratégicos. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
26 
Figura 5 – Abrangência da área de Gestão de Riscos Corporativos nas empresas.
Outro ponto a destacar na nova função do Gerenciamento de Riscos Corporativos e do seu gestor é o foco de atuação 
que primordialmente é o da prevenção, o da antecipação, mas também, como resposta aos cenários de riscos, tem que 
ter estruturado respostas de emergências, descontinuidade de negócio e de crises. Atualmente o mercado identificou 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
27 
a necessidade de uma abordagem integrada a gestão de riscos, envolvendo temas como mercado, estratégia, modelo 
de negócio, segurança cibernética, anticorrupção e reputação corporativa. Essa abordagem demanda compreender e 
responder a interconectividade entre riscos de diferentes naturezas à medida que, e muito impulsionado pela tecno-
logia, os mais variados fatores podem gerar cenários de descontinuidade e de crises, impactando as operações e os 
respectivos resultados das empresas no curto, médio e longo prazo. 
Frente a este novo contexto, mundo VICA, torna-se imperioso que as empresas intensifiquem esforços no aprimora-
mento nas estruturas integradas – Inteligência em Riscos – onde o gestor possa enxergar e trabalhar tanto a prevenção 
como as contingências. Na verdade, a função do gestor de riscos é de um “chapéu de dois bicos”: um lado a prevenção 
e do outro as respostas para as emergências, continuidade de negócio e crises empresariais. Tudo isso integrado em 
um único framework. 
A função da gestão de riscos, vista sob a ótica estratégica, atua no aumento da resiliência empresarial. Nesse 
sentido, a maturidade dessa função interfere diretamente na qualidade e entendimento global dos riscos, sejam eles 
internos e ou externos, que podem produzir relevantes cenários de descontinuidade e ou de crises. 
O grande passo da gestão de riscos está relacionado com a definição e a qualificação de um panorama dos poten-
ciais cenários de descontinuidade e de crise, que podem e ou devem serem gerados com base na avaliação geral de 
riscos operacionais, legais e estratégicos, levando em consideração a linguagem comum de riscos e o impacto para 
as operações e a reputação da empresa. Essa base de potenciais cenários de descontinuidade e ou de crises deverão 
orientar a estruturação dos planejamentos das respostas estruturadas e respectivas alternativas. É nesse momento 
que, deve se definir, com extrema clareza, o nível de complexidade e dimensão do impacto no contexto (empresa e 
sociedade como um todo).
Na figura a seguir podemos visualizar uma visão holística do processo preventivo e contingencial da função do gestor 
de riscos do século XXI. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
28 
Figura 6 – Visão do processo Macro do GRC: prevenção, emergência, crise, continuidade e a recuperação dos negócios 
2.3 categOrias de riscOs 
Não há uma fórmula para classificar riscos corporativos. Não existe uma classificação de riscos que seja consensual, 
exaustivo e aplicável a todas as organizações; a classificação deve ser desenvolvida de acordo com as características 
de cada organização, contemplando as particularidades da indústria, mercado e setor de atuação.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
29 
Por exemplo: os estoques de materiais de consumo são menos relevantes para um banco do que para uma indús-
tria, onde pode representar um dos principais fatores de risco. Analogamente, as variáveis relacionadas ao “risco de 
mercado” são cruciais para um banco e podem não ser tão relevantes para determinada organização manufatureira.
Portanto, dependendo do tipo de segmento que a empresa atua podemos ter as seguintes categorias de riscos: de 
mercado, de crédito, operacional, legal, estratégico e de liquidez e/ou atuarial.
2.3.1 riscOs de mercadO
Os riscos de mercado podem ser definidos como uma medida numérica da incerteza relacionada aos retornos espe-
rados de um investimento, em decorrência de variações em fatores como taxas de juros, taxas de câmbio, preços de 
ações e commodities. As principais subáreas dos riscos de mercado são: 
a) Risco de Taxas de Juros
Pode ser definido como o risco de perda no valor econômico de uma carteira, decorrente dos efeitos 
de mudanças adversasdas taxas de juros. Podemos citar como exemplos: 1) Eventual perda do 
valor de mercado de títulos públicos (BBCs, brady bonds, etc.) ou privados (corporate eurobonds, 
etc.); 2) Encarecimento do custo de funding; 3) Queda da taxa de reinvestimento.
b) Risco de Taxas de Câmbio
Pode ser definido como o risco de perdas devido a mudanças adversas nas taxas de câmbio. Dois exemplos: 1) 
Variação nos preços de NTN-Ds, NBC-Es, NBC-Fs, de ativos internacionais negociados em moeda estrangeira, devido à 
apreciação/depreciação relativa de moedas; 2) Descasamentos em uma carteira indexada a alguma moeda estrangeira.
c) Risco de Commodities
Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de commodities. 
Exemplo: Variação nos preços de carteiras constituídas por ouro, prata, platina, soja, café, boi gordo, cacau, etc.
d) Risco de Ações
Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de ações. Exemplo: Variação 
nos preços de carteiras constituídas por ações como Petrobras PN, Vale PN, Eletrobras PNB, ADRs de Usiminas PN, etc.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
30 
e) Risco de Liquidez
Pode ser definido como o risco de perdas devido à incapacidade de se desfazer rapidamente uma posição, ou obter 
“funding”, devido às condições de mercado. Exemplos: 1) Carteiras de eurobonds brasileiros, ações de segunda 
e terceira linhas, alguns contratos futuros negociados na BM&F, etc.; 2) Situações em que não é possível “rolar” 
dívidas nos mercados financeiros; 3) Ajustes de margens que venham a consumir a liquidez da instituição.
f) Risco de Derivativos
Pode ser definido como o risco de perdas devido ao uso de derivativos (seja para especulação, seja para 
hedge). Exemplo: Variação no valor de posições de contratos de swaps, futuros, a termo, opções, etc.
g) Risco de Hedge
Pode ser definido como o risco de perdas devido ao uso inapropriado de instrumentos para hedge. 
Exemplos: 1) Perdas por falta de rebalanceamento dinâmico de hedges em resposta a movimentos 
bruscos no mercado; 2) Hedge subótimo de ativos/passivos (opções cambiais, brady bonds, etc.).
h) Risco de Concentração (mercado)
Pode ser definido como o risco de perdas devido à não diversificação do risco de 
mercado de carteiras de investimentos. Exemplos: Investimentos excessivamente 
concentrados em poucos indexadores, moedas, ativos, vencimentos, etc.
2.3.2 riscOs de créditO
Os riscos de crédito podem ser definidos como uma medida numérica da incerteza relacionada ao recebimento de 
um valor contratado/compromissado, a ser pago por um tomador de um empréstimo, contraparte de um contrato ou 
emissor de um título, descontadas as expectativas de recuperação e realização de garantias. As principais subáreas 
dos riscos de crédito são: 
a) Risco de Inadimplência
Pode ser definido como o risco de perda pela incapacidade de pagamento do tomador de um empréstimo, 
contraparte de um contrato ou emissor de um título. Exemplos: 1) Não pagamento de juros e/ou principal 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
31 
de crédito pessoal, empréstimos para pessoa jurídica, cartão de crédito, leasing, etc.; 2) Não pagamento de 
juros e/ou principal de títulos de renda fixa (nacionais/internacionais, públicos/privados) pelo emissor.
b) Risco de Degradação de Crédito
Pode ser definido como o risco de perdas pela degradação da qualidade creditícia do tomador de um 
empréstimo, contraparte de uma transação ou emissor de um título, levando a uma diminuição no valor de suas 
obrigações. Exemplo: Perdas em títulos soberanos e/ou corporativos pela redução do rating do país emissor.
c) Risco de Degradação das Garantias
Pode ser definido como o risco de perdas pela degradação da qualidade das garantias oferecidas por um tomador 
de um empréstimo, contraparte de uma transação ou emissor de um título. Exemplos: 1) Empréstimos cujas 
garantias não mais existam; 2) Depreciação no valor das garantias depositadas em bolsas de derivativos.
d) Risco Soberano
Pode ser definido como o risco de perdas pela incapacidade de um tomador de um empréstimo, contraparte 
de uma transação ou emissor de um título, em honrar seus compromissos em função de restrições impostas 
por seu país-sede. Exemplo: Transações que envolvam transferências internacionais de títulos ou de câmbio.
e) Risco de Financiador
Pode ser definido como o risco de perdas por inadimplência do financiador de uma transação, potencializada quando o 
contrato não contempla acordo de liquidação por compensação de direitos e obrigações (netting agreement). Exemplo: 
Repurchase transactions que não contemplem o netting de direitos/obrigações (ao contrário dos ISMA Agreements).
f) Risco de Concentração (crédito)
Pode ser definido como o risco de perdas em decorrência da não diversificação de risco de crédito de 
investimentos. Exemplos: 1) Concentrar empréstimos em poucos setores da economia, classes de ativos, etc.; 
2) Possuir parte substancial dos passivos de um devedor (por exemplo, um emissor de debêntures).
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
32 
2.3.3 riscOs OperaciONais
Os riscos operacionais podem ser definidos como uma medida numérica da incerteza dos retornos de uma institui-
ção, caso seus sistemas, práticas e medidas de controle não sejam capazes de resistir a falhas humanas, danos à 
infraestrutura de suporte, utilização indevida de modelos matemáticos ou produtos, alterações no ambiente dos negó-
cios, ou a situações adversas de mercado. As principais subáreas dos riscos operacionais são: 
a) Risco de Overload
Pode ser definido como o risco de perdas por sobrecargas nos sistemas elétrico, telefônico, de processamento 
de dados, etc. Exemplos: 1) Sistemas não operacionais em agências bancárias, por acúmulo de informação nos 
canais de comunicação com a central de atendimento; 2) Linhas telefônicas constantemente ocupadas.
b) Risco de Obsolescência
Pode ser definido como o risco de perdas pela não substituição frequente dos equipamentos e softwares 
antigos. Exemplos: 1) Versões atualizadas de softwares não compatíveis com hardware antigo; 2) 
Impossibilidade de integrar sistemas computacionais desenvolvidos em versões de softwares diferentes.
c) Risco de Presteza e Confiabilidade
Pode ser definido como o risco de perdas, pelo fato de informações não poderem ser recebidas, 
processadas, armazenadas e transmitidas em tempo hábil e de forma confiável. Exemplos: 1) 
Situações em que informações consolidadas sobre exposição de um banco não podem ser obtidas 
em tempo hábil para análise; 2) Impossibilidade de prestar informações precisas em determinados 
horários devido à atualização de bancos de dados ocorrer por processamento em batch.
d) Risco de Equipamento
Pode ser definido como o risco de perdas por falhas nos equipamentos elétricos, de processamento 
e transmissão de dados telefônicos, de segurança, etc. Exemplos: 1) Redes de micros contaminados 
por vírus; 2) Discos rígidos danificados; 3) Telefonia não operacional por falta de reparos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
33 
e) Risco de erro não Intencional
Pode ser definido como o risco de perdas em decorrência de equívoco, omissão, distração ou negligência 
de funcionários. Exemplos: 1) Mal atendimento de correntistas (má vontade, falta de informação, etc.); 2) 
Posicionamento da tesouraria no mercado contrário ao especificado pelo Comitê de Investimentos.
f) Risco de Fraudes
Pode ser definido como o risco de perdas em decorrência de comportamentos fraudulentos 
(adulteração de controles, descumprimento intencional de normas da empresa, desvio de valores, 
divulgaçãode informações erradas, etc.). Exemplos: 1) Desvio de dinheiro de agência bancária; 
2) Aceitação de “incentivos” de clientes para conceder crédito em valores mais elevados.
g) Risco de Qualificação
Pode ser definido como o risco de perdas pelo fato de funcionários desempenharem tarefas sem 
qualificação profissional apropriada à função. Exemplos: 1) Uso de estratégias de hedge com 
derivativos, sem conhecimento por parte do operador das limitações desta; 2) Cálculo de perdas 
e lucros em carteiras, sem conhecimento dos mercados; 3) Iniciar operações em mercados 
“sofisticados”, sem contar com equipes (back-office e front-office) devidamente preparadas.
h) Risco de Produtos e Serviços
Pode ser definido como o risco de perdas em decorrência da venda de produtos ou prestação de serviços ocorrer 
de forma indevida, ou sem atender às necessidades e demandas de clientes. Exemplos: 1) Envio de cartões de 
crédito sem consulta prévia ao cliente; 2) Recomendar a clientes de perfil conservador o investimento em fundos 
de derivativos alavancados diante de um bom desempenho no passado recente desses mesmos fundos.
i) Risco de Regulamentação
Pode ser definido como o risco de perdas em decorrência de alterações, impropriedades ou inexistência de normas 
para controles internos ou externos. Exemplos: 1) Alteração de margens de garantia ou de limites de oscilação em 
bolsas de derivativos sem aviso antecipado ao mercado; 2) Front-office responsável pela operação do back-office.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
34 
j) Risco de Modelagem
Pode ser definido como o risco de perdas pelo desenvolvimento, pela utilização ou interpretação 
incorreta dos resultados fornecidos por modelos, incluindo a utilização de dados incorretos. 
Exemplos: 1) Utilizar software comprado de terceiros, sem conhecimento de suas limitações; 2) 
Utilizar modelos matemáticos, sem conhecimento de suas hipóteses simplificadoras.
k) Risco de Liquidação Financeira
Pode ser definido como o risco de perdas em decorrência de falhas nos procedimentos e 
controles de finalização das transações. Exemplos: 1) Envio e/ou recebimento de divisas 
em praças com diferentes fusos horários, feriados, regras operacionais, etc.
l) Risco Sistêmico
Pode ser definido como o risco de perdas devido a alterações no ambiente operacional. Exemplos: 
1) Alteração abrupta de limites operacionais em bolsas, levando todas as instituições financeiras 
a dificuldades; 2) Modificação repentina de base de cálculo de tributos corporativos.
m) Risco de Concentração (operacional)
Pode ser definido como o risco de perdas por depender de poucos produtos, clientes e/ou mercados. Exemplo: Bancos 
que só operem financiando clientes de determinado segmento (por exemplo, setor automotivo, crédito a lojistas, etc.).
n) Risco de Imagem
Pode ser definido como o risco de perdas em decorrência de alterações da reputação com clientes, concorrentes, 
órgãos governamentais, etc. Exemplo: Boatos sobre a saúde de uma instituição, desencadeando corrida para saques.
o) Risco de Catástrofe
Este pode ser definido como o risco de perdas devido a catástrofes (naturais ou não). Exemplos: 1) 
Desastres naturais (enchentes) que dificultem a operação diária da instituição ou de áreas críticas como 
centros de processamento, de telecomunicações, etc. 2) Destruição do patrimônio da instituição por 
desastres que abalem a estrutura civil de prédios (colisão de aviões, caminhões, etc.), incêndios, etc.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
35 
2.3.4 riscOs legais
Os risco legais podem ser definido como uma medida numérica da incerteza dos retornos de uma instituição, caso 
seus contratos não possam ser legalmente amparados por falta de representatividade por parte de um negociador, por 
documentação insuficiente, insolvência ou ilegalidade. As principais subáreas dos riscos legais são:
a) Risco de Legislação
Pode ser definido como o risco de perdas decorrentes de sanções por reguladores e indenizações por danos 
a terceiros por violação da legislação vigente. Exemplos: 1) Multas por não cumprimento de exigibilidades; 
2) Indenizações pagas a clientes por não cumprimento da legislação; 3) Interdição de projetos, obras, 
empresas por violação da legislação vigente; 4) Processo crime para uso administradores por violação.
b) Risco Tributário
Pode ser definido como o risco de perdas devido à criação ou nova interpretação da 
incidência de tributos. Exemplos: 1) Criação de impostos novos sobre ativos e/ou produtos; 
2) Recolhimento de novas contribuições sobre receitas, não mais sobre lucros.
c) Risco de Contrato
Pode ser definido como o risco de perdas decorrentes de julgamentos desfavoráveis por contratos omissos, 
malredigidos ou sem o devido amparo legal. Exemplos: 1) Pessoa sem poder para assinar contratos 
representando a instituição; 2) Não execução pronta de garantias, requerendo o acionamento do jurídico; 
3) Responsabilidades cobertas nos contratos de terceirização colocadas de forma pouco objetivas.
2.3.5 riscOs estratégicOs 
Os riscos estratégicos alvejam um ou mais elementos cruciais na concepção do modelo de negócio da empresa, ou 
seja, afeta as atividades primárias da Cadeia de Valor. Em alguns casos podem até acabar com o vínculo da empresa 
com o mercado. Em outros casos, diminuem a proposta de valor que a empresa oferece, que pode ser a base do fluxo 
de receita. Podem também diluir os lucros dos quais dependem. Às vezes destroem a gestão estratégica que ajuda a 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
36 
empresa a monitorar e controlar a concorrência. No pior cenário possível, riscos estratégicos podem ameaçar todos os 
pilares que sustentam os objetivos da empresa. 
No contexto moderno seguindo a citação de Adrian J. Slywotzky, em seu livro “Do risco à oportunidade”, há sete 
grandes tipos de riscos estratégicos que qualquer empresa deve estar preparada para enfrentar. Embora a empresa 
vá continuar enfrentando outros tipos de riscos, dos tipos geopolítico, regulatório, operacional, esses setes riscos 
estratégicos compreendem a gama de riscos que expõe a concepção do negócio da maioria das empresas. Ou seja, a 
gestão de riscos, por conceito, passa também a lidar com a gestão estratégica e o monitoramento contínuo dos obje-
tivos empresariais. 
Os sete riscos estratégicos são: 
a) Sua grande iniciativa falha
Isso significa nos projetos que são liderados, tais como lançamento de novos produtos, expansão 
do mercado, fusão, entre outros. De acordo com estudos realizados, a grande maioria dos projetos 
novos possuem uma probabilidade real de sucesso em torno de 20%!! Você sabia?? 
b) Seus clientes abandonam
A empresa foi surpreendida pelos clientes – mudanças repentinas e imprevistas em suas preferências, prioridades 
e gostos? Nesse caso a base da receita poderá ruir rapidamente, pois sem mercado não existe empresa.
c) Seu setor chega a uma bifurcação na estrada
Quando as mudanças na tecnologia ou concepção do negócio transformam um 
setor, até 80% das empresas incumbentes não sobrevivem à transição.
d) Um concorrente aparentemente invencível aparece
Quando a empresa encontrar um forte concorrente, será possível sobreviver e 
prosperar enquanto as outras empresas estão sendo destruídas.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
37 
e) Sua marca perde a força
Uma grande marca é uma fortaleza de valor – 40% das principais marcas já vivenciaram 
grandes impactos. Isso ocorre quando os gestores da empresa possuem uma visão estreita 
das marcas, ignorando a integração entre marca, produto e concepção do negócio.
f) Seu setor torna-se zona de lucro zero
Inúmeros setorespadeceram de maior concorrência, maior poder do cliente e compressão 
de margem, até um ponto em que os lucros ficam praticamente zerados.
g) Sua empresa para de crescer
Quando as vendas atingem estagnação, o impacto é imediato e doloroso, tais como novos 
talentos começam a sair da empresa e ou novas iniciativas são paralisadas. 
Cada um dos riscos listados acima podem, simplesmente, exterminar o negócio da empresa. Isso acontece porque os 
riscos são ou menos desprezados ou ignorados pela gestão, que, ou partem do princípio que a estratégia da empresa 
e os riscos que a ameaçam são responsabilidade única e exclusiva da direção, ou que esses tipos de riscos não irão 
ocorrer em suas empresas. 
2.3.6 riscOs de liquidez e/Ou atuarial
Esse tipo de risco é específico a Fundos de Pensão, empresas de Previdência Privada. É decorrente da possibili-
dade de perdas por inadequação dos níveis de contribuição necessárias à manutenção dessas disponibilidades ao 
longo do tempo, da especificação deficiente dos planos de benefícios e seus reflexos nas provisões técnicas exigidas. 
Exemplos: Interpretação indevida de regulamentos ou critérios que subsidiam o cálculo das provisões técnicas; es-
pecificação inadequada dos planos de benefícios e das premissas atuariais; avaliação atuarial inadequada motivada 
pela inconsistência na base de informações; adoção de premissas e hipóteses que não confirmem, ou que se revelem 
pouco aderentes ao grupo de participantes ou, ainda, do uso de metodologias que se mostrem inadequadas; dife-
renças temporais entre fluxos de caixa gerados pelos ativos e passivos que implicam a falta de recursos para honrar 
obrigações, forçando a transformação de um ativo em caixa. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
38 
As categorizações de riscos mais comuns, como benchmarking de mercado são: estratégico, operacional, financeiro 
e legal. Essas quatro categorias devem possuir vasos comunicantes entre elas, visando não ficar com uma visão limi-
tada e ou segregada dos riscos. 
2.4 iNtercONectividade eNtre riscOs 
2.4.1 cONceitO de iNtercONectividade
O relatório de Riscos Globais de 2014 salienta como os riscos globais não apenas são interconectados, mas tam-
bém possuem impactos sistêmicos. Para gerir os riscos corporativos eficientemente e construir a resiliência aos 
seus impactos, esforços melhores são necessários para entender, medir e prever a evolução das interdependências 
(INTERCONECTIVIDADE) entre os riscos, suplementando as ferramentas tradicionais de gestão de riscos com novos 
conceitos projetados para ambientes incertos. Se os riscos não forem eficazmente abordados e interpretados, os pre-
juízos serão ampliados de forma geométrica e em todas as disciplinas. Podemos citar como exemplo a crise fianceira 
de 2007/2008, onde os impactos políticos, econômicos e sociais foram de longo alcance, de forma sistêmica e de 
uma capilaridade avassaladora. 
A natureza sistêmica dos riscos corporativos pede por uma visão estratégica holística dentro da corporação. Assim 
como sistemas de finanças, supply-chains, saúde e energia, a Internet e o ambiente se tornam mais complexos e inter-
dependentes e seus níveis de resiliência determinam se eles se tornam o baluarte da estabilidade ou amplificadores 
de choques em cascata. Fortalecer a resiliência requer a superação de desafios de ação coletivos através do entendi-
mento dos vasos comunicantes entre riscos. Podemos citar o terremoto e tsunami no Japão em 2011, onde quebrou 
toda a cadeia logística das empresas automobilísticas ao redor do mundo. Depois do terremoto de 11 de março, nas 
fábricas automobilísticas japonesas, mais de 500.000 veículos deixaram de ser fabricados e as perdas chegaram a 
bilhões, segundo especialistas do setor. “A China teria perdido no final de abril 25.000 veículos; a Europa, 55.000; e a 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
39 
América do Norte, 68.000”, estima Carlos da Silva, analista da Global Insight, contatado pela AFP. A maior montadora 
do mundo de automóveis, a japonesa Toyota, anunciou redução de 50% e 70% de sua produção na China até 3 de junho 
de 2011. Os problemas na cadeia de abastecimento de componentes eletrônicos e materiais plásticos custaram à 
Toyota uma perda produtiva de mais de meio milhão de unidades em todo o mundo até junho de 2011. O conceito de 
“just in Time” ficou exposto, sendo revisado em função da interdependência.
Desta maneira não basta mais somente utilizar a Matriz de Riscos, cruzando probabilidade e impacto, pois esta 
avaliação fornece a criticidade dos riscos, dentro de suas disciplinas. É importante, mas não mais só isso! Há neces-
sidade do entendimento da dinâmica entre riscos, ou seja, da Motricidade entre eles. Quais riscos possuem força e 
capacidade de influenciar outros riscos. A partir daí podemos enxergar a verdadeira interconectividade entre riscos. 
Sem o estudo da interconectividade, realizando o estudo somente por disciplina e/ou por categoria de riscos, a em-
presa e seus gestores correm sérios riscos de não enxergarem os riscos sistêmicos. Risco sistêmico, segundo Goldin 
e Mariathasan, da Princeton University, é o risco de “colapsos em um sistema inteiro, oposto ao colapso de partes e 
componentes individuais”. 
Os riscos sistêmicos são caracterizados por:
- Pontos de ruptura modestos, combinando indiretamente para produzir grandes falhas;
- Contágio ou compartilhamento de risco, como uma perda que desencadeia uma reação de outras;
- Sistemas sendo incapazes de recuperar o equilíbrio depois de um choque. 
Este estudo começou na década de 1960 com o cientista Edward Lorenz, cientista do MIT – Massachusetts Institute 
of Technology, que na década conduzia pesquisas sobre previsão do tempo. Descobriu variações imperceptíveis nos 
valores da pressão e temperatura, que combinadas geravam efeitos massivos em questões de dias nas previsões do 
tempo. É dele a famosa pergunta: “Pode o bater das asas de uma borboleta no Brasil causar um tornado no Texas?” 
O famoso efeito borboleta! 
Portanto o risco sistêmico está relacionado à sensibilidade de pequenas variações nas condições iniciais de 
um sistema, que se desenvolvem e se combinam, produzindo um enorme efeito no sistema como um todo. Ações 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
40 
inconsequentes, desconexas e de pouca importância nas partes de um processo podem combinar e ocasionar impac-
tos massivos nos processos das empresas ou no modelo de negócio. 
2.4.2 criticidade e mOtricidade de riscOs 
O Relatório de Riscos Globais de 2018 mais uma vez salienta a importância de elaborar o estudo das conexões entre 
riscos, ou seja, de entender as influências entre riscos. O que um risco influência em outro? Qual é a motricidade dos 
riscos no contexto geral do quadro? 
O que o relatório sugere, desde 2009, é que não só façamos o estudo da Matriz de Risco de Probabilidade e Impacto 
que identifica a criticidade do risco.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
41 
Probabilidade 
Im
pa
ct
o
Os 10 principais riscos em termos de
Probabilidade 
Categorias
Os 10 principais riscos em termos de
Impacto
Armas de destruição em massa
Eventos climáticos extremos
Desastres naturais
Falha na mitigação e adaptação à mudança climática
Crises hídricas
Ataques Cibernéticos
Crise alimentar
Perda de biodiversidade e colapso do ecossistema
Migração involuntária em larga escala
Propagação de doenças infecciosas
Eventos climáticos extremos
Desastres naturais
Ataques Cibernéticos
Fraude ou roubo de dados
Falha na mitigação e adaptação à mudança climática
Migração involuntária em larga escalaDesastres ambientais causados pelo homem
Ataques terroristas
Comércio ilícito
Bolhas de ativos na economia
1
2
3
4
5
6
7
8
9
10
1
2
3
4
5
6
7
8
9
10
5.0
1.0 5.0
área
plotada
3.40
média
média
3.48
2.5 3.0 4.0 4.5
3.0
3.5
4.0
DeflaçãoInflação incontrolável
Consequências adversas 
dos avanços tecnológicos
Econômico 
Geopolítico
Ambiental
Societal
Tecnológico 
Figura I: A Paisagem de Riscos Globais 2018
Fonte: World Economic Forum Global Risks Perception Survey 2017–2018.
Nota: Os entrevistados foram convidados a avaliar a probabilidade do risco global individual em uma escala de 1 a 5, 1 representando um risco que é muito pouco 
provável e 5 um risco que é muito provável que ocorra. Eles também avaliam o impacto em cada risco global em uma escala de 1 a 5 (1: impacto mínimo, 2: impacto 
menor, 3: impacto moderado, 4: impacto severo e 5: impacto catastrófico). Consulte o Apêndice B para obter mais detalhes. Para garantir a legibilidade, os nomes dos 
riscos globais são abreviados; consulte o Apêndice A para obter o nome completo e a descrição.
Armas de destruição em massa
Eventos climáticos extremos
Desastres naturais
Falha na mitigação e adaptação 
à mudança climática
Crises hídricas
Ataques Cibernéticos
Perda de biodiversidade e
colapso do ecossistemaCrise alimentar
Migração involuntária
em larga escala
Desastres ambientais causados 
pelo homem
Conflito interestadualPropagação de doenças infecciosas
Informação crítica da 
repartição da infraestrutura
Profunda 
instabilidade social
Falha de governança
nacional
Ataques terroristasCrises fiscais
Falha na governança 
regional ou global
Desemprego ou 
subemprego
Bolhas de ativos 
na economia
Colapso ou crise de estado
Fraude ou roubo de dados
Falha na 
infraestrutura crítica
Choque de preços de energia Falha no mecanismoou instituição financeira
Falha no planejamento urbano
Comércio ilícito
Figura 7 – Matriz de Probabilidade x Impacto | Fonte: Global Risk Report 2018 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
42 
A matriz anterior demonstra quais riscos são mais críticos, quais são mais severos. Ou seja, a Matriz de Criticidade 
prioriza o tratamento frente a criticidade do seu impacto e probabilidade de seu acontecimento. 
Este estudo não demonstra a interconectividade entre riscos. O estudo das conexões entre riscos nos dá uma visão 
do risco sistêmico. 
Portanto podemos concluir que a influência de um risco não crítico pode, às vezes, ser estratégico, dentro de um de-
terminado contexto. Dentro desta ótica é imperioso que o gestor passe então a enxergar a motricidade e as conexões 
entre os riscos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
43 
Trend Interconnection Map
Mudança da paisagem da governança 
internacional
Inflação incontrolável
Fraude ou roubo de dados Bolhas de ativos 
na economia
Deflação
Falha no mecanismo ou 
instituição financeira
Falha na 
infraestrutura crítica
Crises fiscaisComércio ilícito
Choque de preços de energia
Eventos climáticos extremos
Perda de biodiversidade e
colapso do ecossistema
Desastres naturaisDesastres ambientais 
causados pelo homem
Falha de governança
 nacional
Falha na governança
regional ou global
Conflito interestadual
Ataque terrorista
colapso ou crise de estado
Armas de destruição em massa
Falha no planejamento urbano
Crise alimentar
Migração involuntária 
em larga escala
Profunda 
instabilidade social
Propagação de doenças infecciosas
Consequências adversas 
dos avanços tecnológicosInformação crítica da 
repartição da infraestrutura
Ataques Cibernéticos
Aumento da mobilidade geográfica
Riscos 
Econômicos 
Riscos
Geopolíticos 
Riscos
Ambientais
Riscos 
Societais 
Riscos
Tecnológicos 
Número e força 
das conexões 
("grau ponderado")
Riscos Tendências
Número e força 
das conexões 
("grau ponderado")
Figura II: Mapa de Interligações de Riscos e Tendências 2018
Fonte: World Economic Forum Global Risks Perception Survey 2017–2018.
Nota: Os entrevistados foram solicitados a selecionar as três tendências mais importantes na formação do desenvolvimento global nos próximos 10 anos. Para cada uma das 
três tendências identificadas, os entrevistados foram convidados a selecionar os riscos mais fortemente orientados por essas tendências. Consulte o Apêndice B para obter 
mais detalhes. Para garantir a legibilidade, os nomes dos riscos globais são abreviados; consulte o Apêndice A para obter o nome completo e a descrição.
Mudanças climáticas 
Crescimento de doenças crônicas
Aumento do 
sentimento nacional
Ambiente de degradação
Poder de mudançaFalha na mitigação e 
adaptação à mudança climáticaCrises hídricas
Aumento da urbanização
Desemprego ou
subemprego
Aumento da polarização 
das sociedades
Crescimento da classe média 
nas economias emergentes
Aumento da renda e da 
disparidade de riqueza
Aumento da dependência 
cibernética
Envelhecimento da população
Figura 8 – Riscos Interconectados Globais | Fonte: Global Risk Report 2018 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
44 
Risk Interconnection Map
Bolhas de ativos
na economia
Deflação
Falha no mecanismo ou 
instituição financeira
Falha na 
infraestrutura crítica
Crises fiscais
Desemprego ou 
subemprego
Consequências adversas 
dos avanços tecnológicos
Comércio ilícito
Choque de 
preços de energia
Inflação incontrolável
Eventos climáticos extremos
Falha na mitigação e 
adaptação à mudança climática
Perda de biodiversidade e
colapso do ecossistema
Desastres naturais
Desastres ambientais 
causados pelo homem
Falha de 
governança nacional
Falha na governança 
regional ou global
Conflito interestadual
Ataques terroristas
Colapso ou crise de estado
Armas de destruição em massa
Crise alimentar
migração involuntária 
em larga escala
Propagação de 
doenças infecciosas
Crises hídricas
Informação crítica da 
repartição da infraestrutura
Ataques Cibernéticos
Fraude ou roubo de dados
Número e força 
das conexões 
("grau ponderado")
Figura III: Mapa de Interligações dos Riscos Globais 2018
Profunda 
instabilidade 
social
Falha no planejamento urbano
Riscos 
Econômicos 
Riscos
Geopolíticos 
Riscos
Ambientais
Riscos 
Societais 
Riscos
Tecnológicos 
Fonte: World Economic Forum Global Risks Perception Survey 2017–2018.
Nota: Os entrevistados foram convidados a identificar entre três e seis pares de riscos globais que eles acreditam serem mais interconectados. Consulte o Apêndice B para 
obter mais detalhes. Para garantir a legibilidade, os nomes dos riscos globais são abreviados; consulte o Apêndice A para obter o nome completo e a descrição.
Figura 9 – Riscos Sistêmicos – Motricidade | Fonte: Global Risk Report 2018 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
45 
As matrizes das figuras 8 e 9 demonstram as interconectividades entre os riscos, salientando os riscos de maior 
motricidade, maior influência de um risco sobre o outro. 
Nós da Brasiliano INTERISK trabalhamos com a Interconectividade entre Riscos já alguns anos, visando entender 
esta dinâmica. Utilizamos para isso a Metodologia trazida da construção de cenários prospectivos, a Matriz de Impac-
tos Cruzados – MIC, adaptada da metodologia do Cenarista francês Michael Godet que tem como base o Teorema de 
Bayes, Probabilidades Condicionantes. 
No nosso Processo de Gestão de Riscos, esta ferramenta será descrita com maior detalhe, mas de forma geral a 
técnica de impactos cruzados identifica os riscos considerados motrizes e de ligação, ou seja, aqueles que possuem 
maior influência entre os demais. 
No terceiro quadrante da matriz, aponta quais são os riscos dependentes, aqueles que dependem dos motrizes edos de ligação para que venham a se concretizar, e aponta no quarto quadrante quais são os riscos considerados in-
dependentes, aqueles que não possuem canal de comunicação com os demais riscos (não quer dizer que não sejam 
críticos ou importantes no contexto). Ressaltamos que a MIC identifica a motricidade dos riscos e não sua criticidade. 
Ponto importante é a aplicação da ferramenta. Não se pode aplicar esta ferramenta em qualquer tipo de estudo, mas 
sim para estudos de riscos estratégicos e/ou riscos críticos entre disciplinas. O objetivo é enxergar quais riscos são 
os influenciadores e utilizar os fatores de riscos de um único risco, identificando quais fatores de riscos são os mais 
motrizes e precisam ser tratados com a implantação de controles. 
Com o objetivo de priorizar os riscos, tratar quais riscos são relevantes para a empresa, nós da Brasiliano INTERIK 
através de uma metodologia inédita, cruzamos a Matriz de Risco, que nos fornece a criticidade de cada um dos riscos 
plotados na matriz, com a Matriz de Impacto Cruzado, que nos fornece a motricidade e a dinâmica entre os riscos. O 
resultado deste cruzamento é a Matriz de Priorização de Riscos. A configuração da Matriz de Priorização é um conceito 
próprio da Brasiliano INTERISK, podendo ser modificada, de acordo com os critérios dos gestores. 
A Matriz de Impacto Cruzado (MIC) é responsável por identificar a motricidade, o nível de influência de um risco sobre 
o outro. Na MIC a seguir temos 2 riscos motrizes e 2 riscos de ligação considerados como influenciadores, 7 riscos 
como dependentes e 4 riscos independentes.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
46 
Dependência (D)
11.00 - 16.00 16.01 - 21.00 21.01 - 26.00 26.01 - 31.00 31.01 - 36.00 36.01 - 41.00
M
o
tr
ic
id
a
d
e
 (
M
)
35.67 - 39.00 R.90 R.91 R.99
32.33 - 35.67
29.00 - 32.33 R.98
25.68 - 29.00 R.86 R.92 R.89 R.93 R.94
22.34 - 25.67 R.95 R.97 R.100
19.00 - 22.33 R.96 R.88 R.87
2 Quadrante I Riscos de Ligação 2
Quadrante II 
Riscos Motrizes 7
Quadrante III 
Riscos Dependentes 4
Quadrante IV 
Riscos Independentes Todos15
Figura 10 – Matriz de Impacto Cruzado
A Matriz de Riscos identifica a criticidade de cada risco. Observe que na figura 11, a seguir, o Risco R.91 se encontra 
no quadrante amarelo, com impacto moderado e probabilidade média, sendo considerado gerenciável e não havendo 
tratamento para ele. Os riscos R.90 e R.99 estão plotados no quadrante laranja, com impacto severo e probabilidade 
média, sua criticidade é mediana e até possui plano de ação, porém não é prioritário. Mas se observarmos a MIC (figura 
10) vamos identificar que os riscos R.90, R.91 e R.99 são riscos motrizes e de ligação, portanto riscos influenciadores.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
47 
Impacto/Consequência
MUITO LEVE 
1
LEVE 
2
MODERADO 
3
SEVERO 
4
MASSIVO 
5
P
ro
b
a
b
il
id
a
d
e
ELEVADA 
5
MUITO ALTA 
4 R.97
ALTA 
3
R.87 R.93 R.94 
R.95 R.98 R.100
MÉDIA 
2 R. 91
R.88 R.89 R.90 
R.92 R.96 R.99
BAIXA 
1 R. 96 R.85 R.86
1 1 8 7 17
Figura 11 – Matriz de Riscos
Já a Matriz de Priorização, onde foram colocados da direita para a esquerda os quadrantes da Matriz de Risco e de 
cima para baixo os quadrantes da Matriz de Impacto Cruzado. Optamos em colocar todos os riscos motrizes no qua-
drante vermelho, tendo em vista que eles são os maiores influenciadores. Ou seja, não adianta tratar um risco crítico 
que é dependente, pois a fonte de risco, seu influenciador, continuará agindo sobre ele de forma que não iríamos na 
causa e sim na consequência. Da mesma forma, os riscos de ligação posicionados no quadrante vermelho e laranja, 
também possuem prioridade no tratamento.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
48 
Criticidade dos Riscos
IV - Quandrante Verde III - Quandrante Amarelo II - Quandrante Laranja I - Quandrante Vermelho
M
o
tr
ic
id
a
d
e
 d
o
s 
R
is
co
s
Motriz R.91 R.90
Ligação R.99 R.98
Dependente R.88 R.89
R.87 R.93 R.94 
R.97 R.100
Independente R.96 R.86 R.92 R.95
1 3 8 4 16
Figura 12 – Matriz de Priorização
Na matriz de Priorização de Riscos (Figura 12), os riscos plotados no quadrante vermelho formam a primeira priorida-
de para o tratamento e os posicionados no quadrante laranja a segunda prioridade. 
Vejam como muda a ótica de priorização, se fossemos somente olhar a Matriz de Riscos, deixaríamos de estar tratan-
do três riscos considerados influenciadores, mesmo com ações sendo operacionalizadas em outros riscos, a empresa 
estaria ainda exposta, pois a fonte geradora continuaria ativa. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
49 
Com a Matriz de Priorização, o gestor consegue visualizar os riscos que são realmente relevantes para a organização, 
pois seleciona, de forma cruzada os críticos (Probabilidade x Impactos) e sistêmicos (Motrizes x Dependentes). Esta 
ferramenta é inédita em processos de gestão de riscos, pois faz com que os gestores entendam, sob uma ótica de 
criticidade e sistêmica, os riscos realmente importantes para a sua empresa. Isto faz com que a organização tenha 
maior assertividade nas suas tomadas de decisões.
 
. 
50 
3. A GESTÃO DE RISCOS 
CORPORATIVOS E OS 
OBJETIVOS ESTRATÉGICOS 
DA ORGANIZAÇÃO 
3.1 ObjetivOs dO gereNciameNtO de riscOs cOrpOrativOs
A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às par-
tes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até 
que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor 
às partes interessadas. 
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento de 
riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportu-
nidades a elas associadas, a fim de melhorar a capacidade de gerar valor.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
51 
O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre 
as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recur-
sos com eficácia e eficiência na busca dos objetivos da organização. Os objetivos estratégicos do gerenciamento de ris-
cos corporativos, segundo as premissas do COSO II, publicado em 2004, ainda válidos, apesar da revisão 2017, são: 
1. Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da organização ao 
analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
2. Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos possibilita o rigor na 
identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos.
3. Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor capacidade para identificar 
eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados.
4. Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização enfrenta uma gama 
de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos possibilita uma 
resposta eficaz a impactos inter-relacionados e, também, respostas integradas aos diversos riscos.
5. Aproveitar oportunidades – pelo fato deconsiderar todos os eventos em potencial, a organização 
posiciona-se para identificar e aproveitar as oportunidades de forma proativa.
6. Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita à administração 
conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação desse capital.
Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os administradores a atingir as metas 
de desempenho e de lucratividade da organização, e evitam a perda de recursos. O gerenciamento de riscos corporati-
vos contribui para assegurar a comunicação eficaz e o cumprimento de leis e regulamentos, bem como evitar danos à 
reputação da organização e suas consequências. Em suma, o gerenciamento de riscos corporativos ajuda a organiza-
ção a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso.
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo repre-
sentam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo 
podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
52 
possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a 
preservação de valor. A direção da organização canaliza as oportunidades para seus processos de elaboração de es-
tratégias ou objetivos, formulando planos que visam ao aproveitamento destes.
3.2 deFiNiçãO de gereNciameNtO de riscOs cOrpOrativOs
A gestão de riscos corporativos trata riscos e oportunidades que afetam a criação ou a preservação de valor. O pro-
cesso de gestão de riscos corporativos deve ser efetivado de forma descentralizado, por todos os membros da organi-
zação. Portanto uma definição que a Brasiliano INTERISK utiliza bastante por ser eficaz, é a que está escrita no COSO 
II, 2004, ainda válida apesar da revisão de 2017: 
“O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administra-
ção, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a 
organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatíveis com o 
apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos”
O COSO ERM - Integrado com Estratégia e Performance - 2017 ressalta as seguintes definições:
1. Gerenciamento de riscos corporativos não é uma função nem um departamento. É a cultura, as 
competências e as práticas que as organizações integram à definição e à execução da estratégia, 
com o objetivo de gerenciar o risco na criação, na preservação e na realização de valor;
2) Gerenciamento de riscos corporativos é mais do que uma lista de riscos. Ele requer mais do que fazer um inventário de 
todos os riscos da organização. Ele é mais amplo e inclui práticas que a administração utiliza para a ativa gestão dos riscos; 
3) Gerenciamento de riscos corporativos vai além do controle interno. Ele também trata de outros tópicos, 
como definição de estratégia, governança, comunicação com os stakeholders e mensuração da 
performance. Seus princípios se aplicam a todos os níveis da organização e a todas as funções; 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
53 
4) Gerenciamento de riscos corporativos não é um checklist. É um conjunto de princípios com base 
nos quais os processos podem ser criados ou integrados para uma determinada organização. 
É também um sistema de monitoramento, aprendizado e melhoria da performance;
5) Gerenciamento de riscos corporativos pode ser usado por organizações de qualquer porte. Se a organização 
tiver uma missão, uma estratégia e um objetivo – e a necessidade de tomar decisões que levem em conta o 
risco – ela poderá aplicar o gerenciamento de riscos corporativos. Ele pode e deve ser usado por organizações 
de todos os tipos – de pequenas empresas a empresas locais e não lucrativas e órgãos governamentais. 
Esses conceitos integram os 7 princípios os fundamentais do Gerenciamento de Riscos:
1. É um processo contínuo e que flui através da organização como um todo;
2. É conduzido pelos profissionais em todos os níveis da organização, ou seja, é um processo descentralizado;
3. É aplicado à definição das estratégias, alinhado com seus objetivos estratégicos;
4. É aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação 
de uma visão de portfólio de todos os riscos a que ela está exposta;
5. É formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a 
organização, e para administrar os riscos de acordo com seu apetite a risco;
6. É capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva de 
uma organização do cumprimento de seus objetivos, pois seus riscos estão gerenciados;
7. É orientado para a realização de objetivos em uma ou mais categorias distintas, mas dependentes. 
Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e outras 
organizações administram riscos, possibilitando uma base para sua aplicação em organizações, indústrias e setores. 
O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos estabe-
lecidos por uma organização específica e fornece parâmetros para definir a eficácia desse gerenciamento de riscos. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
54 
Alguns pontos importantes na revisão do COSO ERM 2017 são: 
a) Gerenciamento de Riscos Corporativos afeta a Estratégia. “Estratégia” refere-se ao plano de uma organização para 
alcançar sua missão e visão e aplicar seus valores fundamentais. Uma estratégia bem definida impulsiona a alocação 
eficiente de recursos e a tomada de decisões efetivas. Ele também fornece um roteiro para estabelecer objetivos de 
negócios. O gerenciamento de risco da empresa não cria a estratégia da entidade, mas influencia seu desenvolvimento. 
b) O Gerenciamento de Riscos Corporativos está vinculado ao Negócio. A gestão de riscos 
corporativos é integrada com todos os outros aspectos do negócio, incluindo governança, 
estratégia, gerenciamento de desempenho e controle interno. Especificamente:
- A governança e a estratégia formam o conceito mais amplo, encapsulando gerenciamento 
de riscos corporativos, controle interno e gerenciamento de desempenho; 
- O gerenciamento de riscos corporativos incorpora aspectos do controle 
interno e interage com o gerenciamento de desempenho;
- Gerenciamento de desempenho se concentra no desempenho da empresa e implantação de 
recursos de forma eficiente e efetiva para atingir a estratégia e os objetivos de negócios.
c) Gerenciamento de Desempenho. Uma organização estabelece várias ações para alcançar ou exceder sua 
estratégia e objetivos de negócios. O gerenciamento de desempenho está preocupado com a medição dessas 
ações contra metas predeterminadas (tanto a curto quanto a longo prazo) e determinar em que medida essas 
metas estão sendo alcançadas. No entanto, uma vez que uma variedade de riscos, tanto conhecidos como 
desconhecidos, podem afetar o desempenho de uma empresa, uma variedade de medidas pode ser usada. 
d) Gerenciamento de riscos corporativos não é uma função nem um departamento. É a cultura, as 
competências e as práticas que as organizações integram à definição e à execução da estratégia, 
com o objetivo de gerenciar o risco na criação, na preservação e na realização de valor.
e) Gerenciamento de riscos corporativos é mais do que uma lista de riscos. Ele requermais do que fazer um inventário de 
todos os riscos da organização. Ele é mais amplo e inclui práticas que a administração utiliza para a ativa gestão dos riscos. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
55 
f) Gerenciamento de riscos corporativos vai além do controle interno. Ele também trata de outros tópicos, 
como definição de estratégia, governança, comunicação com os stakeholders e mensuração da 
performance. Seus princípios se aplicam a todos os níveis da organização e a todas as funções.
4. Gerenciamento de riscos corporativos não é um checklist. É um conjunto de princípios com base 
nos quais os processos podem ser criados ou integrados para uma determinada organização. 
É também um sistema de monitoramento, aprendizado e melhoria da performance.
g) Gerenciamento de riscos corporativos pode ser usado por organizações de qualquer porte. Se a organização 
tiver uma missão, uma estratégia e um objetivo – e a necessidade de tomar decisões que levem em conta o 
risco – ela poderá aplicar o gerenciamento de riscos corporativos. Ele pode e deve ser usado por organizações 
de todos os tipos – de pequenas empresas a empresas locais e não lucrativas e órgãos governamentais.
A figura 13 reflete de forma direta as vantagens do processo de gerenciamento de riscos nas empresas, tornando-as 
mais resilientes.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
56 
Figura 13 – Trajetória da estratégia e objetivos com e sem gestão de riscos
3.3 iNtegraçãO cOm a estratégia e ObjetivOs da empresa
Com base na missão ou visão estabelecida por uma organização, a administração estabelece os planos principais, 
seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da organização.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
57 
3.3.1 iNtegraçãO cOm a deFiNiçãO de estratégia e sua execuçãO
Uma organização define estratégias que alinham e apoiam sua missão e visão. Ela também define objetivos de ne-
gócios que decorrem da estratégia, em cascata para as unidades de negócios, divisões e áreas da empresa. Ao nível 
mais alto, o gerenciamento de riscos corporativos é integrado com a definição de estratégias, com o gerenciamento 
considerando as implicações de cada estratégia para o perfil de risco da empresa. A administração considera especi-
ficamente quaisquer novas oportunidades que surjam através da inovação e das atividades emergentes.
Mas a gestão de risco não para por aí; continua nas tarefas do dia-a-dia da empresa e, ao fazê-lo, pode perceber 
benefícios significativos. Uma organização que integra o gerenciamento de riscos corporativos nos processos empre-
sariais é mais provável que tenha custos menores em comparação com uma que possua o gerenciamento de riscos 
somente em camadas voltadas para procedimentos. Em um mercado altamente competitivo, tais economias de custos 
podem ser cruciais para o sucesso de uma empresa. 
O gerenciamento de risco também se integra com outros processos de gestão. São necessárias ações específicas 
para tarefas específicas, como planejamento de negócios, operações e gestão financeira. Uma organização que consi-
dere riscos de crédito e moeda, por exemplo, pode precisar desenvolver modelos e capturar grandes quantidades de 
dados necessários para a análise. Ao integrar essas ações com as atividades operacionais de uma empresa, o geren-
ciamento de riscos corporativos pode tornar-se mais efetivo.
3.3.2 gereNciaNdO riscOs para estratégia e ObjetivOs de NegóciOs
A gestão de risco da empresa é parte integrante da estratégia e dos objetivos de negócios. As práticas bem desenvol-
vidas de gerenciamento de riscos fornecem à administração e ao conselho de administração uma expectativa razoável 
de que eles possam alcançar a estratégia geral e os objetivos de negócios da empresa. Ter uma expectativa razoável 
significa que a quantidade de incerteza de alcançar estratégia e objetivos de negócios é apropriada para essa empresa, 
reconhecendo que ninguém pode prever risco com precisão.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
58 
Mesmo as empresas com fortes práticas de gerenciamento de riscos corporativos podem enfrentar desafios impre-
vistos, incluindo falhas de operação. No entanto, práticas robustas de gerenciamento de riscos aumentarão a confian-
ça da administração na capacidade da entidade para atingir sua estratégia e objetivos de negócios.
3.3.3 criar, preservar e realizar valOr
Uma organização deve gerenciar o risco para a estratégia e os objetivos de negócios em relação ao seu apetite ao 
risco - isto é, os tipos e a quantidade de risco, em um nível amplo, está disposto a aceitar em sua busca de valor. Espe-
cificamente, o apetite ao risco fornece orientação sobre as práticas que uma organização é encorajada a prosseguir ou 
a não prosseguir. O apetite ao risco define o leque de práticas apropriadas ao invés de especificar um limite. Diferentes 
estratégias irão expor uma empresa a diferentes riscos ou diferentes quantidades de riscos similares.
O Gerenciamento de Riscos Corporativos ajuda o gerenciamento a selecionar uma estratégia que alinhe a criação de 
valor antecipada com o apetite ao risco da empresa e suas capacidades para gerenciar riscos de forma mais frequente 
e consistente ao longo do tempo. A gestão do risco no apetite ao risco aumenta a capacidade de uma organização 
criar, preservar e valorizar.
59 
4. A GESTÃO DE RISCOS 
CORPORATIVOS E AS 3 
LINHAS DE DEFESA
A economia brasileira tem sido acompanhada por movimentos profundos nas empresas nacionais e com estes mo-
vimentos demandam e reforçam a criticidade de uma Governança Corporativa efetiva e bem estruturada, já que em 
alguns casos a falta de requisitos mínimos de Governança Corporativa impede que algumas empresas consigam tirar 
proveito deste momento que o Brasil e o mundo estão passando. Adicionalmente, embora em muitos casos vários 
elementos de uma boa Governança Corporativa estejam presentes nas empresas, estes nem sempre são postos em 
prática da forma adequada. 
Uma das ferramentas adequadas a Governança Corporativa, lançada em 21 de setembro de 2010 pela FERMA 
- Federação das Associações Europeias de Gestão de Riscos e pelo ECIIA – Confederação Europeia do Instituto 
de Auditoria Interna, é a Orientação sobre a 8ª Diretriz Jurídica Europeia da Empresa (Art. 41), que recomenda a 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
60 
implementação operacional para monitorar com eficácia a auditoria, controle interno e o sistema de gestão de risco. 
O objetivo do documento foi o de auxiliar a gestão sênior na implementação da gestão de riscos, controle interno, 
compliance e auditoria interna e as relações com a diretoria executiva e conselho. O documento estabelece clara-
mente as responsabilidades entre as áreas e suas relações. O conselho é responsável pela fiscalização da gestão 
de riscos da empresa e pelo framework de controle. Todos na empresa desempenham uma função na gestão eficaz 
de riscos, mas a responsabilidade primária para a gestão e o controle dos riscos é delegada ao nível de gestão ade-
quado dentro da empresa. Ou seja, o processo é descentralizado e o dono do processo é o dono do risco. O CEO 
e o CFO possuem a responsabilidade final para o conselho para a gestão de riscos e o framework de controle. Para 
cumprir essas tarefas eficientemente, eles buscam se assegurar de várias fontes dentro da organização. O FERMA 
e o ECIIA apoiam o modelo das “Três Linhas de Defesa” como um ponto de partida para a orientação regulatória 
futura. O modelo abaixo é o original publicado.Figura 14 – Modelo de Governança das Três Linhas de Defesa | Fonte: 8ª Diretriz Jurídica Europeia da Empresa Art. 41 – FERMA - ECIIA
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
61 
Todos nós, cidadãos brasileiros e, principalmente profissionais da área de gestão de riscos e auditoria, ficamos es-
tarrecidos com os acontecimentos de fraudes no Brasil. Estamos falando da operação Lava Jato, que a cada dia con-
segue mais vitórias em termos de fazer justiça e reduzir o nível de impunidade para o Brasil. Ficamos surpresos com 
a facilidade com que os controles foram burlados e com o franco desconhecimento da alta gestão. 
Ficou mais nítido com estas fraudes, que ainda inúmeras empresas, profissionais de riscos e auditoria interna ain-
da não apliquem a melhor prática chamada Três Linhas de Defesa. Esta Melhor Prática ou estratégia de atuação da 
área de gestão de riscos, compliance, controles internos e auditoria foi estruturada para descentralizar o processo 
de controle, dando aos usuários dos processos operacionais e estratégicos a responsabilidade primária de realizar o 
respectivo controle, com uma supervisão de áreas corporativas e da auditoria interna, de tal forma que haja cobertura 
em todos os níveis da empresa. 
Segundo Marcelo Fridori, em seu artigo, ele escreve as justificativas da construção do Modelo das Três Linhas de 
Defesa: “Com o crescimento significativo da complexidade no ambiente de negócios, as organizações passaram a 
necessitar de diferentes equipes de especialistas em controle interno, executivos de compliance, especialistas em 
gerenciamento de riscos, auditores internos, entre outros, para gerenciar, em conjunto, de forma efetiva seus principais 
riscos... Deve-se ressaltar, entretanto, que a divisão das atividades relacionadas ao gerenciamento de riscos entre 
diversos departamentos pode levar à ineficácia de algumas das ações promovidas. Assim, passa a ser fortemente 
recomendável que os esforços empreendidos por todos sejam devidamente coordenados, de modo a garantir que os 
processos sejam conduzidos de acordo com o que foi planejado. De acordo com o modelo apresentado, o conselho 
de administração e o diretor executivo, em nome da alta administração, são responsáveis pela supervisão e monito-
ramento dos processos de gestão de riscos e, para assumir de forma efetiva essas atribuições, eles necessitam de 
resultados provenientes das várias áreas envolvidas com este assunto. Esse modelo ganhou rapidamente um reconhe-
cimento mundial por parte das organizações e das entidades que representam as funções de gerenciamento de riscos 
e controles e, a partir de 2013, passou a ser divulgado também através de uma Declaração de Posicionamento do IIA 
– The Institute of Internal Auditors.”
Um ponto importante é que com as Três Linhas de Defesa, um Modelo de Governança, tanto o Conselho de Admi-
nistração como o Presidente da Empresa passam a ser responsáveis pela eficácia do processo de gerenciamento de 
riscos e dos controles internos. Esta responsabilização mudou o “modus operandi” da área de riscos/controle interno 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
62 
e também da auditoria. Pois a auditoria tem como premissa relatar para o Conselho de Administração se o Processo 
de Gestão de Riscos é “parrudo” suficiente para suportar os riscos da empresa e se a primeira linha está operaciona-
lizando o respectivo processo. A área de riscos/controle interno tem por missão qualificar a primeira linha e ao mesmo 
tempo cobrar as informações para que possa integrar e repassar para a Diretoria Executiva e Presidência o contexto 
de riscos da empresa.
O modelo das Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento 
de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais. O modelo apresenta um 
novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de 
riscos, e é aplicável a qualquer organização - não importando seu tamanho ou complexidade. Mesmo em empresas em 
que não exista uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de Três Linhas de Defesa pode 
melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de riscos. 
No modelo, o controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as diversas funções de 
controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa e a ava-
liação independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura 
mais ampla de governança da organização.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
63 
Figura 15 – Modelo de Governança das Três Linhas de Defesa | Fonte: Declaração do IIA – Três Linhas de Defesa
Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse mo-
delo, nenhuma discussão sobre sistemas de gerenciamento de riscos estaria completa sem considerar, em primeiro 
lugar, os papéis essenciais dos órgãos de governança (conselho de administração e órgãos equivalentes) e da alta 
administração. Os órgãos de governança e a alta administração são as principais partes interessadas atendidas pelas 
“linhas” e são as partes em melhor posição para ajudar a garantir que o modelo seja aplicado aos processos de ge-
renciamento de riscos e controle da organização.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
64 
Este modelo reforça de forma incisiva que o dono do processo é o dono do risco e de seus controles. Portanto os 
riscos corporativos só acontecem quando os donos do processo não possuem comprometimento e maturidade de 
praticarem os controles e respectivas metodologias, sugeridas e supervisionadas pela segunda linha de defesa. A se-
gunda linha de defesa é na verdade o grande guardião do processo, pois incentiva que a primeira linha pratique e ao 
mesmo tempo supervisiona para identificar possíveis falhas. A terceira linha, Auditoria Interna, realiza suas avaliações 
tanto na primeira como na segunda linha de defesa. 
As Três Linhas deveriam existir em todas as organizações, não importando tamanho ou complexidade. O gerencia-
mento de riscos, normalmente, é mais sólido quando há três linhas de defesa separadas e claramente identificadas, 
com papéis esclarecidos. 
Os riscos corporativos acabam sendo concretizados quando há falhas de cobertura, principalmente entre a primeira e 
segunda linha de defesa. Os riscos acontecem quando o dono do processo não está praticando o processo de Gestão 
de Riscos e a segunda linha, a supervisora, falha em não identificar o risco e nem reportar e informar a alta gestão. A 
situação piora mais ainda quando a terceira linha, não identifica falha na segunda linha de defesa e por consequência 
fica míope para realizar uma auditoria baseada em riscos na primeira linha de defesa.
O processo das Três Linhas de Defesa reforça o que já escrevi no segundo capítulo, quando citei que a área de Ges-
tão de Riscos, deveria poder realizar a Inteligência em Riscos Corporativos – IRC. Esta inteligência só poderá ser alcan-
çada se a empresa adotar a prática do dono do processo ser dono do risco. O dono do processo ser o responsável em 
realizar a auto avaliação dos riscos e controles. Com este processo rodando, a segunda linha de defesa pode fazer seu 
grande papel estratégico de interpretar e de realizar os estudos de interconectividade entre riscos, entre áreas e entre 
processos. Desta forma, passa a agregar valor no processo estratégico e operacional.A auditoria interna por sua vez 
utilizará como insumo as informações tanto da segunda linha como da primeira para realizar seus testes de controles, 
em processos críticos/chaves. 
Este é o grande diferencial que as empresas devem possuir para operacionalizar, o dono do processo ser o dono do 
risco, seja qual for a complexidade do processo. Infelizmente ainda hoje no Brasil, há uma grande resistência por parte 
dos usuários, chamados de média gerência. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
65 
A Revista HSM de 2014, número 104, de maio/junho ressalta em seu artigo intitulado “Eu, gestor de riscos? A im-
portância da média gerência estar sensibilizada com esta nova tarefa”. O artigo considera que as médias gerências 
são as guardiãs dos seus processos. Escreve: “Os especialistas consideram que a mudança de mentalidade desses 
profissionais é fundamental para um futuro mais seguro. 
É o gerente de linha que instala e monitora procedimentos de controle e segurança. Assim, o modo mais eficaz de alcan-
çar melhor a gestão de riscos é motivar esses funcionários a prestar atenção suficiente a esse tipo de responsabilidade.” 
Este, passa a ser o grande desafio do gestor de riscos, possuir maturidade e sensibilidade em convencer a empresa 
que a gestão de riscos não pertence a área de Gerenciamento de Riscos, mas sim aos donos do processo. 
66 
5. MELHORES PRÁTICAS – 
FRAMEWORKS DE MERCADO
5.1 cOsO – the cOmmittee OF spONsOriNg 
OrgaNizatiONs OF the treadway cOmmissiON 
O COSO é uma organização privada criada nos Estados Unidos em 1985 para prevenir e evitar fraudes nas demons-
trações contábeis da empresa. Portanto é uma antiga organização brigando para o quesito prevenção a fraudes e, as 
empresas, na realidade fazem muito pouco para o processo preventivo acontecer. 
O foco do COSO é a implantação de controles internos efetivos, proporcionando uma garantia razoável para prevenir 
fraudes. Em 1985, foi criada nos Estados Unidos a National Commission on Fraudulent Financial Reporting – Comissão 
Nacional sobe Fraudes em Relatórios Financeiros – iniciativa independente para estudar as causas da ocorrência de 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
67 
fraudes em relatórios financeiros e contábeis. Essa comissão era composta de representantes das principais associa-
ções de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos. 
O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros fundamentados na ética, 
na efetividade dos controles internos e na governança corporativa, além de ser patrocinado por cinco das principais 
associações de classe: 
• AICPA – American Institute of Certified Public Accounts – Instituto Americano de Contadores Públicos Certificados;
• AAA – American Accounts Association – Associação Americana de Contadores;
• FEI – Financial Executive International – Executivos Financeiros Internacionais;
• IIA – The Institute of Internal Auditors – Instituto dos Auditores Internos;
• IMA – Institute of Management Accountants – Instituto de Contadores Gerenciais.
O comitê trabalha com independência em relação às suas atividades patrocinadoras. 
5.1.1 cOsO i – cONceitO e a revisãO 2013
Em 1992, o Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) lançou o seu Controle Interno – 
Framework Integrado. O framework original ganhou uma ampla aceitação e é amplamente utilizado ao redor do mundo. 
É reconhecido como um framework pioneiro pelo design pela implementação e pela condução do controle interno e a 
avaliação da eficácia do controle interno.
Nos vinte anos desde a sua criação o framework original, os negócios e os ambientes operacionais mudaram drama-
ticamente, se tornando cada vez mais complexos, movidos tecnológica e globalmente.
Ao mesmo tempo, as partes interessadas estão mais envolvidas, buscando uma transparência e contabilidade maio-
res para a integridade dos sistemas do controle interno que suportam as decisões e a governança da organização.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
68 
O COSO acredita que o Framework de Controles Internos permitirá que as organizações desenvolvam e mantenham 
eficazmente os sistemas de controle interno que podem melhorar a probabilidade de conquistar os objetivos da entida-
de e adaptar-se às mudanças nos negócios e nos ambientes operacionais. Ele retém a definição primária do controle 
interno e os seus cinco componentes. O requerimento para considerar os cinco componentes para avaliar a eficácia de 
um sistema de controle interno permanecem imutáveis, fundamentalmente. 
O framework continua a enfatizar a importância do julgamento da gestão no design, implementação e condução do 
controle interno, e na avaliação da eficácia de um sistema de controle interno.
Ao mesmo tempo, o framework inclui melhorias e esclarecimentos que tencionam facilitar o uso e a aplicação. No 
framework atualizado, esses conceitos são agora princípios, os quais são associados com os cinco componentes, e 
os quais fornecem esclarecimento para o usuário na projeção e na implementação dos sistemas de controle interno e 
para compreender os requerimentos para o controle interno eficaz.
O framework foi melhorado ao expandir a categoria de relatório financeiro de objetivos, para incluir outras formas 
importantes de relatório, como o não-financeiro e o relatório interno. Além disso, reflete as considerações de muitas 
mudanças nos negócios e nos ambientes operacionais nas várias décadas passadas, incluindo:
• Expectativas para a fiscalização da Governança;
• Globalização dos mercados e das operações;
• Mudanças e maiores complexidades dos negócios;
• Demandas e complexidades nas leis, regras, regulamentos e normas;
• Expectativas para competências e contabilidades;
• Uso de, e dependência de,tecnologias em evolução;
• Expectativas relacionadas à prevenção e detecção da fraude.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
69 
5.1.2 cONceitO da estrututa de cONtrOle iNterNO – FramewOrk dO cOsO i 
O controle interno auxilia as entidades a conquistarem os objetivos importantes e a sustentarem e melhorarem o 
desempenho. O Controle Interno – Framework Integrado do COSO I permite que as organizações desenvolvam eficaz e 
eficientemente sistemas de controle interno que se adaptem aos negócios e ambientes operacionais mutáveis, miti-
guem riscos a níveis aceitáveis e apoiem tomadas de decisões razoáveis e a governança da organização. 
Projetar e implementar um sistema eficaz de controle interno pode ser um grande desafio; usar esse sistema eficaz e 
eficientemente todos os dias pode ser intimidador. Novos modelos de negócios rapidamente mutáveis, um uso maior e 
a dependência da tecnologia, requerimentos regulatórios e escrutínio elevados, globalização e outros desafios exigem 
que um sistema de controle interno seja ágil na adaptação às mudanças nos negócios e nos ambientes regulatórios 
e operacionais. 
Um sistema eficaz de controle interno exige mais do que uma aderência rigorosa às políticas e aos procedimentos: 
exige o uso do julgamento. A gestão e a diretoria usam o julgamento para determinar o quanto de controle é o sufi-
ciente. A gestão e outro pessoal usam o julgamento todos os dias para selecionar, desenvolver e empregar controles 
através da entidade. A gestão e os auditores internos, entre outro pessoal, aplicam o julgamento enquanto monitoram 
e avaliam a eficácia do sistema do controle interno. 
O framework auxilia a gestão, os conselhos, a diretoria, as partes interessadas externas e outros a interagir com a 
entidade em seus respectivosdeveres com relação ao controle interno, sem ser demasiado prescritivo, fornecendo:
• Formas de aplicar o controle interno a qualquer tipo de entidade, independente da indústria 
ou da estrutura legal, aos níveis da entidade, unidade operacional ou função;
• Uma abordagem baseada em princípios que forneça flexibilidade e permite o julgamento na projeção, implementação e 
condução dos princípios do controle interno que possam ser aplicados à entidade, a níveis operacionais e funcionais;
• Requerimentos para um sistema eficaz de controle interno ao considerar como os componentes e 
princípios estão presentes e funcionando, e como os componentes funcionam juntos;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
70 
• Formas de identificar e analisar os riscos, e de desenvolver e administrar respostas adequadas 
aos riscos dentro de níveis aceitáveis e com foco maior em medidas antifraude (diga-se que é a 
primeira estrutura a enfatizar a necessidade de gerir o risco de fraude nas organizações);
• Uma oportunidade para expandir a aplicação do controle interno além do relatório financeiro 
para outras formas de relatório, operações e objetivos de concordância;
• Uma oportunidade para eliminar controles ineficazes, redundantes ou ineficientes que 
forneçam valor mínimo à redução de riscos à conquista dos objetivos da entidade. 
Para as partes interessadas externas de uma entidade e outros que interajam com a entidade, a aplicação do 
framework fornece: 
• Maior confiança no discernimento da diretoria dos sistemas de controle interno;
• Maior confiança com relação à conquista dos objetivos;
• Maior confiança na habilidade da organização em identificar, analisar e responder 
ao risco e às mudanças nos ambientes comerciais e operacionais;
• Maior compreensão do requerimento de um sistema eficaz de controle interno;
• Maior compreensão de que, por meio do uso do julgamento, a gestão possa ser 
capaz de eliminar controles ineficazes, redundantes ou ineficientes.
O controle interno não é um processo em série, mas um processo dinâmico e integrado. O framework se aplica a to-
das as entidades: órgãos grandes, medianos, pequenos, lucrativos, não lucrativos e governamentais. Entretanto, cada 
organização pode escolher implementar o controle interno diferentemente. Por exemplo, um sistema menor da entida-
de do controle interno pode ser menos formal e menos estruturado e ainda assim possuir um controle interno eficaz.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
71 
5.1.3 deFiNiNdO O cONtrOle iNterNO
O controle interno é definido, segundo os conceitos do COSO I como: é um processo efetivado pelo conselho de dire-
tores de uma entidade, pela gestão e outro pessoal, designado a fornecer garantia razoável com relação à conquista 
de objetivos relacionados à operações, relatório e concordância. 
Esta definição reflete certos conceitos fundamentais. O controle interno é:
• Voltado para a conquista dos objetivos em uma ou mais categorias – operações, relatórios e compliance;
• Um processo que consiste em tarefas em atividades em andamento – um meio para um fim, não um fim em si;
• Efetivado por pessoas – não meramente sobre políticas e ou manuais de procedimentos, sistemas e formulários, mas 
sobre pessoas e as ações que elas empreendem a todos os níveis de uma organização para afetar o controle interno;
• Capaz de fornecer garantia razoável – mas nenhuma garantia absoluta a uma gestão; 
• Adaptável à estrutura da entidade – flexível na aplicação para a entidade inteira ou para 
uma subsidiária particular, divisão, unidade operacional ou processo comercial. 
Essa definição é intencionalmente ampla. Ela captura os conceitos importantes que são fundamentais como que as 
oganizações designam, implementam e conduzem os controles internos, fornecendo uma base para a aplicação por 
meio das organizações que funcionam em diferentes estruturas, indústrias e regiões geográficas da empresa.
5.1.4 O FramewOrk dO cOsO i 
O Framework do COSO I possui como elementos: 
1. Objetivos.
2. Elementos do Processo.
3. Áreas da empresa que são atingidas pela disseminação dos princípios. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
72 
Figura 16 – Framework do COSO I
5.1.5 ObjetivOs
O Framework fornece três categorias de objetivos, as quais permitem que as organizações se foquem em diferentes 
aspectos de controle interno: 
• Objetivos das Operações — esses pertencem à eficácia e à eficiência das operações da entidade, 
incluindo os objetivos de desempenho operacional e da garantia dos ativos contra o prejuízo;
• Relatório dos Objetivos — esses pertencem aos relatórios financeiros internos e externos e não financeiros, 
e podem abranger a confiança, a durabilidade, a transparência ou outros termos como estabelecidos 
pelos reguladores, organismos de normalização reconhecidos ou políticas da entidade;
• Objetivos de Compliance — esses pertencem à aderência às leis e aos regulamentos aos quais a entidade é sujeita.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
73 
5.1.6 cOmpONeNtes dO cONtrOle iNterNO
O controle interno consiste de cinco componentes integrados: ambiente de controle, avaliação de riscos, atividades 
de controle, informação e comunicação e monitoramento de atividades.
5.1.6.1 Ambiente de Controle
O ambiente de controle é o conjunto de normas, processos e estruturas que fornecem a base para desempenhar o 
controle através da organização. O conselho de diretores e a gestão sênior estabelecem o mote com relação à impor-
tância do controle interno, incluindo as normas esperadas de conduta. A gestão reforça as expectativas nos vários 
níveis da organização. O ambiente de controle compreende a integridade e os valores éticos da organização; os pa-
râmetros que permitem que o conselho de diretores empreenda as suas responsabilidades de fiscalização de gover-
nança; a estrutura organizacional e o emprego de autoridade e responsabilidade; o processo para atrair, desenvolver e 
reter os indivíduos competentes; e o rigor acerca das medidas de desempenho, incentivo e recompensas para mover 
a contabilidade pelo desempenho. O ambiente de controle resultante possui um impacto persistente sobre o sistema 
total de controle interno.
5.1.6.2 AvAliAção de risCos
Cada entidade confronta uma variedade de riscos de fontes internas e externas. A avaliação de riscos envolve 
um processo dinâmico e iterativo para identificar e avaliar os riscos para conquistar os objetivos. Os riscos para a 
conquista desses objetivos através da entidade são considerados relativos às tolerâncias de riscos estabelecidos. 
Portanto, a avaliação de riscos forma a base para determinar como os riscos serão gerenciados.
Uma pré-condição à avaliação de riscos é o estabelecimento de objetivos, ligados a diferentes níveis da entidade. A ges-
tão especifica os objetivos dentro de categorias que se relacionam às operações, relatórios e conformidade com clareza 
o suficiente para ser capaz de identificar e analisar os riscos desses objetivos. A gestão também considera a adequação 
dos objetivos para a entidade. A avaliação de riscos também exige que a gestão considere o impacto de possíveis mudan-
ças no ambiente externo e dentro de seu próprio modelo comercial que possa tornar o controle interno ineficaz.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
74 
5.1.6.3 AtividAdes de Controle
As atividades de controle são as ações estabelecidas através das políticas e dos procedimentos que ajudam a as-
segurar as diretrizes da gestão para diminuir a probabilidade e mitigar os riscos para que a conquistados objetivos 
seja desempenhada. As atividades de controle são desempenhadas em todos os níveis da entidade, em vários está-
gios dentro dos processos comerciais e através do ambiente tecnológico. Elas podem ser preventivas ou detectivas 
em natureza e podem abranger uma gama de atividades manuais ou automáticas, como autorizações e aprovações, 
verificações, reconciliações e revisões de desempenho comerciais. A segregação de tarefas é normalmente construída 
na seleção e no desenvolvimento das atividades de controle. Onde a segregação de tarefas não for prática, a gestão 
seleciona e desenvolve atividades de controle alternativas.
5.1.6.4 informAção e ComuniCAção
A informação é necessária para que a entidade desempenhe as responsabilidades de controle interno para apoiar a 
conquista de seus objetivos. A gestão obtém ou gera e usa a informação relevante e de qualidade de ambas as fontes 
internas e externas para apoiar o funcionamento de outros componentes do controle interno. A comunicação é um pro-
cesso contínuo e interativo de fornecimento, compartilhamento e obtenção de informação necessária. A comunicação 
interna é a forma pela qual a informação é disseminada através da organização, fluindo e através da entidade. Ela per-
mite que o pessoal receba uma mensagem clara da gestão sênior que controla as responsabilidades e que devem ser 
levados a sério. A comunicação externa é dupla: permite a comunicação de entrada de informação externa relevante e 
fornece informação a partes externas em resposta a requerimentos e expectativas.
5.1.6.5 monitorAmento de AtividAdes
As avaliações em andamento, separadas ou alguma combinação das duas são utilizadas para garantir se cada um 
dos cinco componentes do controle interno, incluindo os controles para efetivar os princípios dentro de cada compo-
nente, estão presentes e funcionando. As avaliações em andamento, construídas nos processos comerciais a diferen-
tes níveis da entidade, fornecem uma informação em tempo hábil. Avaliações separadas, conduzidas periodicamente, 
variarão em escopo e frequência, dependendo da avaliação dos riscos, eficácia de avaliações em andamento e outras 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
75 
considerações da gestão. As descobertas são avaliadas contra os critérios estabelecidos pelos reguladores, órgãos 
legisladores reconhecidos ou a gestão e o conselho de diretores, e as deficiências são comunicadas à gestão e ao 
conselho de diretores conforme o adequado.
5.1.7 relaçãO de ObjetivOs e cOmpONeNtes
Uma relação direta existe entre os objetivos, os quais são o que uma entidade luta para conseguir, os, componentes, 
os quais representam o que é exigido para conquistar os objetivos e a estrutura organizacional da entidade (as unida-
des operacionais, as entidades legais e outros).
• As três categorias de objetivos—operações relatórios e compliance – são representados pelas colunas;
• Os cinco componentes são representados pelas fileiras (linhas);
• A estrutura organizacional de uma entidade é representada pela terceira dimensão. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
76 
Figura 17 – Objetivos e Componentes do COSO I
5.1.8 cOmpONeNtes e priNcípiOs
O Framework COSO I estabelece 17 (dezessete) princípios representando os conceitos fundamentais associados a 
cada componente. Por esses princípios serem extraídos diretamente dos componentes, uma empresa pode conseguir 
um controle interno eficaz ao aplicar todos os princípios. Todos os princípios se aplicam às operações, relatórios e 
objetivos de conformidade. Os princípios apoiando os componentes do controle interno são listados a seguir.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
77 
5.1.8.1 Ambiente de Controle
1. A organização demonstra um compromisso com a integridade e valores éticos.
2. O conselho de diretores demonstra independência da gestão e exercita a 
fiscalização do desenvolvimento e desempenho do controle interno.
3. A gestão estabelece, com a fiscalização do conselho, estruturas, linhas de relatório e 
autoridades e responsabilidades adequadas na conquista dos objetivos.
4. A organização demonstra um comprometimento para atrair, desenvolver e 
reter indivíduos competentes juntos com os objetivos.
5. A organização mantém os indivíduos responsáveis pelas suas responsabilidades 
de controle interno na conquista dos objetivos.
5.1.8.2 AvAliAção de risCos
6. A organização especifica objetivos com clareza o suficiente para permitir a 
identificação e a avaliação dos riscos relacionados aos objetivos.
7. A organização identifica os riscos para a conquista dos seus objetivos através da entidade e analisa 
os riscos como uma base para determinar como os riscos devem ser administrados.
8. A organização considera o potencial para a fraude na avaliação dos riscos para conseguir os 
objetivos (O princípio 8 ressalta a importância da empresa gerenciar o risco de fraude, sendo a 
única estrutura de controle que descreve especificamente a questão do risco de fraude. Portanto os 
gestores de riscos e auditores devem abrir uma disciplina específica de Risco de Fraude)
9. A organização identifica e avalia as mudanças que poderiam impactar significantemente o sistema do controle interno.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
78 
5.1.8.3 AtividAdes de Controle
10. A organização seleciona e desenvolve atividades de controle que contribuem à 
mitigação de riscos para a conquista dos objetivos a níveis aceitáveis.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a conquista de objetivos.
12. A organização emprega atividades de controle através de políticas que estabeleçam o 
que é esperado e procedimentos que coloquem as políticas em ação.
5.1.8.4 informAção e ComuniCAção
13. A organização obtém ou gera e usa informação relevante e de qualidade para sustentar o funcionamento do controle interno.
14. A organização comunica internamente a informação, incluindo objetivos e responsabilidades 
pelo controle interno, necessários para apoiar o funcionamento do controle interno.
15. A organização se comunica com as partes externas com relação às questões afetando o funcionamento do controle interno.
5.1.8.5 AtividAdes de monitorAmento 
16. A organização seleciona, desenvolve e desempenha avaliações em andamento/e ou separadas para 
se certificarem se os componentes do controle interno estão presentes e funcionando.
17. A organização avalia e comunica as deficiências do controle interno em tempo hábil às partes responsáveis por 
tomarem medidas corretivas, incluindo a gestão sênior e o conselho de diretores, conforme o adequado.
A utilização do framework de forma integrada, proporciona para a empresa uma estrutura de controle interno eficaz, 
mitigando de forma direta, tanto riscos oriundos de erros e displicência como com a intenção de praticar desvios de 
conduta – a fraude.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
79 
5.2 cOsO erm – eNterprise risk maNagemeNt - 
iNtegradO cOm estratégia e perFOrmaNce 
5.2.1 cOmpONeNtes dO gereNciameNtO de riscOs – metOdOlOgia cOsO – erm 2004
O COSO lançou em 2004 uma estrutura mais ampla, com um espectro mais estratégico. Esta estrutura foi concebida 
para suportar o gerenciamento de riscos com uma visão corporativa, abrangendo todo e qualquer categoria de riscos. 
O gerenciamento de riscos corporativos era constituído de oito componentes inter-relacionados, segundo a Metodo-
logia COSO – ERM, sendo eles: 
- Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornecea base pela 
qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de 
riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.
- Fixação de Objetivos – os objetivos devem existir antes que a administração possa identificar os eventos 
em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a 
administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte 
e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos.
- Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos objetivos de 
uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são 
canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos.
- Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade 
e o impacto como base para determinar o modo pelo qual deverão ser administrados. 
Esses riscos são avaliados quanto à sua condição de inerentes e residuais.
- Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou 
compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
80 
- Atividades de Controle – políticas e procedimentos são estabelecidos e implementados 
para assegurar que as respostas aos riscos sejam executadas com eficácia. 
- Informações e Comunicações – as informações relevantes são identificadas, colhidas e comunicadas 
de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz 
também ocorre em um sentido mais amplo, fluindo em todos níveis da organização.
- Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O 
monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.
A rigor, o gerenciamento de riscos corporativos não é um processo em série pelo qual um componente afeta ape-
nas o próximo. É um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam 
os outros.
Figura 18 – Visão Tridimensional da Metodologia COSO - ERM
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
81 
5.2.2. relaciONameNtO eNtre ObjetivOs e Os cOmpONeNtes da metOdOlOgia cOsO – erm
Existe um relacionamento direto entre os objetivos, que uma organização se empenha em alcançar, e os compo-
nentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance. Esse 
relacionamento era apresentado na matriz tridimensional em forma de cubo.
As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão represen-
tadas nas colunas verticais. Os oito componentes nas linhas horizontais e as unidades de uma organização na 
terceira dimensão. Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento 
de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um 
dos subconjuntos.
5.2.3 cOsO erm revisãO 2017 – iNtegradO cOm estratégia e perFOrmaNce
Tendo em vista que os cenários de negócios ficaram mais complexos e estratégicos, o gerenciamento de riscos cor-
porativos, teve que sofrer adaptações e inovações, visando acompanhar estas evoluções. Como já foi escrito na minha 
introdução, houve uma revisão do framework com consulta pública em 2016, tendo sido publicado em junho de 2017 
com o nome oficial de COSO ERM – Gerencimento de Riscos Corporativos – Integrado com Estratégia e Performance. 
Nesta revisão os conselhos de administração tiveram maior responsabilidade e conscientização na supervisão sobre 
a gestão de riscos corporativos, devendo solicitar relatórios de riscos aprimorados os seus executivos. 
Esta revisão do COSO ERM deu um enorme salto qualitativo em termos de estar integrado de forma direta e clara 
com a estratégia e seus objetivos de negócio da empresa. Ou seja, não há como a empresa realizar seu Planejamento 
Estratégico sem levar em consideração seus riscos que podem afetar tanto as estratégias como seus objetivos. 
Desta forma o COSO ERM 2017, reconhece a crescente importância da conexão entre a estratégia e o desempe-
nho da empresa. O conteúdo atualizado oferece uma perspectiva sobre conceitos e aplicações do gerenciamento de 
riscos corporativos, sob a ótica da integração destas áreas. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
82 
Além disso, mudou o framework. O famoso “cubo”, com a visão tridimensional, com oito fases, não mais existe. Fi-
cou reduzida, mas muito melhor alinhada com as questões estratégicas, em cinco componentes e vinte princípios, dos 
quais 45% destes princípios são ligados diretamente a integração entre riscos e a estratégia corporativa. 
Isto significa que o gestor de riscos tem que possuir competências da visão holística da empresa, pois faz com que 
haja, no novo framework, a revisão de estratégias corporativas com seus riscos e a tomada de decisões. A atualização 
do framework do COSO ERM – Gerencimento de Riscos Corporativos – Integrado com Estratégia e Performance fornece:
- Maior visibilidade do papel do gerenciamento de riscos corporativos ao estabelecer e executar a estratégia; 
- Melhora o alinhamento entre desempenho e gerenciamento de riscos corporativos;
- Acomoda expectativas de governança e a supervisão;
- Reconhece a globalização dos mercados e das operações e a necessidade de aplicar 
uma abordagem comum, embora personalizada, entre as geografias;
- Apresenta novas formas de ver o risco para a definição e a consecução de 
objetivos no contexto de uma maior complexidade empresarial;
- Expande relatórios para atender às expectativas de maior transparência das partes interessadas;
- Acomoda tecnologias em evolução e o crescimento da análise de dados no suporte à tomada de decisões.
Ele também define, conceitua componentes e princípios, e fornece orientação para todos os níveis de gerenciamento 
de riscos corporativos, envolvidos na concepção, implementação e operacionalização da gestão de riscos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
83 
risCos e seu PAPel nA definição dA estrAtégiA
Figura 19 – Definição dos objetivos estratégicos alinhados com a Missão, Visão e Valores, visando a Performance 
Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Executive Summary, 2017
O COSO ERM 2017, possui dois frameworks, o primeiro, figura 19 acima, demonstra a importância de ter uma de-
finição de objetivos estratégicos alinhados com a missão, visão e valores da empresa para o fortalecimento de seu 
desempenho, o qual pode ser afetado devido a existência dos seguintes pontos:
a) Possibilidade da estratégia não estar alinhada com a missão e visão da organização. Normalmente a gestão de riscos 
verifica se a empresa conta com objetivos estratégicos ou se os eventos que possam impactar a realização dos objetivos 
são conhecidos. A visão agora é avaliar se a estratégia está alinhada com a visão, missão e valores da organização.
b) Outro ponto importante neste quesito é avaliar se a estratégia escolhida é alinhada com 
o apetite a risco, com os recursos requeridos e com o retorno almejado.
A falta deste alinhamento potencializa o risco da empresa de não criar valor às partes relacionadas, além do que, 
pode comprometersua operacionalidade e desgastar o valor existente.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
84 
A alta gestão tem como responsabilidade definir o apetite a risco, além de supervisionar para que este apetite a risco 
seja base para a definição da estratégia da organização.
A gestão de riscos tem contribuído na identificação e avaliação dos riscos estratégicos, entretanto, as maiores 
causas de desgaste dos valores criados, se dá pelo não alinhamento da estratégia com a missão, visão e valores da 
empresa, por esta razão a importância dada nesta questão na revisão do COSO ERM 2017. 
A gestão de risco da empresa não cria a estratégia da organização, mas informa para alta administração e Conselho 
de Administração sobre os riscos associados às estratégias alternativas consideradas e, em última análise, com a 
estratégia adotada. A organização precisa avaliar como a estratégia escolhida pode afetar seu perfil de risco, especifi-
camente os tipos e a quantidade de risco que está potencialmente exposta.
Ao avaliar os riscos potenciais que podem surgir da estratégia, o gerenciamento de riscos também considera as in-
certezas e pressupostos críticos que fizeram subjacentes à estratégia escolhida. O gerenciamento de risco da empresa 
fornece informações valiosas sobre como as mudanças sensíveis às premissas são; ou seja, se eles teriam pouco ou 
grande efeito na realização da estratégia.
Existe sempre riscos na execução da estratégia, que toda organização deve considerar. Aqui, o foco é entender a 
estratégia estabelecida e quais são estes riscos e sua relevância. Às vezes, os riscos tornam-se suficientemente im-
portantes para que uma organização deseje revisitar sua estratégia e considerar revisá-la ou selecionar uma com um 
perfil de risco mais adequado.
O risco para a estratégia de execução também pode ser visto através da lente dos objetivos de negócios. Os objetivos 
são a base sobre a qual os riscos são identificados e avaliados. 
Algumas organizações poderão realizar o gerenciamento de riscos corporativos através do modelo de cadeia de valor. 
Neste modelo, a organização analisa onde e como ele pode criar valor para obter uma vantagem competitiva. As orga-
nizações podem criar valor através de diferentes partes da cadeia de valor.
Uma entidade pode criar valor com capacidades de distribuição superiores, outra através do marketing e outra atra-
vés da sua capacidade de entregar produtos inovadores repetidamente. Depende do tamanho e perfil da empresa e do 
segmento em que está inserida. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
85 
Neste caso, o gerenciamento de riscos corporativos, integrado com o planejamento estratégico, vai se adaptar a 
metodologia e ferramenta utilizadas para a construção da sua vantagem competitiva, cadeia de valor, curva de valor, 
balanced scored card - BSC, CANVAS, entre outras.
risCo X desemPenho 
O perfil de risco de uma empresa fornece uma visão composta do risco em um determinado nível ou aspecto do mo-
delo de negócios. Essa visão composta permite que a administração considere o tipo, gravidade e interdependências 
dos riscos, e como eles podem afetar o desempenho em relação à estratégia e aos objetivos de negócios.
Esta relação entre risco e desempenho raramente é linear e individual. É exponencial neste mundo VICA. Mudanças 
incrementais em metas de desempenho nem sempre resultam em mudanças de riscos correspondentes e, portanto, 
a ilustração de um único ponto nem sempre é útil. Uma representação mais realista do perfil de risco, algumas vezes 
representada graficamente, ilustra a quantidade agregada de risco associada a diferentes níveis de desempenho. Essa 
representação considera o risco como um contínuo de resultados potenciais ao longo dos quais a organização deve 
equilibrar a quantidade de risco para a empresa e o desempenho desejado.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
86 
Alvo
R
is
co
Desempenho
Perfil de Risco
Figura 20 – Perfil do Risco x Desempenho 
Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Exposição Pública, Draft 2016
Na Figura 20, cada barra representa o perfil de risco para um ponto específico de desempenho. A linha de alvo vertical 
representa o nível de desempenho escolhido pela empresa como parte da definição de estratégia, que é comunicada 
através de um objetivo comercial e objetivo.
APetite Ao risCo
O apetite ao risco é parte integrante da gestão de riscos corporativos. Ele orienta as decisões sobre os tipos e a 
quantidade de risco que uma organização está disposta a aceitar na busca de valor. A primeira expressão de apetite 
ao risco é a missão e a visão de uma empresa. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
87 
O apetite ao risco não é estático, deve mudar ao longo do tempo de acordo com a mudança das capacidades de ge-
renciamento de risco e do contexto de mercado. Além disso, o processo de seleção de estratégia e desenvolvimento de 
apetite ao risco não é linear, com um sempre precedendo o outro. Muitas empresas desenvolvem estratégia e apetite 
ao risco em paralelo, refinando cada um ao longo do processo de estabelecimento de estratégias.
Também não há um apetite ao risco universal que se aplique a todas as organizações. Algumas empresas consideram 
o apetite em termos qualitativos, enquanto outros preferem termos quantitativos, com frequência focando no equilíbrio 
do crescimento, retorno e risco. Seja qual for a abordagem para descreve-lo, ele deve refletir a cultura da empresa. 
A melhor abordagem para uma empresa é aquela que alinha, com a análise de riscos, qualitativo ou quantitativo, 
com sua estratégia. Desenvolver as declarações de apetite ao risco é um exercício para encontrar um compromisso 
entre riscos e oportunidades.
Cabe à gerência desenvolver essa declaração. Algumas organizações podem considerar um termo geral como “baixo 
apetite” claro, enquanto outros podem encontrar uma declaração tão vaga e difícil de se comunicar e implementar em 
toda a entidade. É comum que as declarações de apetite ao risco se tornem mais precisas à medida que as organizações 
se tornam mais experientes no gerenciamento de riscos corporativos. Também é comum que as organizações desenvol-
vam uma série de expressões de “subnível” em cascata. Essas declarações de nível mais baixo oferecem mais precisão 
e usam termos como “alvos”, “intervalos”, “pisos” ou “tetos” e possuem os seguintes parâmetros: 
1. Estratégicos: considerando questões como os novos produtos para perseguir ou evitar, 
o investimento em investimentos e a atividade de fusão e aquisição.
2. Financeiros: considerando questões como a variação máxima aceitável no desempenho financeiro, retorno sobre 
ativos ou retorno do capital ajustado ao risco, rating de dívida alvo e índice de endividamento / capital próprio.
3. Operacionais: considerando questões como gerenciamento de capacidade, requisitos 
ambientais, metas de segurança, metas de qualidade e concentrações de clientes.
A figura 21, mostra o perfil de risco como uma área em azul, preenchendo o espaço em todo o eixo de desempenho 
das barras de perfil de risco individuais. Uma linha que mostra o apetite ao risco também foi adicionada.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
88 
Alvo
R
is
co
Desempenho
Perfil de Risco Apetite ao Risco Capacidade de Risco
Figura 21 – Apetite ao Risco e Capacidade de Risco 
Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Exposição Pública, Draft 2016
No COSO ERM 2004, havia a indicaçãotambém do alinhamento da estratégia com o apetite ao risco, mas não era de 
forma enfática. Nesta revisão faz parte do 8o Princípio (Definição do Apetite ao Risco), dentro do 2o componente (Risco, 
Estratégia e Definição de Objetivos). 
Em qualquer descrição do perfil de risco, as empresas podem traçar a capacidade de risco, como na figura 21, que é 
a quantidade máxima de riscos que a organização pode absorver na busca de seus objetivos estratégicos. 
A capacidade de risco deve ser considerada ao estabelecer o apetite ao risco, pois geralmente uma organização se 
esforça para manter o apetite ao risco dentro de sua capacidade. Não é típico que uma organização estabelecer o 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
89 
apetite ao risco acima de sua capacidade de risco, mas em situações raras, uma organização pode aceitar a ameaça 
de insolvência e falha em uma direção estratégica, entendendo que o sucesso pode criar um valor considerável.
É uma questão de decisão, ousadia e apetite ao risco, mas parametrizado e, principalmente, sabendo das conse-
quências se der errado. 
novo frAmeWorK: gestão de risCos AlinhAdo à estrAtégiA e desemPenho
Figura 22 – FRAMEWORK REVISADO 2017 – COSO ERM Enterprise Risk Management, Integrando com Estratégia e Desempenho 
Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Executive Summary, 2017
A figura acima, mostra o novo framework revisado em 2017, com o nome COSO ERM – Gerencimento de Riscos Corpora-
tivos – Integrado com Estratégia e Performance, ressaltando a importância da utilização da gestão de riscos na definição 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
90 
da estratégia alinhada à missão, valores e visão, e determina que o sucesso para um desempenho operacional gerador 
de riqueza acontece através da integração e equilíbrio de todos os departamentos e funções com foco em riscos.
Esta é a diferença primordial em relação ao COSO II ERM 2004, embora desse uma importância à estratégia, através 
de um dos objetivos da empresa – Estratégicos - não era seu foco principal. Podemos observar na figura 23, através do 
antigo “cubo” que com as oito fases, ele cobria toda a corporação, mas não dava ênfase e foco na interconectividade 
entre riscos e a estratégia e seus objetivos de negócio. Passa a ser condição “sine qua non” a interação entre o plane-
jamento estratégico e a área de riscos corporativos, fato que não existia. Primeiro se fazia o Planejamento Estratégico, 
não se discutiam riscos, para depois haver a identificação dos riscos estratégicos.
Com o novo framework do COSO ERM 2017, há a necessidade primordial das três linhas de defesa entenderem muito 
bem os preceitos estratégicos da organização, pois todas as ações e objetivos cascateados estarão embasados em 
Riscos x Estratégia x Objetivos de Negócio x Desempenho.
Figura 23 – Framework do COSO ERM Enterprise Risk Management, 2004. Visão tridimensional 
Fonte: COSO ERM Enterprise Risk Management, 2004
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
91 
Ambiente 
Interno
Filosofia (política) Apetite ao risco Corpo diretivo
Integridade e 
valores éticos
Comprometimento 
e competência
Estrutura
Pápeis e 
responsabilidades
Padrões de 
recursos humanos
Ferramenta 
tecnológica
Processo e 
procedimentos
Definição de 
Objetivos
Objetivos estratégicos
Objetivos 
relacionados
Objetivos 
selecionados
Apetite ao risco Tolerância ao risco
Identificação 
de Eventos
Distinção entre eventos de 
riscos e as oportunidades
Fatores de riscos
Técnicas de 
identificação de 
eventos de risco
Interdependência 
entre os eventos 
de risco
Categorização dos 
eventos de risco
Avaliação de 
Riscos
Risco inerente (potencial) 
e risco residual
Variáveis para 
avaliação dos 
eventos de risco
Fonte de dados
Técnicas de 
avaliação de 
eventos de risco
Co-relação entre 
eventos de risco
Tratamento 
dado aos Riscos
Avaliação das opções de 
tratamento
Seleção de 
tratamento
Visão de portifólio 
de eventos de risco
Atividades 
de Controle
Integração com o 
tratamento dado aos 
eventos de risco
Tipos de atividades 
de controles
Políticas e 
procedimentos
Controle 
automatizados
Entidades 
específicas
Informação e 
Comunicação
Processo de comunicação 
definido
Conteúdo da 
informação 
definido
Público-alvo 
definido
Monitoramento
Atividades de 
monitoramento contínuo
Avaliações 
independentes
Comunicação das 
deficiências
Figura 24 – Fases e Conteúdo do COSO ERM Enterprise Risk Management, 2004. 
Fonte: Notas de Aulas do Curso de MBA Gestão de Riscos Corporativos de Brasiliano, Antonio Celso Ribeiro Brasiliano. 2007.
A figura acima, nos fornece uma ideia do conteúdo que o COSO II ERM 2004, sugeria que fosse executado quando 
da sua operacionalização. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
92 
Podemos notar que até cita a questão do alinhamento dos objetivos de Gestão de Riscos com os Objetivos Estraté-
gicos, mas nada enfático em realizar a completa integração. 
Agora a estratégia, os objetivos de negócio e os riscos são irmãos siameses, estão agrupados, não podendo mais 
haver hiato, com o risco da empresa ver materializado rupturas que podem descontinuar seu negócio. 
Por esta razão no framework COSO ERM – Gerencimento de Riscos Corporativos – Integrado com Estratégia e Perfor-
mance, na revisão 2017, houve a integração de fases, hoje chamadas de componentes, que são cinco. 
Estes cinco componentes cobrem todo o entendimento entre as atividades de governança, estratégia, desempenho, 
análise e revisão e monitoramento, auxiliando as corporações se prepararem para estar aderente a esta melhor práti-
ca. O COSO ERM 2017, define os cinco componentes como: 
1. Governança e Cultura: a governança estabelece o tom da organização, reforçando sua importância e estabelecendo 
a responsabilidade pela supervisão da operação pela alta gestão, incluindo a supervisão do gerenciamento de riscos 
corporativos. A cultura estabelece os valores éticos, o comportamento desejado e a compreensão dos riscos da entidade.
2. Estratégia e definição de objetivos: o gerenciamento de riscos corporativos, a estratégia e o estabelecimento de objetivos 
atuam juntos no processo de planejamento estratégico. O apetite a risco é estabelecido e alinhado com a estratégia. Os 
objetivos de negócio colocam a estratégia em prática, enquanto serve de base para identificar, avaliar e tratar os riscos.
3. Desempenho/Performance: os riscos que podem afetar a consecução da estratégia e dos objetivos de 
negócios precisam ser identificados e avaliados. Os riscos são priorizados pela sua magnitude considerando 
dentro do contexto do apetite ao risco. Com base nisto, a organização seleciona as respostas para o 
risco e cria uma visão de portfólio considerando a quantidade de risco assumida. Os resultados desse 
processo são relatados para os principais stakeholders envolvidos com a supervisão de riscos.
4. Análise e Revisão: ao analisar sua performance, a organização tem a oportunidade de refletir sobre até que ponto os 
componentes do processo de gerenciamento de riscos corporativos estão funcionando bem ao longo do tempo e no 
contexto de mudanças relevantes, e quais correções são necessárias para o fortalecimento da efetividade deste processo.
5. Informação, comunicação e divulgação: gerenciamento de risco corporativo demanda um processo 
contínuo de obtenção e compartilhamento de informações precisas, provenientes de fontes internas 
e externas, originadas das mais diversas camadas e processos de negócios da empresa. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
CO
S
 C
O
R
P
O
R
AT
IV
O
S
93 
Com o objetivo de fornecer um guia de operacionalização, igual ao COSO I Estrutura de Controles Internos, revisão 
2013, foram elaborados um conjunto de princípios. Esses princípios abrangem da governança até o monitoramento. 
Eles são vinte e descrevem práticas para serem aplicadas de maneiras distintas para diferentes organizações, inde-
pendentemente do seu tamanho, tipo ou setor.
A adesão a esses princípios fornece à administração e ao Conselho uma razoável certeza de que a organização en-
tendeu e se esforça para gerenciar os riscos associados à sua estratégia e objetivos de negócios. São eles: 
1. Governança e Cultura: 
1. Exercitar a responsabilidade de supervisão do Conselho sobre os riscos estratégicos e operacionais.
2. Estabelecer estruturas operacionais compatíveis com a estratégia.
3. Definir a cultura desejada.
4. Demonstrar compromisso com os Valores Fundamentais da corporação.
5. Atrair, desenvolver e manter indivíduos capazes para a execução de suas obrigações.
2. Estratégia e o estabelecimento dos objetivos:
6. Analisar o contexto empresarial e de negócio.
7. Definir o apetite ao risco.
8. Avaliar as estratégias alternativas existentes.
9. Formular os objetivos do negócio alinhado a missão, visão e valores.
3. Desempenho:
10. Identificar o Risco.
11. Avaliar a severidade do Risco.
12. Priorizar Riscos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
94 
13. Definir e implementar as respostas aos riscos.
14. Desenvolver a visão de portfólio para riscos.
4. Análise e Revisão:
15. Avaliar as mudanças significativas.
16. Revisar riscos e desempenho.
17. Buscar a melhoria no gerenciamento de riscos empresariais.
5. Informação, comunicação e relatórios:
18. Alavancar a informação através da tecnologia.
19. Comunicar informações sobre riscos.
20. Elaborar relatórios sobre risco, cultura e desempenho.
O desafio para as empresas é que continuaremos a enfrentar um futuro de mundo VICA grande volatilidade, incer-
teza, complexidade e ambiguidade, de forma que a gestão de riscos tem um papel primordial de auxiliar a empresa 
atravessar este período prospectando e gerenciando as ameaças existentes que possam impactar o desempenho da 
organização.
olhAr no futuro
Quando olhamos para o futuro, vemos uma série de tendências que poderão afetar o processo de gerenciamento 
de riscos, e a instituição COSO aponta quatro destas tendências que devem ser observadas de perto pelos gestores. 
São elas: 
• Lidar com o aumento e a proliferação de dados,
• Entender o impacto de novas tecnologias como a inteligência artificial e automação;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
95 
• Gerenciar o custo do gerenciamento de riscos, dos processos de compliance e da 
gestão de controles internos em comparação com o retorno obtido
• Construir organizações mais fortes, à medida que estas integram e aprimoram o gerenciamento de 
riscos corporativos com a estratégia e desempenho, fortalecendo de forma direta a resiliência.
Ao antecipar riscos que terão maior impacto na empresa, os gestores estarão usando o gerenciamento de riscos 
corporativos para suportar a pressão das possíveis materializações destes riscos, através de competências criando 
desta forma novas oportunidades para sua empresa. 
Este é o nosso grande desafio para o século XXI, operacionalizar a tão chamada Inteligência em Riscos, quando inte-
gramos as informações para a análise e daí extraímos a filtragem do que é relevante para a empresa e o seu contexto. 
5.3 isO 31000 - revisãO 2018
5.3.1 cONtextO
Durante os anos de 2007 e 2008 uma série de questões de riscos - desde a crise de liquidez nos mercados fi-
nanceiros até as preocupações emergentes sobre terrorismo, clima, disponibilidade de alimentos, infraestrutura e 
energia, focou a atenção global na fragilidade da sistêmica dos processos estratégicos das nações e consequente-
mente do mundo. 
Uma conscientização do risco e gerenciamento de risco é cada vez mais vista como um pré-requisito para controle 
efetivo tanto no setor privado e como público. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
96 
Dentro deste contexto é que em 2009 foi lançada a ISO 31000, com o desafio de integrar os diferentes conceitos 
da Gestão de Riscos Corporativos. A norma foi sendo desenvolvida por uma comissão especial da ISO (International 
Organization for Standardization). 
A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamentações e frameworks publicados anteriormen-
te e que de alguma forma estão relacionados com a gestão de riscos. A origem da norma, que pode ser aplicada por 
empresas ou indivíduos e fornece diretrizes para implementação de gestão de riscos em organizações de qualquer tipo, 
tamanho ou área de atuação, vem da necessidade das corporações de lidar com as incertezas que podem afetar os 
seus objetivos. Estes objetivos podem estar relacionados com várias atividades da organização, desde as iniciativas 
estratégicas como as atividades operacionais, processos ou projetos. Assim, a norma pode ser aplicada aos vários 
tipos de riscos ligados aos diferentes setores da organização, tais como: financeiro, saúde e meio ambiente, tecnologia 
da informação, segurança empresarial, seguros, e de projetos, entre outros, incluindo a visão moderna de que risco 
também é oportunidade.
A ISO 3100 surge também para integrar as diversas metodologias e terminologias, pois hoje ainda há falta de con-
senso em relação à terminologia e aos conceitos utilizados para a gestão de riscos. 
O resultado mais comum dessa equação é que a gestão de riscos acaba sendo tratada de forma isolada, fazendo 
com que vários gestores (saúde, meio ambiente, segurança de TI e empresarial, legal, financeiro, seguros, entre outros) 
trabalhem em ilhas departamentais, o que ocasiona a utilização de terminologias, sistemas, critérios e conceitos dife-
rentes para cada uma das áreas da empresa. Ou seja, cada departamento não possui o denominado impacto cruzado, 
não enxerga o impacto do risco que está estudando em outras áreas e ou processos. 
A ISO 31000 possui processo consistente e uma estrutura abrangente para ajudar a assegurar que o risco será ge-
renciado de forma eficaz, eficiente e coerentemente. Por esta razão a abordagem é genérica fornecendo os princípios 
e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de 
qualquer escopo e contexto. 
Segundo a ISO 31000:2009, esta descreve as possibilidades da gestão de riscos nas empresas: 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
97 
- Aumentar a probabilidade de atingir os objetivos;
- Encorajar uma gestão proativa;
- Estar atento para a necessidade de identificar e tratar os riscos através de toda organização;
- Melhorar a identificação de oportunidades e ameaças; 
- Atender às normas internacionais e requisitos e regulamentos pertinentes;
- Melhorar o reporte das informações financeiras;
- Melhorar a governança;
- Melhorar a confiança das partes interessadas;
- Estabelecer uma base confiável para a tomada de decisão e o planejamento;
- Melhorar os controles;
- Alocar e utilizar eficazmente os recursos para o tratamento dos riscos;
- Melhorar a eficácia e a eficiência operacional;
- Melhorar o desempenho em saúde e segurança, bem como proteção ao meio ambiente;
- Melhorar a prevenção de perdas e a gestão de incidentes;
- Minimizar perdas;
- Melhorar a aprendizagem organizacional;
- Aumentar a resiliência da organização.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
ATIV
O
S
98 
5.3.2 OrgaNizaçãO da NOrma – isO 31000:2009
5.3.2.1 orgAnizAção
A norma possui a seguinte organização: 
Introdução
1. Escopo.
2. Termos e Definições.
3. Princípios.
4. Estrutura.
5. Processo.
6. Anexos: A – Atributos de uma gestão de riscos avançada.
5.3.2.2 estruturA
O sucesso da gestão de riscos depende da estrutura de gestão que fornece os fundamentos e os arranjos que irão in-
corporá-la através de toda organização, em todos os níveis. A estrutura descreve os componentes necessários da estru-
tura para gerenciar riscos e a forma como eles se inter-relacionam. O diagrama abaixo foi retirado da ISO 31000:2009, 
onde explica a estrutura necessária para fazer o processo de gestão de riscos corporativos nas empresas. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
99 
Figura 25 – Relacionamento entre os componentes da estrututa para gerenciar riscos.
5.3.2.3 ProCesso
O processo de Gestão de Riscos da ISO 31000 foi elaborado para ser: 
- Parte integrante da gestão;
- Incorporado na cultura e nas práticas;
- Adaptado aos processos de negócio da organização. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
100 
Ele compreendia as seguintes atividades: 
Figura 26 – Processo de Gestão de Riscos
Genericamente, o processo estruturado sugerido possuia sete fases claramente identificadas, sendo um processo re-
troalimentativo. Ou seja, seguindo os princípios do ciclo da qualidade, PDCA - Plan – Do – Check – Action. 
A fase de comunicação e consulta abrange todas elas e é inter-relacionada. Abrange tanto a comunicação interna e 
externa, assegurando que os responsáveis e partes interessadas compreendam os fundamentos sobre os quais as deci-
sões são tomadas e as respectivas razões. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
101 
A fase do estabelecimento do contexto é entender os fatores e as variáveis externas, incluindo os fatores chaves, as 
tendências e as relações com as partes interessadas externas e suas percepções de valores. Já no contexto interno é 
entender seus objetivos estratégicos, a cultura, processos, estrutura e estratégia. No contexto estratégico estabelece o 
processo de gestão de riscos com sua estrutura, seus critérios e métodos que a organização deverá utilizar. Define-se 
metas e objetivos além de responsabilidades e o apetite ao risco que a organização quer possuir.
A fase da identificação de riscos, no processo de avaliação de riscos, é a listagem dos riscos que o processo, departa-
mento e/ou empresa possui com as respectivas fontes de riscos. A identificação deve ser crítica, pois um risco que não 
é identificado nesta fase não será incluído em análises posteriores. Fica claro que esta é a fase estratégica pois é nesta 
que se entende os fatores de riscos, os fatores facilitadores da existência do risco na empresa. 
A fase de análise de riscos desenvolve a compreensão dos riscos. Com a compreensão dos riscos é que a empresa 
poderá tomar decisão sobre seu tratamento. Nesta fase, estima-se a Probabilidade e Consequência do risco na empresa. 
A análise envolve a apreciação das causas e as fontes de risco, suas consequências positivas e negativas, e a probabili-
dade de que essas consequências possam ocorrer. A norma não especifica critérios e métodos, sendo que a organização 
é que deve escolher, tendo em vista as características do negócio. 
A fase da avaliação de riscos é para auxiliar na tomada de decisões com base nos resultados da análise de riscos, 
sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento. A avaliação de riscos 
envolve comparar o nível de risco encontrado durante a análise de riscos. Deve-se utilizar uma Matriz de Riscos como 
ferramenta de gestão. 
A fase de Tratamento de Riscos envolve um processo cíclico composto por: 
- A avaliação do tratamento já realizado;
- A decisão se os níveis de risco residual são toleráveis;
- Se não forem toleráveis, a definição e implementação de um novo tratamento;
- A avaliação e eficácia desse tratamento. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
102 
As opções de tratamento são as universais: 
- A ação de evitar o risco;
- A tomada ou aumento do risco – se o risco for positivo;
- A remoção da fonte de riscos;
- A alteração da probabilidade;
- A alteração das consequências;
- O compartilhamento do risco;
- A retenção do risco por uma decisão consistente e bem embasada. 
A última fase, monitoramento e análise crítica é a fase da checagem ou das vigilâncias regulares. Podem ser regulares, 
periódicas ou acontecerem em resposta a um fato específico. Deve haver uma definição clara e direta das responsabili-
dades de quem vai realizar o monitoramento e análise crítica. 
5.3.2.4 registros do ProCesso de gestão de risCos 
As atividades de gestão de riscos devem ser rastreáveis. Ou seja, deve haver registros, pois estes fornecem os fun-
damentos para melhoria dos métodos e ferramentas, bem como de todo o processo. 
5.3.2.5 ConClusão
O grande desafio no desenvolvimento da ISO 31000 estava em estabelecer uma linguagem comum, bem como padronizar 
as melhores práticas e abordagens para que as organizações possam implementar a gestão de riscos em seus processos. 
Por se tratar de uma proposta de convergência alinhada com a visão integrada de ERM (Enterprise Risk Management), a 
ISO 31000 não concorre com outras orientações já existentes, fornecendo orientações e alinhamento com outros conjuntos 
de regras específicos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
103 
5.3.3 isO 31000: 2018 gestãO de riscOs – diretrizes - revisãO 
A ISO 31000: 2009 Gestão de Riscos sofreu também uma revisão, que no Brasil está em consulta pública, através 
do Grupo da ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018 e já publicada internacionalmente 
em janeiro de 2018, pela Technical Committee Risk Management (ISO/TC 262), conforme ISO/IEC Guide 21-1:2005, 
sob a denominação ISO 31000:2018 Gestão de Riscos - Diretrizes.
Na verdade, sua revisão foi, na minha opinião estrutural e ampliou sua visão oficialmente para o nível estratégico. A 
estrutura da norma não sofreu modificações substanciais, ficando com os seguintes tópicos: 
1. Escopo;
2. Referências Normativas;
3. Termos e Definições;
4. Princípios;
5. Estrutura;
6. Processo:
- Referências Bibliográficas.
O escopo, referências, termos e definições tiveram modificações pontuais. As mudanças estruturais principais foram: 
PrinCíPios:
Possui um Framework com seus princípios, focando a criação e proteção de valor para a empresa, que foram reduzi-
dos de onze para oito e servem de orientação para que a gestão de riscos seja eficaz e eficiente.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
104 
Figura 27 – Princípios da ISO 31000:2018 | Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018
A gestão de riscos eficaz requer os elementos da figura 27 e pode ser explicada como: 
1. Integrada 
A gestão de riscos é parte integrante de todas as atividades organizacionais. 
2. Estruturada e abrangente 
Uma abordagem estruturada e abrangente para a gestão de riscos contribui para resultados consistentes e comparáveis. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
105 
3. Personalizada 
A estrutura e o processo de gestão de riscos são personalizados e proporcionais aos 
contextos externo e interno da organização relacionados aos seus objetivos.4. Inclusiva 
O envolvimento apropriado e oportuno das partes interessadas possibilita que seus conhecimentos, pontos de vista 
e percepções sejam considerados. Isto resulta em melhor conscientização e gestão de riscos fundamentada. 
5. Dinâmica 
Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e 
interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e 
responde a estas mudanças e eventos de uma maneira apropriada e oportuna.
6. Melhor informação disponível 
As entradas para a gestão de riscos são baseadas em informações históricas e atuais, 
bem como em expectativas futuras. A gestão de riscos explicitamente leva em consideração 
quaisquer limitações e incertezas associadas a estas informações e expectativas. Convém que a 
informação seja oportuna, clara e disponível para as partes interessadas pertinentes. 
7. Fatores humanos e culturais 
O comportamento humano e a cultura influenciam significativamente todos 
os aspetos da gestão de riscos em cada nível e estágio. 
8. Melhoria contínua 
A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências.
estruturA 
Na sua estrutura ficou ressaltada a responsabilidade da alta administração e a integração com o sistema de gover-
nança corporativa. A eficácia da gestão de riscos depende da sua integração na governança e em todas as atividades 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
106 
da organização, incluindo a tomada de decisão. Ou seja, a Gestão de Riscos faz parte do nível estratégico da empresa. 
Isto requer apoio das partes interessadas, em particular da Alta Direção.
O framework da estrutura não segue de forma direta o ciclo do PDCA, mas sim com cinco elementos, onde deve haver 
liderança e comprometimento. São eles segundo a figura abaixo: 
Figura 28 – Estrutura da ISO 31000:2018 | Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
107 
a) Liderança e comprometimento 
Convém que a Alta Direção e os órgãos de supervisão - segunda linha de defesa - assegurem que a gestão de 
riscos esteja integrada em todas as atividades da organização, convém que demonstrem liderança e comprome-
timento por: 
• Personalizar e implementar todos os componentes da estrutura; 
• Emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da gestão de riscos; 
• Assegurar que os recursos necessários sejam alocados para gerenciar riscos; 
• Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização; 
Isto vai ajudar a organização: 
• Alinhar a gestão de riscos com seus objetivos, estratégia e cultura; 
• Reconhecer e abordar todas as obrigações, bem como seus compromissos voluntários; 
• Estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orientar o desenvolvimento 
de critérios, assegurando que sejam comunicados à organização e às suas partes interessadas; 
• Comunicar o valor da gestão de riscos para a organização e suas partes interessadas; 
• Promover o monitoramento sistemático de riscos; 
• Assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização. 
A Alta Direção é responsabilizada por gerenciar riscos, enquanto os órgãos de supervisão são responsabilizados por 
supervisionar a gestão de riscos. Com frequência, é requerido ou esperado que os órgãos de supervisão: 
• Assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da organização; 
• Compreendam os riscos aos quais a organização está exposta na busca de seus objetivos; 
• Assegurem que sistemas para gerenciar estes riscos estejam implementados e operem eficazmente; 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
108 
• Assegurem que estes riscos sejam apropriados no contexto dos objetivos da organização; 
• Assegurem que a informação sobre estes riscos e sua gestão seja apropriadamente comunicada. 
b) Integração 
A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do contexto organizacional. Estru-
turas diferem, dependendo do propósito, metas e complexidade da organização. Todos na organização têm responsa-
bilidade por gerenciar riscos. 
Determinar a responsabilização pela gestão de riscos e os papéis de supervisão no âmbito de uma organização é 
parte integrante da governança da organização. Integrar a gestão de riscos em uma organização é um processo dinâmi-
co e iterativo, e convém que seja personalizado para as necessidades e cultura da organização. Convém que a gestão 
de riscos seja uma parte, e não separada, do propósito organizacional, governança, liderança e comprometimento, 
estratégia, objetivos e operações.
c) Concepção
Esta é uma das partes mais sensíveis a ser verificada e estudada pela gestão de riscos. 
c.1) Entendendo a organização e seu contexto
Ao conceber a estrutura para gerenciar riscos, convém que a organização examine e entenda seus contextos externo 
e interno. 
Examinar o contexto externo quer dizer Cenários Prospectivos, Incertezas Críticas para o negócio e incluem, mas 
não está limitado a: fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, econômicos 
e ambientais, em âmbito internacional, nacional, regional ou local; direcionadores-chave e tendências que afetem os 
objetivos da organização; relacionamentos, percepções, valores, necessidades e expectativas das partes interessadas 
externas; relações e compromissos contratuais e complexidade das redes de relacionamento e dependências. 
Já o ambiente interno da organização pode incluir, mas não está limitado a: visão, missão e valores; governança, 
estrutura organizacional, papéis e responsabilizações; estratégia, objetivos e políticas; cultura da organização; normas, 
diretrizes e modelos adotados pela organização; capacidades entendidas em termos de recursos e conhecimento (por 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
109 
exemplo, capital, tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias); dados, sistemas de 
informação e fluxos de informação; relacionamentos com partes interessadas internas, levando em consideração suas 
percepções e valores; relações contratuais e compromissos e interdependências e interconexões. 
c.2) Articulando o comprometimento com a gestão de riscos
Convém que a Alta Direção e os órgãos de supervisão, demonstrem e articulem o seu comprometimento contínuo 
com a gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente transmitam os 
objetivos e o comprometimento com a gestão de riscos de uma organização. Convém que o comprometimento inclua, 
mas não se limite a: 
- O propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas; reforçar a 
necessidade de integrar a gestão de riscos na cultura global da organização; liderar a integração da gestão 
de riscos nas atividades principais do negócio e na tomada de decisão; autoridades, responsabilidades e 
responsabilizações; tornar disponíveis os recursos necessários; a maneira pela qual os objetivos conflitantes são 
tratados; medição e relato no âmbito dos indicadores de desempenho da organização e análise crítica e melhoria. 
c.3) Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações
Convém que a Alta Direção e os órgãos de supervisão assegurem que as autoridades, responsabilidades e respon-
sabilizações para os papéis pertinentes à gestão de riscos sejam atribuídas e comunicadas a todos os níveis da orga-
nização, e convém que: 
- Enfatizemque a gestão de riscos é uma responsabilidade principal; 
- Identifiquem indivíduos que possuam responsabilização e tenham autoridade 
para gerenciar riscos (proprietários dos riscos). 
c.4) Alocando recursos
Convém que a Alta Direção e os órgãos de supervisão, assegurem a alocação de recursos apropriados para a 
gestão de riscos, que podem incluir, mas não estão limitados a: pessoas, habilidades, experiência e competência; 
processos, métodos e ferramentas da organização a serem usados na gestão de riscos; processos e procedimentos 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
110 
documentados; sistemas de gestão da informação e do conhecimento e necessidades de treinamento e desenvolvi-
mento profissional. 
Convém que a organização considere as capacidades e restrições dos recursos existentes.
c.5) Estabelecendo comunicação e consulta
Convém que a organização estabeleça uma abordagem aprovada para comunicação e consulta para apoiar a estrutu-
ra e facilitar a aplicação eficaz da gestão de riscos. Comunicação envolve compartilhar informação com públicos-alvo. 
A consulta também envolve o fornecimento de retorno pelos participantes, com a expectativa de que isto contribuirá 
para as decisões e sua formulação ou outras atividades. 
d) Implementação 
Convém que a organização implemente a estrutura de gestão de riscos por meio de: 
• Desenvolvimento de um plano apropriado, incluindo prazos e recursos; 
• Identificação de onde, quando e como diferentes tipos de decisões são tomadas pela organização, e por quem; 
• Modificação dos processos de tomada de decisão aplicáveis, onde necessário; 
• Garantia de que os arranjos da organização para gerenciar riscos sejam claramente compreendidos e praticados. 
Adequadamente concebida e implementada, a estrutura de gestão de riscos assegurará que o processo de gestão de 
riscos é parte de todas as atividades da organização, incluindo a tomada de decisão, e que as mudanças nos contextos 
externo e interno serão adequadamente capturadas.
e) Avaliação 
Para avaliar a eficácia da estrutura de gestão de riscos, convém que a organização: 
• Mensure periodicamente o desempenho da estrutura de gestão de riscos em relação ao seu 
propósito, planos de implementação, indicadores e comportamento esperado; 
• Determine se permanece adequada para apoiar o alcance dos objetivos da organização. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
111 
f) Melhoria 
f.1) Adaptação
Convém que a organização monitore e adapte continuamente a estrutura de gestão de riscos para abordar as mudan-
ças externas e internas. Ao fazer isso, a organização pode melhorar seu valor. 
f.2) Melhoria contínua
Convém que a organização melhore continuamente a adequação, suficiência e eficácia da estrutura de gestão de 
riscos e a forma como o processo de gestão de riscos é integrado. 
À medida que lacunas ou oportunidades de melhoria pertinentes são identificadas, convém que a organização desen-
volva planos e tarefas e os atribua àqueles responsabilizados pela implementação. Uma vez implementadas, convém 
que estas melhorias contribuam para o aprimoramento da gestão de riscos.
ProCesso 
O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para as ati-
vidades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise 
crítica, registro e relato de riscos. O framework a seguir, é o novo da ISO 31000:2018, após sua revisão:
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
112 
Figura 29 – Processo da ISO 31000:2018 | Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018
Ponto importante ressaltado na norma revisada é que embora o processo de gestão de riscos seja frequentemente 
apresentado como sequencial, na prática ele é interativo, ou seja, pode haver várias fases iniciando ao mesmo tempo 
ou fases sendo puladas por interesse ou questões organizacionais. 
Neste processo a modificação mais substancial é que houve o aumento de mais uma fase, a do registro e relato e a 
fase do escopo, contexto e critério ficou mais detalhada e definida. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
113 
Vamos ver as modificações: 
1. Comunicação e Consulta: não houve alteração. 
2. Escopo, Contexto e Critério.
O propósito do estabelecimento do escopo, contexto e critérios é personalizar o processo de gestão de riscos, per-
mitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado. Escopo, contexto e critérios 
envolvem a definição do escopo do processo, a compreensão dos contextos externo e interno. 
Definindo o Escopo
Convém que a organização defina o escopo de suas atividades de gestão de riscos. 
Como o processo de gestão de riscos pode ser aplicado em diferentes níveis (por exemplo, estra¬tégico, operacional, 
projeto, meio ambiente, ou outras atividades), é importante ser claro sobre o escopo em consideração, os objetivos 
pertinentes a serem considerados e o seu alinhamento aos objetivos organizacionais. 
Ao planejar a abordagem, as considerações incluem:
• Objetivos e decisões que precisam ser tomadas; 
• Resultados esperados das etapas a serem realizadas no processo; 
• Tempo, localização, inclusões e exclusões específicas; 
• Ferramentas e técnicas apropriadas para o processo de avaliação de riscos; 
• Recursos requeridos, responsabilidades e registros a serem mantidos; 
• Relacionamentos com outros projetos, processos e atividades. 
Contexto Interno e Externo
Os contextos externo e interno são o ambiente no qual a organização procura definir e alcançar seus objetivos. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
114 
Convém que o contexto do processo de gestão de riscos seja estabelecido a partir da compreensão dos ambientes 
externo e interno no qual a organização opera, e convém que reflita o ambiente específico da atividade ao qual o pro-
cesso de gestão de riscos é aplicado. 
Compreender o contexto é importante porque: 
• A gestão de riscos ocorre no contexto dos objetivos e atividades da organização; 
• Fatores organizacionais podem ser uma fonte de risco; 
• Propósito e escopo do processo de gestão de riscos podem estar inter-
relacionados com os objetivos da organização como um todo; 
Os fatores de riscos podem e devem ser aproveitados da contextualização interna e externa, desta forma ganha-se 
qualidades e tempo na identificação dos riscos. 
Definindo Critérios 
Convém que a organização especifique a quantidade e o tipo de risco que podem ou não assumir relação aos ob-
jetivos. Convém também que estabeleça critérios para avaliar a significância do risco e para apoiar os processos de 
tomada de decisão. Convém que os critérios de risco sejam alinhados à estrutura de gestão de riscos e sejam perso-
nalizados para o propósito específico e o escopo da atividade em consideração. 
Convém que os critérios de risco reflitam os valores, objetivos e recursos da organização e sejam consistentes com 
as políticas e declarações sobre gestão de riscos. Convém que os critérios de risco sejam estabelecidos levando em 
consideração as obrigações da organização e os pontos de vista das partes interessadas. 
Embora convenha que os critérios de risco sejam estabelecidos no início do processo de avaliação de riscos, eles são 
dinâmicos; e convém que sejam continuamente analisados criticamente e alterados, se necessário. 
Para estabelecer os critérios de risco, convém considerar: 
• A natureza e o tipo de incertezas que podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis);• Como as consequências (tanto positivas quanto negativas) e as probabilidades serão definidas e medidas; 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
115 
• Fatores relacionados ao tempo; 
• Consistência no uso de medidas; 
• Como o nível de risco será determinado; 
• Como as combinações e sequências de múltiplos riscos serão levadas em consideração; 
• A capacidade da organização suportar. 
Depois da fase do Escopo, Contexto e Critério, temos a fase da Avaliação de risco, que possui a identificação, análise 
de riscos e a avaliação de riscos com poucas mudanças. 
Após ter o risco mensurado vem o Tratamento dos Riscos, que possui as subfases de escolha do tipo de tratamen-
to, tendo em vista a política e criticidade do risco e a implementação dos planos de ações com os responsáveis e 
respectivos prazos. 
Registro e Relato
A fase nova é a do Registro e Relato, que possui como pontos importantes: 
I. Convém que o processo de gestão de riscos e seus resultados sejam documentados e 
relatados por meio de mecanismos apropriados. O registro e o relato visam: 
• Comunicar atividades e resultados de gestão de riscos em toda a organização; 
• Fornecer informações para a tomada de decisão; 
• Melhorar as atividades de gestão de riscos; 
• Auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade 
e com responsabilização por atividades de gestão de riscos. 
II. Convém que as decisões relativas à criação, retenção e manuseio de informação documentada levem em 
consideração, mas não se limitem a: seu uso, sensibilidade da informação e contextos externo e interno. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
116 
III. O relato é parte integrante da governança da organização e convém que melhore a qualidade do 
diálogo com as partes interessadas e apoie a Alta Direção e os órgãos de supervisão a cumprirem suas 
responsabilidades. Os fatores a considerar para o relato incluem, mas não estão limitados a: 
• Diferentes partes interessadas e suas necessidades específicas de informação e requisitos; 
• Custo, frequência e pontualidade do relato; 
• Método de relato; 
• Pertinência da informação para os objetivos organizacionais e para a tomada de decisão. 
Monitoramento e Análise Crítica
A última fase é o Monitoramento e Análise Crítica, que tem por objetivo assegurar e melhorar a qualidade e eficácia 
da concepção, implementação e resultados do processo. 
A revisão da ISO 31000: 2018 teve como ponto importante a definição do seu escopo, pois desta forma abre o leque 
para qualquer tipo de risco, empresa e ou segmento, bastando para isso somente especificar e, a partir daí as métricas 
e ferramentas serão adaptadas de acordo com o escopo. 
Pontos de melhoria que considero ainda importante e que não foram contemplados, como diretrizes: 
1 . Formalização da análise dos riscos inerentes e residuais. Ou seja, tem que fazer duas análises, uma sem 
controle e sistemas de segurança e outra medindo a eficácia de seus controles e quanto que estes controles 
conseguem baixar o risco. Desta forma a empresa consegue priorizar quais riscos são considerados críticos e 
quais controles são chaves para serem implantados e ou mantidos em operação, visando o nível de risco;
2. A Inexistência da escolha formal de áreas e ou processos considerados críticos com foco 
no negócio, com o objetivo da alta gestão colocar uma lupa nestes processos e ou áreas 
estratégicas e saber os riscos críticos nestes processos e seus controles chaves;
3. Por último a inexistência de classificar os fatores de riscos pela sua influência na concretização dos 
riscos. Pois um risco é composto por vários fatores e certamente não poderemos tratar todos, em função 
de não compensar tanto na relação custo benefício como também no seu nível de influência. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
117 
5.4 isO 31010
5.4.1 iNtrOduçãO 
A Norma ISO 31010 Gestão de riscos – Técnicas para o processo de avaliação de riscos, pertence à família da ISO 
31000, foi publicada em 2010 e destina-se a refletir as boas práticas atuais na seleção e utilização das técnicas para 
o processo de avaliação de riscos e não se refere a novos conceitos ou conceitos em evolução que não tenham atin-
gido um nível satisfatório de consenso profissional.
Esta Norma é geral por natureza, de forma que pode dar orientações para muitas indústrias e tipos de sistemas. 
Pode haver normas mais específicas em vigor dentro dessas indústrias que estabelecem metodologias preferidas e 
níveis de avaliação para aplicações específicas. Se essas normas estiverem em harmonia com esta Norma, as normas 
específicas geralmente serão suficientes.
5.4.2 escOpO da NOrma 
Esta Norma é uma norma de apoio à ISO 31000 e fornece orientações sobre a seleção e aplicação de técnicas siste-
máticas para o processo de avaliação de riscos. O processo de avaliação de riscos conduzido de acordo com esta Norma 
contribui para outras atividades de gestão de riscos.
A aplicação de uma série de técnicas é introduzida, com referências específicas a outras normas onde o conceito e a 
aplicação de técnicas são descritos mais detalhadamente. 
Esta Norma não se destina à certificação, uso regulatório ou contratual e não fornece critérios específicos para identifi-
car a necessidade de análise de riscos, nem especifica o tipo de método de análise de riscos que é requerido para uma 
aplicação específica.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
118 
Esta Norma não se refere a todas as técnicas, e a omissão de uma técnica nesta Norma não significa que ela não é 
válida. O fato de um método ser aplicável a uma determinada circunstância particular não significa que esse método seja 
necessariamente aplicado.
5.4.3 cONceitO dO prOcessO de avaliaçãO de riscOs 
Segue o processo descrito na ISO 31000, com o mesmo framework. 
5.4.4 seleçãO de técNicas para O prOcessO de avaliaçãO de riscOs
5.4.4.1 generAlidAdes
Esta Seção descreve como as técnicas para o processo de avaliação de riscos podem ser selecionadas. Os anexos 
da norma listam e explicam em detalhes uma gama de ferramentas e técnicas que podem ser utilizadas para realizar 
um processo de avaliação de riscos ou auxiliar no processo de avaliação de riscos. Neste capítulo iremos apenas listar 
as ferramentas e citar seu emprego. Algumas vezes pode ser necessário empregar mais de um método de avaliação.
5.4.4.2 seleção de téCniCAs
O processo de avaliação de riscos pode ser conduzido em vários graus de profundidade e detalhe e utilizando um ou 
muitos métodos que vão do simples ao complexo. Convém que a forma de avaliação e seu resultado sejam compatíveis 
com os critérios de risco, desenvolvidos como parte do estabelecimento do contexto. Em termos gerais, convém que 
as técnicas apropriadas apresentem as seguintes características:
- Convém que sejam justificáveis e apropriadas à situação ou organização em questão;
- Convém que proporcionem resultados de uma forma que aumente o entendimento 
da natureza do risco e de como ele pode ser tratado;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
119 
- Convém que sejam capazes de utilizar uma forma que seja rastreável, repetível e verificável.
Convém que as razões para a escolha das técnicas sejam dadas com relação à pertinência e adequação. Ao integrar 
os resultados de diferentes estudos, convém que as técnicas utilizadas e os resultados sejam comparáveis.
Uma vez que a decisão tenha sido tomada para realizar um processo de avaliação de riscos e os objetivos e o escopo 
tenham sido definidos, convém queas técnicas sejam selecionadas com base em fatores aplicáveis, tais como:
- Os objetivos do estudo. Os objetivos do processo de avaliação de riscos terão uma influência direta sobre as técnicas 
utilizadas. Por exemplo, se um estudo comparativo entre as diferentes opções está sendo realizado, pode ser aceitável 
utilizar modelos menos detalhados de consequência para partes do sistema não afetadas pela diferença;
- As necessidades dos tomadores de decisão. Em alguns casos, um alto nível de detalhe é necessário 
para tomar uma boa decisão, em outros um entendimento mais geral é suficiente;
- O tipo e a gama de riscos que estão sendo analisados;
- A magnitude potencial das consequências. Convém que a decisão sobre a profundidade em que o 
processo de avaliação de riscos é conduzido reflita a percepção inicial das consequências (embora 
isto possa ter que ser modificado uma vez que uma avaliação preliminar foi concluída);
- O grau de especialização, recursos humanos e outros recursos necessários. Um método simples e bem feito 
pode fornecer melhores resultados do que um procedimento mais sofisticado e mal feito, contanto que 
atenda aos objetivos e o escopo do processo de avaliação. Normalmente, convém que o esforço aplicado 
ao processo de avaliação seja compatível com o nível potencial de risco que está sendo analisado;
- A disponibilidade de informações e dados. Algumas técnicas requerem mais informações e dados do que outras;
- A necessidade de modificação/atualização do processo de avaliação de riscos. O processo de avaliação pode necessitar 
ser modificado/atualizado no futuro e algumas técnicas são mais ajustáveis do que outras a este respeito;
- Quaisquer requisitos regulamentares e contratuais.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
120 
Vários fatores influenciam a seleção de uma abordagem ao processo de avaliação de riscos, tais como a disponibi-
lidade de recursos, a natureza e o grau de incerteza nos dados e informações disponíveis, bem como a complexidade 
da aplicação (ver Tabela 1).
5.4.4.3 disPonibilidAde de reCursos
Os recursos e as capacidades que podem afetar a seleção de técnicas do processo de avaliação de riscos incluem:
- As habilidades, experiência, capacidade e competência da equipe do processo de avaliação de riscos;
- As restrições de tempo e outros recursos dentro da organização;
- O orçamento disponível, se recursos externos forem requeridos.
5.4.4.4 A nAturezA e o grAu de inCertezA
A natureza e o grau de incerteza requerem um entendimento da qualidade, quantidade e integridade das informações 
disponíveis sobre o risco em consideração. Isto inclui quão disponíveis e suficientes são as informações sobre o risco, 
suas fontes e causas, e suas consequências para o atendimento dos objetivos. A incerteza pode ser proveniente da 
qualidade pobre dos dados ou a falta de dados essenciais e confiáveis. Para ilustrar, os métodos de coleta de dados 
podem se modificar, a forma que as organizações utilizam tais métodos pode ser alterada ou a organização pode sim-
plesmente não ter um método de coleta eficaz implementado, para coleta de dados sobre o risco identificado.
A incerteza também pode ser inerente aos contextos externo e interno da organização. Os dados disponíveis nem 
sempre fornecem uma base confiável para a previsão do futuro. Para tipos singulares de riscos, os dados históricos 
podem não estar disponíveis ou pode haver diferentes interpretações de dados disponíveis por diferentes partes inte-
ressadas. Os encarregados do processo de avaliação de riscos precisam entender o tipo e a natureza da incerteza e 
interpretar suas implicações para a confiabilidade dos resultados do processo de avaliação de riscos. Convém que isto 
seja sempre comunicado aos tomadores de decisão.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
121 
5.4.4.5 ComPleXidAde
Os riscos podem ser complexos em si mesmos, como, por exemplo, em sistemas complexos que precisam ter seus 
riscos avaliados em todo o sistema ao invés de tratar cada componente separadamente e ignorando as interações. 
Em outros casos, tratar um risco individual pode ter implicações em outros locais e pode impactar outras atividades. 
Os impactos resultantes e as dependências do risco necessitam ser entendidos para assegurar que na gestão de um 
determinado risco, uma situação intolerável não seja criada em outros locais. Entender a complexidade de um risco 
individual ou de um portfólio de riscos de uma organização é crucial para a seleção do método adequado ou técnicas 
para o processo de avaliação de riscos.
5.4.4.6 APliCAção do ProCesso de AvAliAção de risCos durAnte As fAses do CiClo de vidA 
Muitas atividades, projetos e produtos podem ser considerados como tendo um ciclo de vida que se inicia a partir do 
conceito e definição inicial, passa pela realização e vai até o encerramento final que poderá incluir a desmontagem e 
descarte do equipamento.
O processo de avaliação de riscos pode ser aplicado em todos os estágios do ciclo de vida e é normalmente aplicado 
muitas vezes com diferentes níveis de detalhe para auxiliar nas decisões que precisam ser tomadas em cada fase.
As fases dos ciclos de vida têm necessidades diferentes e requerem diferentes técnicas. Por exemplo, durante a fase 
de conceito e definição, quando uma oportunidade é identificada, o processo de avaliação de riscos pode ser utilizado 
para decidir se se quer continuar ou não.
Quando diversas opções estiverem disponíveis, o processo de avaliação de riscos pode ser utilizado para avaliar 
conceitos alternativos a fim de auxiliar na decisão sobre quais proporcionam o melhor equilíbrio de riscos.
Durante a fase de projeto e desenvolvimento, o processo de avaliação de riscos contribui para:
- Assegurar que os riscos do sistema são toleráveis;
- O processo de refinamento do projeto;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
122 
- Os estudos de eficácia do custo;
- Identificação dos riscos que impactam as fases subsequentes do ciclo de vida.
Conforme a atividade progride, o processo de avaliação de riscos pode ser utilizado para fornecer informações que au-
xiliem no desenvolvimento de procedimentos para condições normais e de emergência.
5.4.4.7 tiPos de téCniCAs do ProCesso de AvAliAção de risCos
As técnicas do processo de avaliação de riscos podem ser classificadas de várias formas para auxiliar no entendimento 
de seus pontos fortes e fracos relativos. A tabela correlaciona algumas técnicas potenciais e suas categorias para fins 
ilustrativos.
Abaixo a tabela da descrição da técnica com sua respectiva aplicação:
Seleção de ferramentas e técnicas para avaliação de riscos
Processo de avaliação de riscos
Ferramentas e técnicas
Identificação 
de riscos
Análise de riscos Avaliação 
de riscoConsequência Probabilidade Nível de risco
1
Análise de modos de falhas e 
efeito (IEC 68012)
AA NA NA NA NA
2
Análise crítica de modos de 
falhas e efeito (IEC 68012)
AA AA AA AA AA
3
Análise de árvore de falhas 
(IEC 61025)
A NA AA A A
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
123 
Seleção de ferramentas e técnicas para avaliação de riscos
Processo de avaliação de riscos
Ferramentas e técnicas
Identificação 
de riscos
Análise de riscos Avaliação 
de riscoConsequência Probabilidade Nível de risco
4
Estudos de perigo e 
probabilidade (HAZOP)
AA AA A A A
5
Manutenção centrada em 
confiabilidade (IEC 60300-3-11)
AA AA AA AA AA
6 Análise de Markov (IEC 61665) A AA NA NA NA
7
Análise de confiabilidade 
humana
AA AA AA AA A
8
Análise preliminar de perigos 
(APP)
AA NA NA NA NA
9
Análise de árvore de eventos 
(ETA)
A AA A A NA
10 Brainstorming AANA NA NA NA
11
Entrevistas estruturadas ou 
semiestruturadas
AA NA NA NA NA
12 Técnica de Delphi AA NA NA NA NA
13 Checklist AA NA NA NA NA
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
124 
Seleção de ferramentas e técnicas para avaliação de riscos
Processo de avaliação de riscos
Ferramentas e técnicas
Identificação 
de riscos
Análise de riscos Avaliação 
de riscoConsequência Probabilidade Nível de risco
14
Matriz de probabilidade / 
consequência
AA AA AA AA A
15
Análise de camadas de 
proteção (LOPA)
Aw AA A A NA
16
Técnica estruturada de What If? 
(SWIFT)
AA AA AA AA AA
17 Análise de árvore de decisões NA AA AA A A
18 Análise de gravata borboleta NA A AA AA A
19 Simulação de Monte Carlo NA NA NA NA AA
20 Análise causa raiz (RCA) NA AA AA AA AA
21
Análise de perigos e pontos 
críticos de controle (HACCP)
AA AA NA NA AA
22 Avaliação de riscos ambientais AA AA AA AA AA
23 Análises de cenários AA AA A A A
24
Análise de impacto nos 
negócios (BIA)
A AA A A A
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
125 
Seleção de ferramentas e técnicas para avaliação de riscos
Processo de avaliação de riscos
Ferramentas e técnicas
Identificação 
de riscos
Análise de riscos Avaliação 
de riscoConsequência Probabilidade Nível de risco
25
Análise de causa e 
consequência
A AA AA A A
26 Análise de causa e efeito AA AA NA NA NA
27 Análise de circuitos ocultos A NA NA NA NA
28
Estatística Bayesiana e redes 
Bayes
NA AA NA NA AA
Tabela 1 – Seleção de ferramentas e técnicas para avaliação de riscos
A tabela acima mostra a aplicação das técnicas em cada etapa do processo de avaliação de riscos, definida como 
Altamente Aplicável – AA, Aplicável – A ou Não Aplicável – NA.
A norma 31010 também está sendo revisada, tendo um “draft”, onde há a colocação das ferramentas e técnicas 
de análise de riscos em cada fase do processo de gestão de riscos, do ISO 31000: 2018. Ainda á um rascunho com 
grande polêmica em relação ao emprego das respectivas ferramentas e técnicas.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
126 
Figura 30 – Aplicação de técnicas no processo de gerenciamento de riscos ISO 31000:2018 | Fonte: Projeto de Revisão ABNT NBR ISO 31000 - ISO/IEC 31010:2018.
127 
6. CONCEITO DE RISCO – 
APETITE AO RISCO 
6.1 iNtrOduçãO 
Todas as melhores práticas descritas no capítulo anterior sugerem de forma direta que os gestores devem avaliar o 
apetite a risco da organização ao analisarem as estratégias, definindo os objetivos a elas relacionados e desenvolve-
rem mecanismos para gerenciar os respectivos riscos. Neste caso específico a gestão de riscos torna-se uma função 
estratégica, pois ajuda a empresa a criar valor em suas operações. Para isso tem que assumir certos riscos. Isso é 
parte inerente de qualquer tipo de negócio. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
128 
Para obter os resultados desejados, as empresas modernas, no mundo VICA, necessitam gerenciar seus riscos, e 
para poderem fazer com eficácia devem possuir um processo estruturado, com metodologia e critérios estabelecidos, 
devem possuir um sistema de gerenciamento de riscos corporativos. 
Um ponto relevante da engrenagem do sistema de gerenciamento de riscos corporativos que deve estar definido e 
implementado em toda a empresa é a fixação do seu apetite aos riscos. Então podemos perguntar: o que é Apetite 
ao Risco? 
Apetite ao risco é a quantidade de risco que a empresa deseja assumir para conseguir atingir seus objetivos. Ou 
podemos dizer também que apetite a risco é a quantidade de riscos, no sentido mais amplo, que uma organização 
está disposta a aceitar em sua busca para agregar valor. O apetite a risco reflete toda a filosofia administrativa de uma 
organização e, por sua vez, influencia a cultura e o estilo operacional desta. 
A fixação do apetite ao risco permite determinar na empresa o binômio Risco x Benefício, controlar e manter os riscos 
em níveis desejados. Para tanto, para possibilitar a concretização de geração de valor nas organizações, estas devem 
fazer um balanço entre Riscos x Oportunidades x Apetite ao risco, e, servir de guia para a tomada de decisões, aloca-
ção de recursos e a definição do alinhamento de toda empresa para a busca dos objetivos fixados, permitindo fazer um 
monitoramento das ações, resultados e dos níveis de riscos associados. 
Muitas organizações consideram esse apetite de forma qualitativa, categorizando-o como elevado, moderado ou bai-
xo, enquanto outras organizações adotam uma abordagem quantitativa que reflete e equilibra as metas de crescimen-
to, retorno e risco. Uma organização dotada de um maior apetite a risco poderá desejar alocar grande parcela de seu 
capital para áreas de alto risco como mercados recém-emergentes. Por outro lado, uma organização com um reduzido 
apetite a risco poderá limitar seu risco de curto prazo investindo apenas em mercados maduros e mais estáveis. 
O apetite a risco está diretamente relacionado à estratégia da organização e é levado em conta na ocasião de definir 
as estratégias, visto que estas expõem a organização à diferentes riscos. O gerenciamento destes, ajuda a administra-
ção a selecionar uma estratégia capaz de alinhar a criação de valor com o apetite a risco.
O processo de fixação do apetite ao risco é específico para cada empresa, tendo em vista que não existe um valor ou 
uma fórmula mágica pré-fixada que determina o respectivo apetite. A responsabilidade desta definição é do Conselho 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
129 
de administração da empresa, sugerido pela Diretoria Executiva, através do seu Presidente. Temos que levar em conta 
que a natureza dos riscos, do ambiente de negócios, o ambiente interno da organização, as estratégias e os objetivos 
de negócio, são organismos vivos que podem e devem ser revistos sempre, pois estão em constantes mutação. 
6.2 tOlerâNcia e capacidade aO riscO
Na determinação do apetite ao risco temos que possuir outras duas métricas que são a tolerância e a capacidade 
da empresa. Deste modo enquanto o apetite é o nível de risco que a empresa quer aceitar, aquele com que se sente 
cômoda, aquele onde os gestores podem aceitar e trabalhar com tranquilidade. Já a tolerância é o desvio do nível do 
apetite ao risco. Por outro lado, a capacidade de assumir riscos, será o nível máximo de risco que a organização pode 
suportar na perseguição aos seus objetivos. Assim a tolerância ao risco servirá como um alerta para evitar que a em-
presa chegue ao nível estabelecido por sua capacidade, algo que colocaria em perigo a continuidade de seus negócios. 
O gráfico a seguir demonstra os três níveis e suas explicações. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
130 
Figura 31 – Apetite, Tolerância e Capacidade de risco | Fonte: La Fábrica de Pensamiento Instituto de Auditores Internos de España
6.3 metOdOlOgia para calcular O apetite aO riscO
Cada organização pode escolher diferentes metodologias de cálculo, condicionadas pelo setor de atividade e imple-
mentar modelos, tanto quantitativos como qualitativos. O uso de um ou outro geralmente depende do grau de padro-
nização que existe no setor para a medição do apetite (condicionado na maioria dos casos, pela existência de uma 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
131 
regulamentação explícita a este respeito. Como é o caso do setor financeiro – área bancária). Nos setoresem que não 
há nenhuma obrigação ou modelos definidos, cada empresa determinará o método que deseja seguir, com base princi-
palmente na natureza dos riscos a serem medidos. Nos casos em que os riscos são avaliados em termos de impacto 
econômico e probabilidade, será conveniente estabelecer o apetite de forma quantitativa.
A verdade é que é cada vez mais relevante considerar os elementos do apetite ao risco que não podem ser medidos 
e que, portanto, podem ser mais difíceis de gerenciar, como os riscos de reputação. Portanto, para garantir uma gestão 
de risco integral e equilibrada, é aconselhável combinar medidas quantitativas com medidas qualitativas, bem como 
levar em conta os riscos para os quais a organização pode ter tolerância zero.
As medidas quantitativas utilizadas em setores como o das finanças são geralmente métricas de adequação ao capi-
tal, como o capital em risco, métricas relacionadas ao resultado, como o lucro em risco e métricas de liquidez, especial-
mente relevante para a normatização de Basiléia, após os problemas de liquidez no setor financeiro nos últimos anos.
Vale ressaltar a existência de duas abordagens possíveis para a implementação do apetite ao risco nas organizações: 
1. A abordagem denominada de descendente ou “de cima para baixo”, com base no estabelecimento do apetite 
ao risco do maior nível organizacional, alinhado com os objetivos estratégicos da empresa. Uma vez formalmente 
validado pelos órgãos responsáveis, Conselho de Administração e/ou Diretoria Executiva, o resto da organização 
é notificada para alinhar o gerenciamento de risco de todas as áreas com o apetite ao risco aprovado para 
toda a empresa, estabelecendo níveis específicos de apetite para as diferentes unidades que o compõem;
2. A segunda abordagem é ao contrário, de “baixo para cima”, que define o apetite ao risco no nível mínimo de decisão 
dentro da empresa e, em seguida, vai subindo a estrutura organizacional até se consolidar em um apetite por risco global.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
132 
Vantagem do processo de cima para baixo – TOP DOWN Vantagem do processo de baixo para cima – BOTTOM UP
Alinhamento estratégico Maior envolvimento de toda a organização
Convergência com a capacidade máxima de risco Alto nível de capilaridade
Estimulação do debate da equipe executiva
Simplicidade na definição, especialmente para riscos 
mais difíceis de quantificar
Alinhamento com as melhores práticas
Explicação dos requisitos dos grupos de interesse
Tabela 2 – Vantagens Top Down e Bottom Up
Desvantagem processo de cima para baixo – TOP DOWN Desvantagem processo de baixo para cima – BOTTOM UP 
Menor envolvimento dos níveis 
operacionais na definição
Muitas interações para convergir com 
capacidade máxima de risco
Nível de detalhe mais baixo Menos debate a níveis executivos
Maior complexidade na definição e quantificação
Menos convergência com os requisitos 
dos grupos de interesse
Tabela 3 – Desvantagens Top Down e Bottom Up
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
133 
Como melhor prática o mercado utiliza, em geral, a abordagem de cima para baixo, TOP – DOW, por ser mais aconse-
lhável para implementar o modelo, criando uma atitude proativa ao estabelecer o gerenciamento que considera o ape-
tite ao risco da organização, mas para ser complementado por um relatório baseado em uma abordagem estratégica. 
Finalmente, vale a pena lembrar que existem diferentes marcos de referência em relação aos sistemas de gerencia-
mento de risco e fixação do apetite (cujo nível de demanda varia de acordo com sua natureza) e que podem ser úteis no 
processo de implementação. Assim, existem requisitos obrigatórios e outros, que por outro lado refletem as melhores 
práticas aceitas internacionalmente.
Marcos Regulatórios: Área bancária – Basiléia 
 Área de seguradoras – Solvência 
Melhores Práticas: COSO I, COSO ERM 2017, ISO 31000, outros...
Cada empresa deve assegurar um conhecimento adequado e conformidade com os regulamentos aplicáveis, que 
dependerão da natureza de suas operações. Considerando tudo o que precede, as etapas anteriores que devem ser 
levadas em consideração ao implantar o apetite ao risco como parte integrante do sistema de gerenciamento de risco 
de uma organização são as seguintes:
1. Definição dos Objetivos Estratégicos e da Estratégia da Empresa;
2. Estabelecimento dos Princípios e Valores da Empresa;
3. Descrição da Estrutura Organizacional;
4. Níveis de Riscos que a Empresa possui, por risco ou por área ou por categoria;
5. Metodologia de Cálculo do Apetite ao Risco;
6. Comunicação e Atividades de Supervisão.
Em suma, desenvolver o apetite ao risco não é um fim em si mesmo, nem deve consumir uma quantidade des-
proporcional de recursos. Cada organização deve analisar o custo-benefício e decidir se sua implementação está 
justificada, bem como o nível de sofisticação que você deseja usar para apoiar o processo de determinação do seu 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
134 
apetite. Bem definido e adequadamente usado, transforma métricas e métodos de avaliação de risco em decisões de 
negócios e relatórios. Além disso, estabelece os limites que formam um vínculo dinâmico entre estratégia, objetivos 
e gerenciamento de riscos, o que ajuda a otimizar a obtenção de resultados e a criação de valor nas organizações.
Áreas da Empresa Vantagens do Apetite ao Risco
1. Nível Estratégico
Melhorar o planejamento estratégico.
Aumentar a eficácia do processo de tomada de decisão.
Desenvolver esquemas de monitoramento e medição de 
desempenho mais eficientes, completos e justos
2. Nível Operacional 
Melhorar a análise custo-benefício das decisões.
Alocar recursos de forma mais eficiente.
3. Nível da Informação 
Comunicar a atitude da alta administração contra o risco.
Considere todos os grupos de interesse e suas preferências.
Desenvolver um sistema integrado de relatórios.
Criar uma comunicação baseada em diretrizes comuns
4. Nível de Conformidade 
Cumprir a legislação e as melhores práticas de gestão.
Melhorar a transparência.
Implementar uma cultura de gerenciamento de riscos.
Tabela 4 - Vantagens do Apetite ao Risco
A abordagem de cima para baixo é mais aconselhável para realizar a implementação do modelo, mas, para ser com-
pleta, deve ser complementada com um relatório baseado em uma abordagem de baixo para cima.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
135 
6.4 exemplO de técNicas de apetite aO riscO
Para exemplificarmos vamos estudar uma empresa fictícia com as seguintes informações: 
emPresA BRASUCA - fábriCA de mACArrão – fAmiliAr, Com 50 Anos de eXistênCiA. 
AsPeCtos gerAis
A BRASUCA é uma empresa familiar a mais de 50 anos, com uma tradição artesanal, começou como uma pequena 
empresa e foi crescendo, geração após geração. Nas últimas décadas, tornou-se uma empresa de médio porte com 
presença internacional na Itália, Inglaterra, França e Portugal. 
A empresa dedica-se à fabricação e distribuição de macarrão, sendo esta a principal linha de negócios. É uma indús-
tria madura, por isso desenvolve uma visão inovadora para segmentos específicos, o que permite uma diversificação 
adequada de seus produtos, através de um profundo conhecimento dos diferentes segmentos de mercado e dos riscos 
inerentes a eles.
A empresa está sediada em Guarulhos, São Paulo, Brasil, onde possui uma única fábrica e a partir dela exporta para 
a Itália, Inglaterra, França e Portugal, enfrentando e gerenciando os riscos inerentes à regulamentação rigorosa da UE 
de alimentos. 
- Total de ativos: R$ 340,8 MM 
- Faturamento: R$ 406,6 MM 
- Resultado operacional:R$ 42,0 MM 
- Resultado líquido do ano: R$ 28,4 MM – 6,98% de Margem Líquida 
- Empregados: 365
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
136 
missão, visão, vAlores
Missão: está orientada a oferecer produtos de alta qualidade, com base na tradição familiar das primeiras gerações, 
preservando a “personalidade” de seus produtos. 
Visão: no seu setor e com seus produtos focados nas necessidades dos clientes, a Empresa quer ser a melhor das 
Américas e Europa, combinando tradição e modernidade, sendo reconhecida internacionalmente. Esses dois atributos 
reforçam a confiança e a imagem ao mercado nacional e internacional. 
Valores: a qualidade dos seus produtos e a atenção constante às necessidades e preferências de seus clientes são 
a base dos princípios éticos, sem esquecer que deseja ser uma empresa sustentável e respeitável com o ambiente 
em que está presente. Desta forma, seus principais valores são: Qualidade; Integridade; Responsabilidade; Tradição; 
Estar sempre perto do cliente, entendendo as suas necessidades; Sustentabilidade e meio ambiente; Compromisso 
com a sociedade.
estrAtégiA AtuAl dA emPresA
Análise Externa – Sumário 
A principal área de incerteza vem da necessidade da empresa aumentar sua participação no mercado nacional, dada 
a estagnação que está ocorrendo no Brasil. O principal mercado da empresa é o Estado de São Paulo, Capital com 40% 
e interior com 60%, onde o mercado de macarrão é relativamente maduro. A nível nacional, houve três anos de declínio 
entre 2% e 4%. A concorrência é predatória, com redução dos preços, devido à fraca demanda. O setor está sofrendo 
pressão de preços, devido à menor demanda e ao aumento da concorrência internacional. O mercado internacional 
oferece possibilidades de crescimento em alguns países da América do Sul.
A nível nacional, nos últimos anos, as empresas de distribuição, supermercados, possuem sua própria marca e con-
correm com os da BRASUCA, forçando o preço ainda mais. Do mesmo modo, essas empresas de distribuição aumen-
taram seu poder de barganha concentrando maiores volumes de compras devido a fusões. 95% das vendas realizadas 
pela BRASUCA são intermediadas até chegarem ao consumidor final. Existem cadeias de distribuição que lidam com 
o marketing do produto com o cliente final. O resto do volume de negócios da empresa é feito para clientes públicos 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
137 
(cantinas da escola, quartéis, hospitais, parque de diversões, etc...) que têm ampliado significativamente os prazos 
de pagamento e alguns renegociaram os saldos pendentes. Em contraste com a tendência geral, existem pequenos 
nichos de mercado que estão crescendo, como novos segmentos do público ecológico, de energia e de alta qualidade.
A indústria alimentar tem uma regulação intensa, tanto a nível nacional como internacional, com regulamentos rigoro-
sos em matéria de segurança alimentar e uma rotulagem aplicadas para informar aos consumidores as informações do 
prazo de validade e a composição dos produtos. Do mesmo modo, um fator determinante para a gestão de suas aquisi-
ções é a regulamentação da Política Agrícola Comum que determina as quotas de produção de certas matérias-primas
Recentemente, o Gerente de Suprimentos tomou consciência da volatilidade nos preços das matérias-primas, devi-
do a determinadas tensões geopolíticas e restrições ambientais para algumas culturas de cereais. A este respeito, é 
realizado um monitoramento periódico do preço das principais matérias-primas, a fim de antecipar sua evolução e agir 
em conformidade com o resultado de variações, o que pode afetar negativamente os custos de produção e consequen-
temente, a rentabilidade.
Como aspectos positivos, a empresa possui excelentes produtos na gama de macarrões saudáveis, com base em 
uma tradição sólida. A percepção dos consumidores finais no mercado é muito boa, similar à de um produtor artesanal, 
que utiliza matérias-primas de alta qualidade. Nos últimos anos, a empresa se concentrou no aumento do fornecimen-
to de produtos existentes, com diferentes formatos, tornando o mercado mais flexível e aumentando sua visibilidade. 
Seu esforço para desenvolver novos formatos de produtos valeu a pena, expandindo sua gama e lucrando com seu 
investimento em P&D. 
Análise Interna – Sumário 
Para preparar seus produtos, a empresa possui uma fábrica com três máquinas de amassar, cada uma produzin-
do um terço da massa requerida. Duas dessas máquinas operam a plena capacidade, enquanto uma delas opera 
somente com 90% da sua capacidade. Esta última máquina é mais antiga do que as demais, de modo que a manu-
tenção e a compra de peças sobressalentes são mais complicadas, aumentando o tempo de inatividade em caso 
de avaria ou substituição.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
138 
Esta situação implica que a pessoa encarregada da manutenção supervisione continuamente o estado dos equipa-
mentos e implemente medidas de manutenção preventiva, uma vez que qualquer falha ou avaria em qualquer uma 
delas causaria um estrangulamento na produção, com o consequente atraso na comercialização dos produtos.
O estoque de produção é dividido em:
a) Um pequeno contingente de produtos armazenados na fábrica para lidar com ordens urgentes de clientes “preferenciais”;
b) A maior parte do estoque, que é armazenado fora das instalações, anteriormente alugadas a terceiros. Até 
agora, o preço do aluguel dos armazéns manteve-se estável, mas há algumas indicações de que os preços 
podem se recuperar no futuro próximo, devido ao aumento da atividade na área onde estão localizados. A 
empresa é muito rigorosa em relação ao cumprimento da regulamentação setorial e da legislação vigente 
em matéria de saúde nos processos de produção, armazenamento, transporte e controle de expiração de 
seus produtos. No entanto, existe uma certa possibilidade de não cumprir com a regulamentação existente 
e com os padrões mais exigentes sobre o uso de aditivos na fabricação de produtos. Da mesma forma, 
tanto a regulamentação atual como a maior pressão social para limitar o uso de gorduras trans podem 
afetar significativamente a BRASUCA, exigindo a mudança das receitas de seus principais produtos.
A BRASUCA tem uma certa presença externa, mas não tem estrutura suficiente em seu departamento de vendas 
para realizar a expansão para novos mercados. Possui vantagens competitivas através de suas equipes de Inovação e 
Qualidade, que garantem novos produtos bem recebidos no mercado.
estrAtégiA 
Como resultado da análise do meio ambiente, foram definidas as seguintes prioridades:
1. Expansão internacional: desenvolver sua atividade em um ambiente caracterizado pela maturidade da indústria 
e uma situação econômica difícil em seu principal mercado, o Brasil. Por esse motivo, seu principal objetivo é 
melhorar o posicionamento e a imagem da marca em outros mercados, permitindo um aumento da quota de 
mercado nos países em que atua atualmente (Inglaterra, Itália, França e Portugal) ao mesmo tempo. Ela se 
expande para novos mercados onde ainda não tem presença. Dado que o mercado europeu está em um estado 
maduro e em declínio, o objetivo da expansão das operações é direcionado para o continente americano, onde 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
139 
ainda há países que oferecem possibilidades de crescimento. Após a realização de um estudo de mercado, a 
empresa decidiu que o Chile deveria ser o país escolhido para iniciar essa expansão, pois é um país emergente 
com índices de qualidade de vida, crescimento econômico e PIB per capita entre o mais alto da América Latina. 
 O estudocoloca ofertas de produtos saudáveis, em que a empresa é especialmente forte. No entanto, é um mercado 
totalmente desconhecido, portanto, antes de empreender qualquer tipo de ação, considera que deve ter profissionais 
treinados em sua equipe de gerenciamento, o que exigirá novas incorporações para garantir o sucesso da estratégia.
2. Expansão da participação no mercado através da diversificação de produtos: a Companhia decidiu 
aumentar sua oferta com novos produtos mais saudáveis, sem glúten e sem açúcar, para responder a um 
segmento de consumidores saudáveis, evidentemente em ascensão, aumentando assim a cota do mercado. 
A Companhia sabe que a inovação de design, distribuição eficiente e visibilidade são fatores-chave para esse 
mercado, razão pela qual é necessário alocar recursos para campanhas de marketing localizadas acima de 
tudo nas instalações de grandes cadeias de distribuição. que aloca uma grande parte da produção.
3. Expansão das instalações de produção: três misturadores para a preparação da base, um deles mais antigo. A expansão 
das instalações de produção é uma clara necessidade de: mitigar o risco de saturação da capacidade de produção, 
atender a demanda potencial de produtos em novos mercados e continuar a manter a boa reputação e imagem de 
qualidade. A Companhia planeja adquirir uma nova fábrica em Portugal, um mercado no qual já está presente com bons 
resultados. Desta forma, diversificaria sua produção e reduziria os custos de transporte em suas exportações para a UE. 
4. Implantação de um sistema de gestão de riscos: atualmente não existe uma definição comum do que 
é considerado um risco, nem uma metodologia de gerenciamento de risco definida. A prática existente é 
resolver os problemas que surgem em cada departamento e informar o Conselho de Administração sobre 
aqueles que são mais preocupantes, embora tal priorização seja subjetiva. Dado o objetivo de expansão da 
Companhia e, por outro lado, a complexidade que o meio ambiente está adquirindo, a Alta Administração, 
a pedido do Conselho de Administração, consideraria instalar progressivamente um sistema integrado de 
Gestão de Riscos Corporativos que proporcione um novo processo da organização para identificar, avaliar e 
dar respostas aos riscos mais críticos, para decidir se estas situações entram dentro do risco que a Empresa 
quer assumir (definir e implantar o apetite ao risco). Como elementos, adicionar no Sistema de Gestão 
de Riscos, a organização desse catálogo de riscos e lograr uma evolução homogênea dos mesmos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
140 
5. Sustentabilidade econômica e financeira: além dos objetivos estratégicos indicados, a empresa 
declarou que, como seção transversal, deseja manter seus princípios de magnitude econômica em níveis 
apropriados para assegurar a viabilidade do negócio no longo prazo. Esta adaptação dos principais 
valores econômicos baseia-se em níveis suficientes de solvência, liquidez e rentabilidade. 
A empresa considera solvência adequada se seus próprios fundos representarem pelo menos 50% do passivo total. 
Em relação à liquidez, considera necessário manter um capital de giro positivo e considera que a rentabilidade eco-
nômica deve ser de pelo menos 5%.
ProCessos 
Estratégicos
- Desenvolvido pela Gerência Geral, responsável pelas decisões estratégicas da empresa. Do mesmo modo, o 
Conselho de Administração da Empresa realiza a supervisão e o acompanhamento das referidas decisões.
Operacionais
- Desenvolvimento de produtos: embora não seja uma grande empresa, a pesquisa, o desenvolvimento 
e a inovação são muito importantes porque proporcionam o ímpeto necessário para explorar 
novos produtos para o mercado e, acima de tudo, atender às as necessidades. 
- Provisionamento: lida com o processo de compra dos recursos necessários no processo de produção. O objetivo é ter as 
matérias-primas necessárias para cumprir o plano de produção anual e atender as ordens dos clientes em tempo hábil.
- Produção: é um processo chave, dividido em vários subprocessos: pesagem e mistura 
de ingredientes, amassar, cortar e perfurar, assar, refrigerar e embalar.
- Gerenciamento de armazenamento e logística: o processo varia desde o armazenamento, matérias-primas 
e produtos acabados até a entrega dos produtos aos clientes finais. O gerenciamento logístico precisa de um 
controle adequado que ajude a chegar a tempo, otimizando o uso dos espaços. Da mesma forma, deve assegurar 
a manutenção da qualidade dos produtos acabados em todos os momentos até sua entrega ao cliente final.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
141 
- Gerenciamento de clientes e vendas: o conhecimento de seus clientes e a gestão das 
relações com eles são fundamentais, gerenciando a comunicação, a venda e o subsequente 
acompanhamento de uma forma que garanta a confiança na marca.
- Gerenciamento de qualidade: é o conjunto de tarefas que permitem à empresa fazer com que seus 
produtos sejam uma marca registrada para seus padrões de alta qualidade. É um processo transversal, 
aplicado a todas as etapas de fabricação. Além disso, é um processo enraizado na organização, 
devido à natureza altamente regulamentada do setor em termos de segurança alimentar.
Processos de suporte
- Marketing e comunicação: é o conjunto de tarefas que permitem à Companhia se comunicar adequadamente 
com seus clientes. Faz com que seus produtos sejam percebidos como esperados no mercado.
- Gestão contábil e financeira: realiza e acompanha o orçamento e o relatório das contas anuais. A obtenção e gestão 
de recursos financeiros e os ciclos de cobrança e pagamento da Companhia também estão incluídos neste processo.
- Gestão de pessoal: este processo está relacionado à gestão do trabalho dos recursos 
humanos, desde sua seleção e treinamento até sua retribuição.
- Controle e supervisão: é o monitoramento dos objetivos, do uso correto dos recursos 
da organização e da correta aplicação dos procedimentos organizacionais.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
142 
risCos identifiCAdos
Tipo de riscos Descrição Nível de risco 
1. Divisa Flutuação adversa nos tipos de câmbios que afetem o fluxo de Caixa 
2. Crédito
Impossibilidade de cobrar saldos credores de clientes por se encontrarem em situação de 
insolvência 
3. Competência
Potencial queda de preços por agressiva expansão de produtos de distribuidores através 
de marcas brancas e marcas de distribuidores
4. Mercado
Seleção incorreta de distribuidores, canal de vendas ou formalização inadequada dos 
contratos em novos mercados 
5. Clientes
Queda de poder de negociação com os clientes devido a concentração no setor de 
distribuição
6. Fornecedores e 
Armazenamento 1
Incremento do preço de matérias primas (cereais) necessárias ao processo em função de 
restrições da oferta internacional 
7. Fornecedores e 
Armazenamento 2
Incremento dos custos pela evolução desfavorável dos aluguéis dos armazéns devido a 
um aumento da demanda da zona industrial 
8. Tecnológico Risco de Interrupção das operações por avaria de máquinas de amassar
9. Produto
Risco de Obsolescência de inventário por perda de prazo de validade de produtos 
armazenados 
10. Compliance Eventual descumprimento de normas sobre aditivos utilizados na Produção de macarrão
11. Saúde e 
Segurança
Interdição da fábrica, por 15 dias, na área de Produção, em uma das máquinas que 
possuem capacidade total, por morte acidental de um colaborador. 
Tabela 5 – Identificação dos Riscos
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
143 
Riscos Plotados na Matriz de Riscos:
Impacto
MUITO LEVE 
1
LEVE 
2
MODERADO 
3
SEVERO 
4
MASSIVO 
5
P
ro
ba
b
il
id
a
d
e
ELEVADA 
5
MUITO ALTA 
4 03 01 05
ALTA 
3 06 02 11
MÉDIA 
2 08 09 04 07 10
BAIXA 
1
Cor Riscos
05 Clientes
06 Fornecedores Armazenamento 1
11 Saúde e Segurança Ocupacional
02 Crédito
03 Competência
01 Divisa
10 Compliance
07 Fornecedores Armazenamento 2`
04 Mercado
08 Tecnológico
09 Produto
Figura 32 – Matriz de Riscos da BRASUCA
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
144 
6.4.1 apetite de riscO qualitativO – matriz de riscO – criticidade
Se formos implantar o apetite de riscos com métricas qualitativas, podemos utilizar a Matriz de Riscos, 5 por 5, 
como parâmetro. Na Matriz de Riscos (figura 33) a BRASUCA possui na sua política de riscos os seguintes critérios 
de apetite ao risco: os quadrantes vermelhos com os números 1 plotados são a capacidade de risco, os quadrantes 
vermelhos com número 2 são a tolerância de risco, os quadrantes laranjas com os números 3 são o apetite ao risco e 
os quadrantes amarelos com o número 4 são os de monitoramento. 
Pela Política de Riscos: 
- Os riscos que caírem no quadrante laranja, devem obrigatoriamente ter 
planos de ação para poderem baixar seu nível de risco; 
- Os riscos plotados nos quadrantes vermelhos, números 1 e 2, indicam alta criticidade 
para a empresa e não são toleráveis, portanto os gestores devem providenciar com máxima 
urgência planos de ação para a retirada destes riscos destas posições; 
- Os riscos plotados nos quadrantes amarelos, números 4, serão monitorados, são riscos moderados.
A Matriz de Riscos a seguir ilustra graficamente:
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
145 
Impacto
MUITO LEVE 
1
LEVE 
2
MODERADO 
3
SEVERO 
4
MASSIVO 
5
P
ro
b
a
b
il
id
a
d
e
ELEVADA 
5 3 3 2 1 1
MUITO ALTA 
4 4 3 3 2 1
ALTA 
3 4 3 2 2
MÉDIA 
2 4 3 3
BAIXA 
1 4 3 3
Figura 33 – Matriz de Riscos – Criticidade com os Níveis de Apetite de Riscos
A diferença entre a Tolerância e a Capacidade é o nível de alerta que a empresa possui em relação a sua exposição 
aos riscos. Tecnicamente, quando a empresa se encontra no nível de capacidade de risco, quer dizer que não possui 
reservas de contingências e se o risco vier a se materializar coloca em grande exposição o negócio da empresa. 
A grande importância de se ter as métricas (qualitativas neste caso de apetite), tolerância e capacidade ao risco 
definidas é que com estas definições claras e objetivas, a organização está protegida de um gerente geral e ou di-
retor, por exemplo, ultrapassar o limite imposto. Estas definições deverão constar na Política de Gestão de Riscos 
da organização, aprovada pelo Conselho e ou Presidente da Empresa, evitando qualquer tipo de questionamento.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
146 
Os riscos 01- Divisa e 05- Clientes, encontram-se no limite de capacidade de seu apetite, nível 4, devendo ter um 
plano de máxima urgência para sair desta exposição. 
Os riscos 02- Crédito, 03- Competência, 06- Fornecedores e armazenamento 1 e 11- Saúde e segurança estão no nível 
de tolerância, nível 3, também devem possuir um plano de urgência pois se encontram na tolerância de seu apetite. 
Os riscos 04- Mercado, 07- Fornecedores e Armazenamento 2 e 10- Compliance, estão dentro do apetite ao risco 
da empresa BRASUCA, que pela sua política os gestores devem fazer um plano de ação para retirá-los do quadrante 
laranja. E os riscos 08- Tecnológico e 09- Produto, devem possuir um plano de monitoramento. 
Há a necessidade de um monitoramento intensivo por parte do Conselho de Administração, Diretoria Executiva, 
Auditoria e Gestão de Riscos, visando manter os riscos controlados. Este é o conceito das Três Linhas de Defesa, 
o conceito das camadas tipo cebola, onde uma área dá cobertura a outra, impedindo de haver “gap’s” entre elas.
6.4.2 apetite aO riscO qualitativO – matriz de priOrizaçãO de riscOs – criticidade x mOtricidade
Quando a empresa realizar o estudo de interconectividade com os Impactos Cruzados identificados, motricidade, 
ligação, dependente, independente, terá como produto a Matriz de Impactos Cruzados – MIC. Geralmente a empresa 
faz este estudo para riscos estratégicos ou fatores de riscos específicos. Neste caso, o apetite ao risco da empresa 
deverá ser de duas formas: uma para riscos estratégicos e outra para riscos não estratégicos. 
Nos riscos estratégicos terá que haver o cruzamento entre as Matrizes de Impacto Cruzado x Matriz de Riscos, tendo 
como produto a Matriz de Priorização de Riscos. O apetite será pautado para os riscos estratégicos na Matriz de Prio-
rização, pois é com esta matriz que a empresa toma as decisões de tratamento dos riscos. 
Na Matriz de Priorização de Riscos, seguindo a Política de Riscos da empresa BRASUCA, adotamos os seguintes 
níveis de apetite de risco: os quadrantes vermelhos com os números 1 plotados são a capacidade de risco, os qua-
drantes vermelhos com número 2 são a tolerância de risco, os quadrantes laranjas com os números 3 são o apetite 
de risco e os quadrantes amarelos com o número 4 são os de monitoramento. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
147 
Pela Política de Riscos:
• Os riscos que caírem no quadrante laranja devem obrigatoriamente ter 
planos de ação para poderem baixar seu nível de risco; 
• Os riscos plotados nos quadrantes vermelhos, de números 1 e 2, não são toleráveis, portanto 
os gestores devem providenciar com máxima urgência planos de ação para a retirada 
destes riscos destas posições, pois indicam alta criticidade para a empresa; 
• Os riscos plotados nos quadrantes amarelos, números 4, serão monitorados, são riscos moderados. 
A Matriz de Priorização de Riscos a seguir ilustra graficamente os níveis de apetite de risco.
Criticidade dos Riscos
IV - Quandrante Verde III - Quandrante Amarelo II - Quandrante Laranja I - Quandrante Vermelho
M
o
tr
ic
id
a
d
e
 d
o
s 
R
is
co
s
Motriz 1 1 1 1
Ligação 4 3 2 2
Dependente 4 3 3
Independente 4 3
Figura 34 – Matriz de Priorização
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
148 
Se a Brasuca tivesse 16 riscos estratégicos, e a posição na Matriz de Priorização fosse a ilustrada abaixo, qual seria 
nossa interpretação?
Criticidade dos Riscos
IV - Quandrante Verde III - Quandrante Amarelo II - Quandrante Laranja I - Quandrante Vermelho
M
o
tr
ic
id
a
d
e
 d
o
s 
R
is
co
s
Motriz R.91 R.90
Ligação R.99 R.98
Dependente R.88 R.89
R.87 R.93 R.94 
R.97 R.100
Independente R.96 R.86 R.92 R.95
1 3 8 4 16
Figura 35 – Matriz de Priorização
O Risco R.96 seria desconsiderado como risco estratégico uma vez que seu impacto é considerado leve ou muito leve, 
soma-se ainda que este risco é isolado (independente), não possui comunicação com os outros. Os 2 riscos plotados 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
149 
no quadrante amarelo, entrariam no monitoramento sem nenhum plano de ação, pois são independentes. Teríamos que 
apenas acompanhar sua evolução verificando sua ação nos objetivos estratégicos e na estratégia da BRASUCA. 
Os 8 riscos plotados nos quadrantes laranja, estão dentro do apetite de risco, mas pela política devem possuir um 
plano de ação visando baixar a probabilidade e/ou impacto nos seus objetivos estratégicos e estratégias. 
Os 4 riscos plotados nos quadrantes vermelhos devem ser tratados com máxima urgência ou a BRASUCA rever a sua 
estratégia e seus objetivos estratégicos dependendo do tipo de risco, se forem externos e incontroláveis. Neste caso o 
COSO ERM 2017, sugereque se os riscos forem impactar fortemente a estratégia da empresa, ou se a empresa tiver 
que se expor a um nível que coloque o negócio em risco, é mandatório que a empresa troque de estratégia. Importante 
notar que os riscos nos quadrantes vermelhos são influenciadores, portanto tem que haver um estudo detalhado para 
saber se, realmente há possibilidade de prevenir ou mitigar estes riscos. 
No caso dos riscos estratégicos, o gestor de riscos deve estar como já foi dito antes, como um irmão siamês, co-
lado com a área de planejamento estratégico, com o objetivo de quando as estratégias e objetivos forem definidos, 
levantar e mensurar os riscos que podem impactar de forma massiva. O apetite passa a ser um forte indicador de 
risco estratégico.
6.4.3 apetite aO riscO cOm métricas quaNtitativas 
Outra forma de implantar o apetite ao risco é, por risco, implantar limites claros e mensuráveis, onde se possa 
medir até onde possa chegar. Este limite é a régua do gestor. Acima deste limite somente com a autorização do 
Conselho de Administração é que se pode avançar em caso de votação e com justificativas. A tabela abaixo mostra 
o tipo de métrica e alçada que podemos implantar. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
150 
Tipo de riscos Descrição
1. Divisa Não perder até 5% do faturamento com câmbio
2. Crédito Pagamentos atrasados com mais de 90 dias, não podendo exceder 10% do faturamento
3. Competência Não sofre queda de preço inferior a 3,5%
4. Mercado Cota do mercado - não podendo ser inferior a 20%
5. Clientes Concentração máxima de 35%
6. Fornecedores e 
Armazenamento 1
Não sofrer incremento internacional acima de 2,5% matéria prima
7. Fornecedores e 
Armazenamento 2
Não sofrer incremento de aumento de aluguéis de armazéns acima de 2,5%
8. Tecnológico Índide de disponibilidade de 92%
9. Produto Máximo 2,5% do inventário anual
10. Compliance Não sofrer sansão alguma regulatória no ramo alimentício
11. Saúde e 
Segurança
Não sofrer acidentes que paralisem a operação
Tabela 6 – Métricas dos Riscos
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
151 
6.4.4 perda esperada quaNtitativa – apetite aO riscO cOm métrica FiNaNceira
Outra forma de fazer a métrica do Apetite ao Risco em termos puramente financeiros, é trabalhando com a deno-
minada Perda Esperada, onde ela é o resultado da multiplicação da Probabilidade do Risco vir a acontecer versus o 
impacto financeiro do risco. Neste caso, há necessidade de levantar todos os custos que o risco causa em caso de 
materialização. 
A multiplicação entre a Probabilidade e o Impacto Financeiro nos fornece a chamada Perda Esperada. Exemplo: se 
tenho um risco com uma probabilidade de 30% de materialização e seu impacto financeiro é de R$ 2.000.000,00 – 
dois milhões de reais, a Perda Esperada – PE é de R$ R$ 600.000,00 – seiscentos mil reais. O que isto significa? Que 
a PE é o máximo de investimento que a empresa pode fazer neste risco, tanto para prevenir como para reduzir seu 
impacto (planos de contingência). 
Portanto as empresas podem também utilizar Perda Esperada – PE, como apetite de Risco. Basta elaborar uma esca-
la em níveis de apetite ao risco, como exemplo: monitoramento; apetite ao risco, tolerância e capacidade. Neste caso 
temos quatro níveis de apetite ao risco. 
Vamos utilizar a empresa BRASUCA, que fatura anualmente R$ 406 MM, com um resultado líquido de R$ 28,4 MM 
e uma margem líquida de 6,98%. A Margem Líquida da BRASUCA é de R$ 3.360.000,00 – três milhões trezentos e 
sessenta mil reais, que significa 8% do faturamento bruto da BRASUCA. 
A BRASUCA trabalha com sua Matriz de Riscos cinco por cinco, tendo que elaborar uma grade de impacto financeiro, 
conforme a graduação da Matriz de Risco.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
152 
Impacto/Consequência
MUITO LEVE 
1
LEVE 
2
MODERADO 
3
SEVERO 
4
MASSIVO 
5
P
ro
b
a
b
il
id
a
d
e
ELEVADA 
5 R.2
MUITO ALTA 
4 R.3
ALTA 
3
MÉDIA 
2 R.1
BAIXA 
1
Figura 36 – Matriz de Riscos
Nível de Impacto Nomenclatura Graduação do Impacto Financeiro 
1 Muito Leve R$ 10,00 a R$ 6.000.000,00
2 Leve R$ 6.000.0001,00 a R$ 12.000.000,00
3 Moderado R$ 12.000.001,00 a R$ 18.000.000,00
4 Severo R$ 18.000.001,00 a R$ 27.500.000,00
5 Massivo > R$ 27.500.000,00
Tabela 7 – Impacto Financeiro
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
153 
Níveis da Probabilidade Grau de Probabilidade Nomenclatura Probabilidade Em %
5 4,51 – 5,00 Elevada 90,2 – 100%
4 3,51 – 4,50 Muito Alta 70,2 – 90,1
3 2,51 – 3,50 Alta 50,2 – 70,1
2 1,51 – 2,50 Média 30,2 - 50,1- 
1 1,00 – 1,51 Baixa 20 – 30,1
Tabela 8 – Probabilidade 
Escala Nomenclatura Perda esperada em Reais – R$ 
4 Monitoramento Até R$ 5.000.000,000
3 Apetite ao Risco Entre R$ 5.000.001,00 a R$ 14.000.300,00 
2 Tolerância ao Risco Entre R$ 14.000.301,00 a R$ 24.805.000,90
1 Capacidade > R$ 24.805.001,90 
Tabela 9 – Apetite ao Risco com base na Perda Esperada 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
154 
Risco Probabilidade
Impacto R$ 
(em milhões) 
Perda esperada - PE
Classificação do 
apetite ao risco
Atuação da 
empresa
Indisponibilidade 
de uma máquina 
35% R$ 136.000.000,00 R$ 47.600.000,00 Capacidade 
Baixar o risco 
com urgência 
Câmbio – elevação 
do dólar 
52% R$ 25.500.000,00 R$ 13.260.000,00 Apetite ao risco Alinhado
Barganha de canal 
de fornecedores 
40% R$ 10.250.000,00 R$ 4.100.000,00 Monitoramento 
Tomar mais 
risco 
Inadimplência de 
clientes no brasil 
38% R$ 57.000.000,00 R$ 21.660.000,00
Tolerância de 
risco
Baixar o 
risco, agindo 
restringindo o 
crédito 
Tabela 10 – Resultados do Apetite ao Risco com base na Perda Esperada
Desta forma, a BRASUCA pode enxergar, de forma objetiva, quais riscos estão dentro, fora, ou se pode ser mais agres-
siva. A mensuração financeira é mais objetiva, porém deve-se tomar cuidado em levantar todos os custos dos riscos, 
incluindo uma projeção da imagem para se ter seu apetite ao risco bem, com base na Perda Esperada.
6.4.5 declaraçãO de apetite aO riscO da BRASUCA 
A Empresa define nesta afirmação o apetite específico de cada um dos riscos a que está exposto e atribui um valor 
à escala de perda esperada – Probabilidade x Impacto Qualitativa. Esta perda esperada qualitativa é a posição do risco 
no quadrante plotado. De acordo com esta afirmação, a empresa previne, mitiga ou tomará mais riscos dependendo da 
diferença que existe entre o valor real do risco, o resultado de sua avaliação de risco e o valor desejado (apetite ao risco). 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
155 
Um risco cujo valor real da perda esperada é maior que o apetite ao risco estabelecido será atenuado com maior ou 
menor urgência, dependendo de quanto é a diferença entre seu valor e desejado.
A BRASUCA associou um descritor de apetite ao risco para cada risco identificado e analisado. Desta forma, a quan-
tidade de cada risco que a empresa deseja assumir é estabelecida com base no limite estabelecido e dentro dos 
parâmetros que o Conselho de Administração estabeleceu. 
Em seguida, a empresa estabelece a comparação entre os valores de perda esperadas reais obtidos na última aná-
lise de risco e os valores desejados. Esta comparação entre a perda associada ao risco e o apetite permite que a 
empresa identifique prioridades na mitigação de riscos. 
A urgência da mitigação não depende do valor real do risco, mas da distância entre esse valor e o valor desejável. 
Maiores esforços de mitigaçãoserão dedicados a riscos cuja perda precisa ser reduzida pela descida de dois níveis 
em uma das escalas (probabilidade ou impacto), ou em pelo menos um nível em ambas as escalas (probabilidade 
e impacto).
Na tabela a seguir, são estabelecidos quatro níveis de apetite ao risco, (estes níveis poderiam ser mais ou menos, 
dependendo da métrica do Conselho de Administração). A escolha é livre cada um dos quais está associado a um valor 
de perda esperada entendida como o produto entre impacto versus probabilidade. Cabe ressaltar que esta tabela foi 
elaborada porque a matriz é cinco por cinco com quatro níveis de criticidade. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
156 
Apetite ao Risco - Níveis Avaliação de Risco
Níveis de apetite Valor do risco aceitável
Perda esperada qualitativa 
posição no quadrante
Criticidade do risco
Capacidade 1 4 Elevada
Tolerância 2 3 Muito Alta
Apetite 3 2 Alta
Monitoramento 4 1 Média
Tabela 11 – Níveis de Apetite ao Risco x Perda Esperada Qualitativa
No caso da Empresa BRASUCA temos a seguinte declaração de Apetite ao Riscos, tendo em vista suas perdas 
esperadas e os limites por risco dos apetites: 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
157 
Risco
Apetite ao Risco - 
Descrição Atual
Apetite Valor - A
Criticidade do 
Risco Valor - B
A - B Ação a ser realizada
1. Divisa Capacidade 1 4 -3
Previnir e mitigar com 
urgência
2. Crédito Tolerância 2 3 -1 Previnir e mitigar
3. Competência Tolerância 2 3 -1 Previnir e mitigar
4. Mercado Apetite 3 2 1 Posição alinhada
5. Clientes Capacidade 1 4 -3
Previnir e mitigar com 
urgência
6. Fornecedores e 
Armazenamento 1
Tolerância 2 3 -1 Previnir e mitigar
7. Fornecedores e 
Armazenamento 2
Apetite 3 2 1 Posição alinhada
8. Tecnológico Monitoramento 4 1 3 Tomar mais riscos
9. Produto Monitoramento 4 1 3 Tomar mais riscos
10. Compliance Apetite 3 2 1 Posição alinhada
11. Saúde e 
Segurança
Tolerância 2 3 -1 Previnir e mitigar
Tabela 12 – Declaração de Apetite ao Risco
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
158 
Através da declaração acima a empresa BRASUCA poderá monitorar seus riscos de acordo com sua estratégia e 
apetite ao risco, definidos pelo Conselho de Administração, gerenciados pela área de gestão de riscos.
A tabela 12, pela diferença entre os valores A e B para ser ideal para a empresa deve ser maior ou igual a 1. Se 
for menor ou igual a 0 significa que está acima do apetite de risco definido pelo Conselho.
Impacto
MUITO LEVE 
1
LEVE 
2
MODERADO 
3
SEVERO 
4
MASSIVO 
5
P
ro
b
a
b
il
id
a
d
e
ELEVADA 
5 3 3 2 1 1
MUITO 
ALTA 4 4 3 3 2 1
ALTA 
3 4 3 2 2
MÉDIA 
2 4 3 3
BAIXA 
1 4 3 3
Impacto
MUITO LEVE 
1
LEVE 
2
MODERADO 
3
SEVERO 
4
MASSIVO 
5
P
ro
b
a
b
il
id
a
d
e
ELEVADA 
5 2 2 3 4 4
MUITO 
ALTA 4 1 2 2 3 4
ALTA 
3 1 2 3 3
MÉDIA 
2 1 2 2
BAIXA 
1 1 2 2
Figura 37 – Matriz com os Níveis de Apetite de Risco x Matriz com os Níveis de Criticidade dos Riscos
159 
7. CONCEITO DE RISCO – 
RISCO INERENTE E 
RISCO RESIDUAL 
Todas as melhores práticas citadas no capítulo anterior, sugerem de forma enfática que a empresa deve realizar 
duas avaliações de riscos em seus processos corporativos. São elas a avaliação de riscos inerentes e residuais. 
Para isso temos também que entender o conceito de apetite ao risco, pois este será o principal balizador das res-
postas aos riscos. 
risCo inerente
Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar 
para alterar a probabilidade ou o impacto dos eventos. É o risco associado ao negócio e existe independente de qualquer 
ação tomada para sua redução.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
160 
Avaliar o risco inerente significa avaliar a probabilidade e impacto da ocorrência de um risco, desconsiderando-se a 
estrutura de controles atual. Ou seja, avaliamos os riscos sem levar em consideração seus controles preventivos e ou 
contingenciais. 
risCo residuAl
Risco residual é aquele que ainda permanece após a resposta da administração. É o risco remanescente após a 
implementação de atividades de controle que visam reduzir sua probabilidade e/ou impacto.
A avaliação de riscos é aplicada primeiramente aos riscos inerentes. Após a implantação de controles e ou sua ava-
liação em termos de eficácia, o gestor passará a considerar se seus riscos residuais estão dentro do apetite ao risco 
da empresa. Se estiver dentro do apetite ao risco, o gestor irá apenas monitorar, se estiver fora do apetite ao risco, 
terá que implantar, desenhar novos controles até que o residual do risco esteja dentro do respectivo apetite. 
Outro conceito importante é que a diferença entre o risco inerente com o risco residual, gera o resultado da eficácia 
dos controles. Para o risco de fraude e aplicação de uma auditoria baseada em risco, este processo implementado é 
de suma importância. 
No gráfico a seguir temos uma representação do risco inerente e residual. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
161 
Exposição Residual: exposição
ao risco após tomar as medidas
julgadas adequadas - Redutor
do nível de risco
Risco Residual
Em função do nível de risco residual
e de seu apetite ao risco, o gestor 
poderá sugerir novos controles para
reduzir a exposição residual e
alinhar com o apetite estabelecido. 
Redução de risco inerente
em função do nível de
controle existente
Atuante
Intermediário
Insu�ciente
Redutor de nível de risco
,
Exposição Residual: exposição
ao risco após tomar as medidas
julgadas adequadas - Redutor
do nível de risco
Risco Residual
Em função do nível de risco residual
e de seu apetite ao risco, o gestor 
poderá sugerir novos controles para
reduzir a exposição residual e
alinhar com o apetite estabelecido. 
Redução de risco inerente
em função do nível de
controle existente
Atuante
Intermediário
Insu�ciente
Redutor de nível de risco
,
Figura 38 – Risco inerente e residual
162 
8. CONTROLES INTERNOS E 
A GESTÃO DE RISCOS 
8.1 deFiNiçãO de cONtrOle iNterNO 
O controle interno é definido, segundo o COSO I, como sendo: 
• Um processo efetivado pelo conselho de diretores de uma entidade, pela gestão e outro pessoal, designado 
a fornecer garantia razoável com relação à conquista de objetivos relacionados à operações, relatório 
e concordância. Esta definição reflete certos conceitos fundamentais. O controle interno é:
- Voltado para a conquista dos objetivos em uma ou mais categorias – operações, relatórios e cooperação;
- Um processo consistindo de tarefas em atividades em andamento – um meio para um fim, não um fim em si;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
163 
- Efetivado por pessoas - não meramente sobre manuais de política e procedimento, sistemas e formulários, mas 
sobre pessoas e as ações que elas empreendem a todos os níveis de uma organização para afetar o controle interno;
- Capaz de fornecer garantia razoável—mas nenhuma garantia absoluta a 
uma gestão sênior da entidade e um conselho de diretores;
- Adaptável à estrutura da entidade—flexível na aplicação para a entidade inteira ou para 
uma subsidiária particular, divisão, unidade operacional ou processo comercial.
Esta definição é intencionalmente ampla. Ela captura os conceitos importantes que são fundamentais a como as orga-
nizações designam, implementam e conduzem os controles internos, fornecendo uma base para a aplicação através das 
organizações que funcionam em diferentes estruturas, indústriase regiões geográficas da entidade.
8.2 iNtegraçãO dO cONtrOle iNterNO cOm a gestãO de riscOs
O processo de gestão de riscos deve estabelecer os requerimentos para um sistema eficaz de controle interno. Um 
sistema eficaz fornece garantia razoável com relação à conquista dos objetivos da organização. Um sistema eficaz de 
controle interno reduz, a um nível aceitável, o risco de não conseguir o objetivo da organização. Ele requer que:
• Os princípios relevantes do processo de gestão de riscos estejam presentes e funcionando. “Presentes” se refere à 
determinação de que os componentes estejam implementados para conquistar os objetivos especificados. “Funcionando” 
se refere à determinação de que os princípios relevantes continuem a existir nas operações e nos processos. 
• Os princípios do processo de gestão de riscos funcionam juntos e de uma forma integrada. “Funcionar 
juntos” se refere à determinação de que todos os princípios reduzam, a um nível aceitável, o risco de não 
conquistar os objetivos. Os componentes do processo de gestão de riscos são interconectados e ligações 
entre eles, particularmente na forma as quais os princípios interagem dentro e através deles. 
Quando um sistema de controle interno é determinado como sendo eficaz, a gestão sênior e o conselho de diretores 
possuem uma garantia razoável, relativa à aplicação dentro da estrutura da entidade, de que a organização:
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
164 
• Conquista operações eficazes e eficientes quando os eventos externos são considerados improváveis de 
possuírem impacto significante sobre a conquista dos objetivos ou onde a organização possa predizer 
razoavelmente a natureza e a duração dos eventos externos e mitigar o impacto a um nível aceitável.
• Compreender a extensão a qual as operações são administradas eficazmente e eficientemente quando os eventos 
externos possam possuir um impacto significante sobre a conquista dos objetivos ou onde a organização possa 
predizer razoavelmente a natureza e a duração dos eventos externos e mitigar o impacto a um nível aceitável.
• Prepara relatórios em conformidade com as regras, regulamentos e normas aplicáveis 
ou com os objetivos de relatório especificados da entidade.
• Concorda com as leis, regras, regulamentos e normas externas aplicáveis.
O processo de gestão de riscos da empresa deve realizar, de forma contínua, o julgamento na projeção, implementa-
ção e condução do controle interno e na avaliação de sua eficácia. O uso do julgamento, dentro das fronteiras estabe-
lecidas pelas leis, regras, regulamentos e normas, melhora a habilidade da gestão de tomar decisões melhores acerca 
do controle interno, mas sem garantir resultados perfeitos. 
O processo de gestão de riscos da organização tem que reconhecer, fazendo parte da boa prática de mercado, que 
embora o controle interno forneça garantia razoável de conquistar os objetivos, as limitações existem. O controle inter-
no não pode prevenir o mal julgamento ou as más decisões, ou os eventos externos que podem fazer uma organização 
falhar em conquistar os seus objetivos operacionais. Em outras palavras, mesmo um sistema eficaz de controle interno 
pode experimentar uma falha. As limitações podem resultar de: 
• Adequação de objetivos estabelecidos como uma precondição ao controle interno;
• Da realidade de que o julgamento humano na tomada de decisão pode ser defeituoso e sujeito a preconceito;
• Rupturas que possam acontecer por falhas humanas, como erros simples;
• Da habilidade da gestão em substituir o controle interno;
• Da habilidade da gestão, outro pessoal, e/ou terceiros em lograr os controles através do conluio;
• Eventos externos além do controle da organização.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
165 
Essas limitações impedem o conselho e a gestão de possuir uma garantia absoluta da conquista dos objetivos da 
entidade – isto é, o controle interno fornece garantia razoável, mas não absoluta. Não bastasse essas limitações 
inerentes, a gestão deve estar ciente delas quando selecionar, desenvolver e empregar controles que minimizem, à 
extensão prática, essas limitações.
Isso é muito importante, pois não existe sistema e processo considerado infalível. A empresa e seus gestores devem 
estar cientes que risco zero nunca vai existir, a não ser que a organização não faça ou pratique a operação no seu 
mercado. A inerência do risco sempre irá existir. 
166 
9. FASES DO PROCESSO 
DE GESTÃO DE RISCOS 
CORPORATIVOS – 
MÉTODO BRASILIANO
O processo de Gestão de Riscos Corporativos, Método Brasiliano – Avançado, possui inúmeros frameworks, cada um 
adaptado de acordo com o escopo da disciplina de risco a ser estudada. Todos os frameworks do Método Brasiliano 
estão integrados e aderentes a ISO 31000:2018, COSO I 2013 e o COSO ERM – Gerencimento de Riscos Corporati-
vos – Integrado com Estratégia e Performance 2017. Cada framework possui sua métrica e ferramenta específica, de 
acordo com seu contexto e escopo. As ferramentas e técnicas estão aderentes a ISO 31010. 
Optamos por um framework integrado tendo em vista nossa experiência de mercado, nestes 30 anos de experiência, 
em identificar que as três estruturas (COSO I 2013, COSO ERM 2017 e ISO 31000:2018) possuem suas caracterís-
ticas próprias, mas juntas consideramos imbatíveis em termos de abrangência e cobertura em todas as disciplinas. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
167 
A “cara” do framework foi adaptada da ISO 31000 porque o processo de comunicação e consulta é muito mais pro-
fundo e abrangente, possuindo uma filosofia de sensibilização e capilarização em toda a organização, e seus usuários 
através de programas de endomarketing, além é claro, de dar também relevância com os relatórios para todas as 
partes interessadas. 
Nossos frameworks, em termos gerais são: 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
168 
Figura 39 – Framework de riscos estratégicos
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
169 
Figura 40 – Framework de Riscos no Processo; Risco de Saúde e Segurança do Trabalho; Risco Social; Risco de Meio Ambiente; Segurança Empresarial
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
170 
Figura 41 – Framework de Risco Fraude, Suborno e Corrupção
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
171 
Figura 42 – Framework de Risco no Projeto 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
172 
Figura 43 – Framework de Risco de Compliance - Integridade
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
173 
Figura 44 – Framework de Segurança da Informação
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
174 
Figura 45 – Framework de Plano de Auditoria Baseada em Riscos
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
175 
Figura 46 – Framework de Plano de Gestão de Continuidade do Negócio
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
176 
A grande vantagem é que os processos são adaptáveis de acordo com o escopo da disciplina de risco que será es-
tudada. O formato ea metodologia com sua sequência lógica são praticamente iguais. 
Neste caso iremos exemplificar o Framework do Risco no Processo (Figura 40) e o Risco em Segurança Empresarial 
(Figura 40), por serem bastante utilizados. 
As Macro fases do Processo de Gestão de Riscos Corporativos, Método Brasiliano – Avançado são: 
1. Comunicação e Consulta.
2. Contexto Estratégico.
3. Identificação de Riscos.
4. Análise e Avaliação de Riscos - Inerente.
5. Análise e Avaliação de Riscos - Residual.
6. Respostas aos Riscos.
7. Monitoramento e Análise Crítica.
Ressaltamos o emprego da realização da análise do risco inerente, sem levar em consideração os controles e ou 
sistemas de segurança, para depois realizar a análise do risco residual, levando-se em conta os controles para saber 
o grau de criticidade do risco, e se este está dentro de seu apetite. 
Nesta fase há necessidade de fazer uma avaliação da eficácia dos controles existentes e operacionalizados para 
identificar se houve redução da inerência do risco. A ISO 31000: 2018 também não é enfática neste quesito, sendo 
que os COSO I 2013 e o COSO ERM 2017, sempre reforçaram a importância da realização das duas avaliações (ine-
rente e residual). 
177 
10. COMUNICAÇÃO 
E CONSULTA
10.1 impOrtâNcia da cOmuNicaçãO 
A comunicação e consulta são importantes aspectos a serem considerados em cada fase do processo de gestão e 
análise de riscos corporativos. 
É importante desenvolver um plano de comunicação com as partes envolvidas internas e externas, logo no primeiro 
estágio do processo. A comunicação envolve diálogo entre as partes envolvidas, tendo como foco a consulta e não 
somente a comunicação de via única. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
178 
A comunicação interna e externa eficaz é importante para assegurar que os responsáveis pela implementação da 
gestão de riscos e os investidores compreendam as bases sobre as quais as decisões são tomadas, e por que deter-
minadas ações são necessárias.
A percepção do risco pode variar em função de diferentes hipóteses, conceitos e necessidades, e de questões e 
interesses das partes envolvidas, por estarem relacionados ao risco ou aos assuntos em discussão. 
As partes envolvidas tendem a julgar a aceitabilidade de um risco baseadas em sua própria percepção do risco. 
Uma vez que as partes envolvidas podem ter um impacto significativo nas decisões tomadas, é importante que sua 
percepção do risco, bem como sua percepção dos benefícios, seja, identificadas e documentadas, e as razões subja-
centes, compreendidas e abordadas.
10.2 cONceitO de eNdOmarketiNg
Endomarketing é um conceito que objetiva fortalecer as relações internas da empresa. O endomarketing consiste 
em realizar ações de marketing voltadas para seu público interno, com a finalidade de promover a integração entre os 
variados departamentos da organização, visando compartilhar, neste caso de gestão e análise de riscos corporativos, 
a importância do processo de gerenciamento de riscos em que o dono do processo é o dono do risco. O programa de 
endomarketing tem que vender o conceito que a primeira linha de defesa é a dona do risco, sem o engajamento da 
primeira linha de defesa, a empresa fica extremamente vulnerável. A campanha terá que passar este primeiro conceito 
e depois a segunda linha de defesa, a área de gestão de riscos, compliance e controles internos, realizar palestras e 
treinamentos na metodologia com os critérios definidos em seu processo estruturado de gestão de riscos.
Como um dos objetivos do endomarketing é a integração, onde o público interno irá melhor interagir, cumprindo 
com os objetivos da gestão e análise de riscos corporativos com maior facilidade. O ferramental primordial é o 
treinamento e a divulgação. O treinamento interno motiva e valoriza as variadas funções dos colaboradores, visando 
conquistar a confiança e maximizando a produtividade. Já a divulgação faz com que todos os resultados e metas do 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
179 
processo de gestão e análise de riscos estejam sendo circulados, reforçando os critérios e metodologia do processo 
de GR, bem como interage todos os funcionários, fazendo com que haja um sentimento de time, de equipe. Todos 
se sentem comprometidos.
10.3 eNdOmarketiNg especíFicO para gestãO de riscOs 
O profissional de gestão de riscos, auditoria e de segurança necessitam entender e saber utilizar os recursos que 
possuem, para poder sobressair e destacar o processo, reforçando as medidas preventivas e proativas. 
O endomarketing na gestão de riscos é um trabalho de conscientização dos riscos e de seus controles e sistemas. É 
um grande desafio para o departamento de marketing e recursos humanos implementar junto com a gestão de riscos 
um programa eficiente e prático. 
O grande desafio é saber vender que o processo de gestão e análise de riscos corporativos será útil para todos os 
usuários, pois terão condições de possuir uma visão de antecipação dos possíveis problemas. Com esta visão os cola-
boradores passam a prospectar cenários de riscos, agindo de forma pró ativa e não somente reagindo aos problemas. 
Há a necessidade da implementação do endomarketing para que possa ser compreendido e haja uma forte colabora-
ção por parte do seu público interno. 
O endomarketing na gestão e análise de riscos possui três premissas básicas:
1. O público alvo de sua campanha são todos os colaboradores da organização, considerados como cliente 
interno. Como todo “Cliente”, este só pode ser conquistado e retido com um serviço onde haja qualidade;
2. O cliente interno como o externo possui expectativas e estas devem ser superadas, portanto a gestão de riscos tem 
de compreender a expectativa e cultura dos colaboradores para realizar um ajuste fino no programa de divulgação; 
3. A excelência da operacionalização do processo de gestão e análise de riscos corporativos 
significa envolver os colaboradores e comprometê-los com os objetivos do GR.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
180 
Essas três premissas trazem como consequência direta o entendimento por parte dos colaboradores do que é a 
Gestão e Análise de Riscos e sua função. O endomarketing passará a estimular o GR nos seguintes aspectos: 
• Conscientização da importância na prevenção dos sistemas e processos existentes; 
• Orientação para o público interno em respeitar normas e procedimentos. 
A Gestão de Riscos de Fraudes deve planejar o processo de comunicação como parte integrante da sua Política. 
O processo de endomarketing deve ser realizado em conjunto com o departamento de Recursos Humanos da em-
presa e marketing, pois necessita conhecimento e informação específica do público interno, informações estas 
que o RH já deve possuir.
Deve-se ter em mente que o treinamento é a principal alavanca do processo de endomarketing. O treinamento 
precisa ser percebido como momento ótimo para o envolvimento do colaborador, para valorizá-lo como pessoa e 
comprometê-lo com os objetivos da empresa. O treinamento sempre é um investimento com retorno garantido em 
termos de qualidade, excelência e dedicação. 
A empresa que não puder se vender para seu público interno, tampouco venderá para o externo. E isto é muito 
perigoso em uma época de competitividade agressiva e grande turbulência, como a que estamos vivendo.
Um programa de endomarketing transmite confiança e credibilidade, ao mesmo tempo em que os valores com-
partilhados pela cultura organizacional, irão com certeza incentivar a postura proativa em vez da reativa, assumin-
do desta forma um papel cada vez mais criativo, sugerindo soluções viáveis e lutando para que toda a organização 
possa cumprir seus objetivos. 
IN
TELI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
181 
10.4 Fases dO prOgrama de cOmuNicaçãO 
A seguir, um framework com as fases de um programa completo de comunicação, que a área de gestão de riscos 
deve operacionalizar. 
Figura 47 – Fases do Programa de Comunicação
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
182 
10.5 exemplO de um prOgrama de cOmuNicaçãO 
1. objetivo
Tem como objetivo principal informar e conscientizar os empregados sobre a sua importância e engajá-los no proces-
so de gestão de riscos da BRASUCA, colaborando e contribuindo com informações corretas, e participando ativamente 
do desenvolvimento do processo.
2. PúbliCo-Alvo
Aplica-se a todos os empregados da Gerência de Riscos Corporativos e Comunicação Corporativa. 
3. doCumentos referenCiAdos 
• P 01.258 – Política de Gestão de Riscos Corporativos.
• PR 01.05 – Processo de Gestão de Riscos Corporativos.
4. definições
• Comunicação e consulta: processo contínuo e interativo que uma organização conduz para fornecer, compartilhar ou 
obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a gerenciar riscos.
• Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
183 
5. desCrição dA metodologiA
5.1. Visão Geral da Comunicação Corporativa sobre a Gestão de Riscos
O processo de comunicação de risco está primeiramente fundamentado na estrututura de controle da ISO 31000, 
baseado nos príncipios da comunicação e consulta e dirigido às fases do framework a seguir.
Figura 48 – Framework baseado na ISO 31000/COSO I/ COSO ERM 2017
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
184 
5.2 Comunicação e Consulta
A comunicação e consulta são as formas de estabelecer contato e relacionamento com os públicos de interesse da 
Brasuca, internamente com os empregados e demais colaboradores contratados, e externamente, com os stakeholders 
como: clientes, fornecedores, parceiros, entidades, associações, ONG’s, governo, imprensa, comunidades, entre outros.
A comunicação deve acompanhar todo o processo de levantamento de informações e análise de riscos. Ela é extre-
mamente estratégica, porque tem a função precípua de informar e sensibilizar cada um dos envolvidos no processo, 
para que o programa alcance os melhores resultados.
A consulta faz parte da comunicação com a função de realizar o levantamento de informações a partir do encontro 
com os funcionários e representantes da empresa envolvidos no processo de desenvolvimento do Gerenciamento 
de Riscos. 
Ela tem como finalidade obter informações referentes à existência, natureza, forma, probabilidade, impacto, avalia-
ção, aceitabilidade, tratamento ou outros aspectos da gestão de riscos.
As informações colhidas por meio da consulta embasam e orientam as partes no processo de tomada de decisão ou 
de definição da direção a respeito de uma questão específica. 
A comunicação e consulta são extremamente importantes porque combinados promovem a compreensão e a colabo-
ração necessária para o conhecimento da realidade da empresa, seus riscos e necessidades, permitindo que a equipe 
de desenvolvimento, auditores, consultores e profissionais da BRASUCA, construam um programa consistente e eficaz.
5.3 Identificação e Estabelecimento do Contexto
Paralelamente à campanha de lançamento, a equipe de comunicação deverá fazer o estudo do ambiente interno e 
externo para a elaboração dos materiais das políticas de comunicação e prevenção de riscos.
Esta ação terá como finalidade identificar os elementos, as características e suas variáveis dos dois públicos simul-
taneamente. Deverá identificar todos os fatores que estejam associados e impliquem no controle e gerenciamento dos 
riscos existentes, a fim de estabelecer o escopo e os critérios de gestão.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
185 
5.3.1 Contexto Interno 
No contexto interno o processo de comunicação deverá considerar o estudo administrativo, político e estratégico do 
ambiente como, por exemplo, identificar e analisar:
• Missão, visão e valores;
• Políticas administrativas, de recursos humanos, sociais e ambientais;
• Filosofias de negócios;
• Cultura organizacional.
Além disso, deve levantar também as políticas de comunicação corporativa e interna, a partir de seus planos, progra-
mas, projetos, meios e veículos.
A análise do contexto interno deve incluir especificamente também:
• Governança, estrutura organizacional, funções e responsabilidades;
• Políticas, objetivos e estratégias implementadas para atingi-los;
• Capacidades compreendidas em termos de recursos e conhecimento (por exemplo: 
capital, tempo, pessoas, processos, sistemas e tecnologias);
• Percepções e valores de cada área e setores internos;
• Sistema de informação, fluxos de informação e processos de tomada de decisão (tanto formais quanto informais);
• Níveis e práticas de relacionamentos internos entre áreas e setores e suas percepções e seus valores;
• Normas, diretrizes e modelos adotados pela organização para processos e procedimentos;
• Modelos, formas e níveis de abrangência e extensão das relações contratuais.
Todas as informações levantadas e os materiais coletados deverão ser analisados sob o ponto de vista de sua utili-
zação para a criação das políticas de Gestão e de Comunicação de Riscos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
186 
5.3.2 Contexto Externo 
As ações de comunicação para o público externo devem ser definidas previamente e de acordo com as políticas de 
comunicação da empresa e dos procedimentos orientados por sua cultura organizacional.
A campanha deve ter como objetivos:
• Informar os principais públicos de relacionamento com a empresa sobre o gerenciamento de riscos;
• Orientar e conscientizar os representantes dos públicos externos sobre a importância do gerenciamento de riscos;
• Posicionar no mercado e fortalecer sua imagem corporativa.
A campanha deve adotar como estratégia, a abertura de canais de comunicação diretos com os principais públicos 
de interesse e ser orientada para cada um desses públicos, de acordo com suas características, seus interesses e 
suas necessidades.
Os canais de comunicação que devem ser abertos são:
• Assessoria de imprensa;
• Relacionamento direto com:
– Clientes;
– Fornecedores;
– Entidades e Associações;
– Comunidades – ONGs. 
• Relações Governamentais;
• Órgãos Reguladores.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
187 
5.4 O Processo de Comunicação
Para alcançar os resultados, o processo de comunicação deve permear todo o plano de desenvolvimento de análi-
se de riscos até a fase de instalação do programa e permanecer ativo após seu desenvolvimento. Ele é de tal modo 
estratégico, que sem a comunicação não poderá existir o processo de gerenciamento de riscos, uma vez que se não 
houver sensibilização, não haverá a participação necessária e desejada para o desenvolvimento adequado e pleno 
gerenciamento de riscos.
As ações do Plano de comunicação e consulta servirão para orientar todos os empregados e equipes e conscientizá-
-los da importância do processo em relação ao nível de informação que devem absorver e o que devem fornecer aos 
gestores de risco durante o processo de criação e implantação das políticas. Além disso, deve servir para mantê-los 
envolvidos diretamente e posteriormente agircorretamente diante de qualquer tipo de ocorrência seja um indício, uma 
crise ou uma emergência. 
Para a alta administração e área de Gestão de Riscos Corporativos, o programa de comunicação deve conter todo o 
direcionamento para as áreas de negócios da BRASUCA e deve ser entendido e implantado por inteiro, pois seu con-
teúdo deve contemplar a orientação estratégica do processo de gerenciamento de riscos e da Comunicação de Crises. 
Para as demais áreas e empregados, ele deve conter os mecanismos para envolver os funcionários numa ação con-
junta que alimentará os grupos que estarão administrando o processo. 
Para o público externo, ele deve estar preparado para mantê-los bem informados e harmonizados a fim de que o pro-
cesso caminhe de modo a receber a compreensão desses públicos e eventualmente, a contribuição que for esperada 
deles nos objetivos do programa.
5.4.1 O Plano de Comunicação
O plano de comunicação deve ser estruturado para ser implantado com o público interno e externo e deve ter os 
seguintes objetivos:
PÚBLICO INTERNO
• Orientar e conscientizar o empregado sobre a importância do programa;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
188 
• Envolver e comprometer o empregado no processo.
PÚBLICO EXTERNO
• Informar os principais públicos de relacionamento com a empresa sobre o plano de riscos.
• Orientar e conscientizar os representantes dos públicos externos sobre a importância dos riscos.
• Posicionar a empresa no mercado e fortalecer sua imagem corporativa.
O plano de comunicação deve ter três níveis de atuação e desenvolvimento: 
• Implantação e acompanhamento do programa de riscos. 
• Criação do manual de comunicação de crise.
• Acompanhamento do processo de implantação da Política de Gestão de Riscos.
O procedimento para implantação dos três níveis deve ser feito a partir da criação de uma Campanha de Comunica-
ção, que terá como ações:
• Lançamento do programa;
• Divulgação dos processos e passos de implantação;
• Estudo do ambiente interno;
• Estudo do ambiente externo;
• Criação dos meios de comunicação;
• Implantação dos meios e processos de informação.
5.4.2 Campanha de Comunicação
5.4.2.1 Lançamento e Desenvolvimento da Campanha
A BRASUCA fará primeiro o lançamento interno da campanha, já que se trata de público estratégico e prioritário, uma 
vez que ele é agente de integração e colaboração no processo.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
189 
A campanha utilizará os recursos existentes de comunicação interna e também criará outros que forem necessários 
e adequados para transmitirem a mensagem do programa. 
Os principais meios e veículos de comunicação a serem utilizados são:
• Intranet, newsletters, blogs, redes sociais, vídeocast e podcasts; 
• E-mails, e-mails marketing, filmes e vídeos ilustrativos e educativos; 
• Fôlderes, banners, cartazes, jornal interno, revista e jornal mural. 
A campanha deve ser dirigida a todos os empregados, prestadores de serviço, parceiros da BRASUCA e desenvolver 
a disseminação das informações de forma geral, vertical e horizontal. 
5.4.3 Redes de Comunicação
Além da campanha por meio dos veículos, que disseminará todas as informações, a equipe de comunicação deverá 
também desenvolver processos de relacionamento com a implantação de redes de comunicação, preparando empre-
gados de departamentos para serem agentes de comunicação, propagadores e coletores de informações, a fim de 
levarem as informações às equipes e aos colegas de trabalho e também trazerem feedback para o comando da equipe 
e do programa.
5.4.4 Grupos de Comunicação
Do mesmo modo que as redes, os grupos funcionam para serem articuladores das informações, agindo de maneira 
organizada em grupos de discussão e debates em torno dos temas que envolvem o programa. Os integrantes do 
grupo, após as reuniões temáticas, passam a ter a função de disseminadores das informações em suas áreas e 
equipes de trabalho.
Essa atividade é de extrema importância para o desenvolvimento do programa e seus objetivos, porque tem a carac-
terística de disseminar as informações em todo o ambiente da BRASUCA e estimular os demais empregados à partici-
pação efetiva no programa.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
190 
Já as ações específicas, que fazem parte do processo de consulta, deverão tratar objetivamente os temas do pro-
grama e terem como meta levantar com detalhes as informações pesquisadas pelos consultores para alimentar o 
programa de gestão de riscos. Para que alcancem os resultados desejados e de maneira rápida, essas ações devem 
ser desenvolvidas e dirigidas aos grupos definidos como estratégicos, que atuarão diretamente no processo de levan-
tamento de informações e consulta. 
Para essas ações específicas, a equipe de comunicação deve desenvolver atividades com os grupos selecionados, 
como encontros, seminários e workshops. Essas atividades têm a finalidade de envolver o empregado e fazê-lo viven-
ciar os temas que estão sendo tratados. 
5.4.5 Seminários 
Alguns assuntos e casos deverão ser discutidos em maior profundidade. Para isso devem ser criados e organizados 
seminários temáticos, que devem ir desde as filosofias e os princípios organizacionais como visão, missão e valores e 
políticas e diretrizes organizacionais permeando os temas desenvolvidos pelo programa de gestão de riscos.
5.4.6 Workshops
Outros assuntos técnicos que precisam ser compreendidos em profundidade com seus respectivos procedimentos 
devem ser tema e objeto de workshops dirigidos a chefias, técnicos, gerentes e diretores.
As Redes, os Grupos de Comunicação, os Seminários e Workshops deverão ter como objetivo transferir informações 
orientadas para que sejam discutidas em profundidade e analisadas de acordo com a experiência de cada integrante, 
a fim de que passem a fazer parte da rotina de cada um de seus participantes. 
Assim, de modo geral, devem ser considerados os seguintes aspectos:
• Além das orientações gerais comuns, cada empregado deve conhecer profundamente as 
orientações específicas de sua área, dos grupos de risco e dos seus riscos específicos. 
• Devem conhecer também os procedimentos e as medidas gerais e as diferenças entre planos de 
emergência, contingência e comunicação e suas ações específicas por grupo e tipo de risco.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
191 
5.5 Plano de Comunicação – Continuidade do Processo
5.5.1 Campanha Dirigida
O processo de comunicação deve ser contínuo mesmo após o período de levantamento de informações, ou seja, de 
comunicação e consulta. Para isso, a empresa deve criar uma campanha dirigida com os temas propostos pelo Proces-
so de Gestão de Riscos. Essa campanha deve ser desenvolvida com os seguintes processos:
Figura 49 – Modelo de Campanha Dirigida
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
192 
5.5.2 Campanha de Comportamento
A campanha será estruturada para ser desenvolvida em três conceitos 
Figura 50 – Conceitos da Campanha de Comportamento 
VALORES
Deve ser o primeiro conceito a ser discutido com todos os empregados para que eles entrem e façam uma imersão 
do ambiente cultural da BRASUCA. As conclusões e os resultados do debate deverão ser divulgados da mesma forma 
e por meio dos mesmos mecanismos de comunicação da campanha de Comunicação e Consulta.
COMPORTAMENTOS ORGANIZACIONAIS
A segunda fase será aplicada com a realização de encontros e seminários semanais com grupos de 30 funcionários 
e terão como temas a serem conhecidos e debatidos os tópicos definidos pela Política de Gestão de Riscos.• BIA – Business Impact Analysis – Matriz de Processos – Resumos dos Processos;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
193 
• Identificação de Riscos no Processo – Fluxograma Riscos no Processo – Diagrama do C&E;
• Swot – Análise de Risco – Matriz Vulnerabilidade – Nível de Risco – Priorização das Ações;
• Matriz de Priorização – Matriz de Responsabilidade – Plano de Ação;
• Risco Assumido – Monitoramento do Risco. 
Com a análise desses temas permeando os seminários, os grupos terão oportunidade de avaliar os comportamentos 
organizacionais e compreender as atitudes praticadas à luz da cultura e políticas organizacionais.
PROTEÇÃO
O debate entre os grupos deverá caminhar para a análise ponderada dos melhores comportamentos que, baseados nos 
critérios da Gestão de Riscos, levarão a empresa, a partir das atitudes individuais e de grupos, assegurar um ambiente 
de permanente controle dos riscos e, em função disso, altamente protegida contra os riscos corporativos existentes.
Figura 51 – Etapas do Programa Proteção
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
194 
ETAPAS DO PROGRAMA:
ANÁLISE DO AMBIENTE
• Avaliar como e quanto às equipes estão preparadas e receptivas para assimilar os novos conceitos.
• Trabalhar os conceitos organizacionais segmentados nas pessoas e suas percepções sobre riscos.
PREPARAÇÃO DO AMBIENTE
• Trabalho com os líderes formais e naturais.
• Promover a aceitação natural das pessoas.
• Fomentar a discussão sobre os temas.
CAMPANHA DE COMUNICAÇÃO
• Iniciar a campanha com divulgação de teasers baseados na construção do processo.
• Despertar a curiosidade das pessoas sobre o tema.
• O teaser será seguido de campanha com peças como: cartazes, banners, terminal de 
consulta, intranet, volantes explicativos, matérias no jornal interno, vídeos.
Durante os primeiros dias, a coordenação da campanha deverá criar “Quiz” sobre os temas a serem abordados e 
disponibilizados nos meios de comunicação interna. 
TREINAMENTO LÍDERES
Durante o período de lançamento da campanha, realizar encontro de toda liderança estratégica.
Essa atividade tem como finalidade alinhar o conhecimento da liderança sobre a Gestão de Riscos, pois as lideranças 
integrantes desse grupo serão responsáveis pela execução das atividades seguintes. O encontro terá como formato:
• Abordagem conceitual e estratégica.
• Abordagem técnica e prática.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
195 
Esse trabalho existe também para ressaltar a importância do Líder no processo, como também para prepará-los para 
o relacionamento e para serem multiplicadores dos princípios e tópicos da Gestão de Riscos. 
IMERSÃO E SENSIBILIZAÇÃO
Os líderes realizam reuniões e encontros com suas equipes e tratam de temas divulgados pela campanha interna, 
informando que serão organizados encontros para aprofundamento dos temas e assuntos da Gestão de Riscos. 
ENCONTROS E SEMINÁRIOS
Os líderes serão responsáveis por realizarem encontros/seminários com suas equipes. Os encontros serão em 
número suficiente para alcançar todo o grupo liderado. Dessa forma, toda a empresa será envolvida e participará do 
processo de discussão. Os encontros deverão ter abordagem conceitual, estratégica e prática e serem realizados com 
ações de envolvimento com dinâmicas e vivências, analogias e cases. Basicamente desenvolverá o estudo dos valores 
e da cultura organizacional, os comportamentos e os princípios da Gestão de Riscos. O conceito-chave dos encontros 
deverá ser o mesmo do conceito geral: 
- Conhecimento, Comportamento e Proteção
CENTRAL DE INFORMAÇÕES
Durante todo o período de realização da campanha, a área de comunicação da BRASUCA, além de participar das 
atividades, deverá fazer o devido acompanhamento do processo e criar as condições necessárias para que os gru-
pos e todos os funcionários recebam regularmente informações sobre o programa e possam também se manifestar 
e buscar esclarecimentos sobre tudo o que está acontecendo, como informações sobre o programa, atividades, 
participação, etc.
Para isso, a área de comunicação deverá montar uma Central de Informações, que terá como objetivo coordenar o 
desenvolvimento das ações de comunicação e fazer o controle de todo o processo. A Central de Informações deverá 
servir como um canal permanente de disseminação e recepção de informações.
A Central de Informações será coordenada e gerenciada pela área de comunicação da empresa e orientada e supervisiona-
da por um comitê formado por representantes das demais áreas, com prioridade para as áreas de Auditoria e Administração. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
196 
A Central de Informações funcionará por meio da coordenação de um profissional que será o coordenador de comuni-
cação do programa e dos grupos e redes de comunicação. Ele deverá fazer atendimento pessoal e por meio um canal 
direto como telefone (ramal fixo e celular) e-mail e virtual pela intranet da empresa. Desse modo, qualquer funcionário 
que desejar se comunicar para esclarecer ou tirar dúvidas a respeito do processo ou ainda encaminhar sugestões ou 
críticas, poderá fazê-lo por meio desses canais.
GRUPO DE ATUAÇÃO PERMANENTE 
O grupo de atuação permanente tem como objetivo observar, avaliar e manter o processo implantado da Gestão de 
Riscos presente na mente das pessoas e entre os grupos e departamentos. Ele estará a postos sempre que uma de-
terminada necessidade surgir em qualquer área ou departamento da BRASUCA. Sempre que houver qualquer tipo de 
necessidade ou ocorrência, o grupo deverá: 
• Orientar os colaboradores e contratados sobre os procedimentos a serem observados e mantidos.
• Manter os funcionários informados sobre o status da situação geral.
• Acionar os meios internos, por área, para avaliar e tomar a decisão necessária quando for necessário. 
O grupo de atuação deverá ser formatado da seguinte maneira: 
• Cada área deverá indicar um membro que fará parte do grupo.
• O grupo deverá se reunir mensalmente para avaliar as condições de cada área e trocar informações sobre os fatos e 
acontecimentos, em especial, sobre a manutenção de tudo o que foi discutido durante a fase de comunicação dos riscos.
5.6 Recomendações Finais sobre a Implantação da Filosofia e Plano de Comunicação
Em linhas gerais, o processo que deverá ser seguido no momento do lançamento da campanha, seja o da “Comuni-
cação e Consulta”, seja o da “Comunicação Dirigida”, deve levar em conta as seguintes fases:
• Definir o tema geral da campanha e a estrutura para a necessidade do momento.
• Preparar o cronograma de atividade e as fases de avaliação e revisão.
• Preparar as peças definidas para o lançamento – criação e produção.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
197 
O teaser deve ser divulgado alguns dias antes do lançamento da campanha. Nesse momento, os grupos de comuni-
cação iniciam seu trabalho de relacionamento com os demais funcionários visando estimular as discussões sobre o 
que foi divulgado na forma do teaser. 
O grupo deve manter esse clima por uns dois ou três dias. Durante esse período, a equipe de comunicação deve sol-
tar um e-mail ou colocar uma informação adicional nos meios de comunicação internos para estimular a curiosidade. 
No dia do lançamento, a empresa deve amanhecer com os cartazes e banners todos colocados e inicia-se a campa-
nha com informações mais detalhadas do tipo como e o que é a campanha, seus objetivos, atividades, etc.
Nesse dia pode-se fazer um evento – café da manhã, almoço, um grande encontro ou encontros menores por áreas, 
porexemplo. Os veículos como blog, jornal e quadro mural vão sendo utilizados com informações que vão alimentando 
as atividades e os debates sobre os temas definidos no roteiro do programa.
Os grupos de comunicação começam a fazer as reuniões, outras ações vão sendo implementadas de acordo com a 
evolução do programa. 
As avaliações e as correções de rumo devem ser realizadas periodicamente, pelo menos a cada semana.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
198 
5.6.1 Timeline de Implantação da Campanha (Exemplo)
Figura 52 – Timeline de Implantação da Campanha
199 
11. CONTEXTO 
ESTRATÉGICO
11.1 geNeralidades 
Ao estabelecer o contexto, a organização articula seus objetivos e define os parâmetros externos e internos a serem 
levados em consideração ao gerenciar riscos, e estabelece o escopo e os critérios de risco para o restante do processo. 
Portanto, temos três contextos a serem definidos e alinhados: 
- O Contexto Empresarial – Interno;
- O Contexto Externo – Cenários;
- O Contexto de Gestão de Riscos: Política e processo de gestão de risco.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
200 
11.2 eNteNder Os ObjetivOs estratégicOs e as estratégias
ConteXto emPresAriAl – Ambiente interno
A primeira etapa diz respeito a compreensão das estratégias e dos objetivos estratégicos e organizacionais da empre-
sa, compreendendo sua cadeia de valor e respectivos Fatores Críticos de Sucesso. É importante que a área de gestão 
de riscos esteja alinhada com os objetivos estratégicos da empresa, seguindo as premissas da ISO 31000:2018 e do 
COSO ERM 2017, entendendo suas políticas, objetivos, missão, valores e estratégias implementadas na organização. 
Com base na missão estabelecida, a administração planeja objetivos principais, seleciona as estratégias e estabelece 
outros planos a serem adotados por toda a organização, alinhados com a estratégia e a ela vinculados. Embora muitos 
objetivos sejam específicos a uma determinada organização, alguns deles são amplamente compartilhados. Por exem-
plo, os objetivos comuns a praticamente todas as entidades são alcançar e manter uma reputação favorável tanto no 
segmento empresarial quanto com seus clientes, fornecer informações confiáveis às partes interessadas e operar em 
conformidade com as leis e a regulamentação. A área de gerenciamento de riscos deve estar alinhada com todas estas 
premissas estratégicas da organização, por esta razão do entendimento estratégico da empresa. 
A ISO 31000, descreve sobre o ambiente interno das empresas o seguinte: O contexto interno é algo dentro da organização 
que pode influenciar a maneira pela qual uma organização gerenciará os riscos. Convém que ele seja estabelecido, por que: 
a) A gestão de riscos ocorre no contexto dos objetivos da organização; 
b) Convém que os objetivos e os critérios de um determinado projeto, processo ou atividade 
sejam considerados tendo como base os objetivos da organização como um todo;
c) Algumas organizações deixam de reconhecer oportunidades para atingir seus objetivos estratégicos, de projeto 
ou de negócios, o que afeta o comprometimento, a credibilidade, a confiança e o valor organizacional. 
É necessário compreender o contexto interno. Isto pode incluir, mas não está limitado: 
- À governança, estrutura organizacional, funções e responsabilidades; 
- Às políticas, objetivos e estratégias implementadas para atingi-los; 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
201 
- Às capacidades, entendidas em termos de recursos e conhecimento (por exemplo, 
capital, tempo, pessoas, processos, sistemas e tecnologias); 
- Aos sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais); 
- Às relações com as partes interessadas internas, e suas percepções e valores;
- Às normas, diretrizes e modelos adotados pela organização;
- À forma e extensão das relações contratuais.
Para isso sugerimos que o gestor disponha de um checklist com o objetivo de melhor identificar as variáveis que 
compõem o contexto empresarial. Abaixo uma sugestão genérica, a título de exemplo: 
1. A Empresa atua em qual segmento? Quais são os seus produtos e/ou serviços?
2. Atualmente, qual é a posição que da Empresa ocupa no ranking de seu segmento de atuação?
3. Quais são os concorrentes diretos da Empresa? E os indiretos?
4. Quais são os fornecedores chave para da Empresa?
5. Quais são os objetivos estratégicos de médio prazo? 
6. A Empresa dispõe de Código de Conduta ou outras políticas relativas às práticas de negócio (valores éticos)?
7. Os colaboradores conhecem e entendem a(s) política(s) existentes na Empresa?
8. A Empresa pratica alguma política de incentivo para atingir suas metas? Ex.: Bônus para colaboradores.
9. Há algum meio de monitoramento que tenha por finalidade verificar a 
efetiva prática da(s) política(s) existente(s) na Empresa?
10. Atualmente, qual é a estrutura organizacional da Empresa (Organograma)?
11. O Organograma geral atende às necessidades de negócio da Empresa? Caso 
não, qual a necessidade que julga necessária e por quê?
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
202 
12. Considerando a estrutura organizacional apresentada quais são as áreas consideradas como 
“áreas chave” e respectivas atividades críticas em termos de faturamento?
13. A Estrutura Organizacional da Empresa é descentralizada, semi-integrada ou de sistema integrado?
Podemos dar como exemplo a BRASUCA e entender os objetivos estratégicos e as estratégias:
• Executante: área de Riscos, Controle, Planejamento Estratégico, Auditoria, outras;
• Envolvido: diretoria, dois membros do Conselho de Administração, Área de 
Riscos, Controle, Planejamento Estratégico, Auditoria,
• Periodicidade: anualmente, ou caso ocorra alguma mudança significativa;
• Entrega (produto): registro de entendimento dos objetivos estratégicos e estratégias;
• Descrição (como): necessário o entendimento profundo dos objetivos estratégicos e as estratégias 
que a BRASUCA traçou, tendo em vista alinhar estes com o apetite aos riscos quando da sua 
identificação. O entendimento passa para responder as seguintes perguntas: 
- Qual a missão, visão e valores?
- Quais são os serviços e ou atividades essenciais?
- Qual é o público-alvo (foco)?
- Quais são as oportunidades e ameaças que existem no ambiente?
- Quais as forças e fraquezas que temos na organização?
- Quais os objetivos?
- Quais são as iniciativas estratégicas para atingir os objetivos?
Com estas respostas a área de gestão de riscos possui plena condição de ter o entendimento das estratégias e dos 
seus objetivos a serem alcançados. 
A seguir, a figura ilustrativa do entendimento do contexto interno e externo:
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
203 
Figura 53 – Contexto Externo e Interno
ConteXto eXterno – Cenários 
O contexto externo é o ambiente externo, onde estão inseridas as variáveis incontroláveis. Entender o contexto ex-
terno é importante para entender quais são as variáveis que podem dificultar ou expor os objetivos estratégicos da 
organização e entender as interconectividades entre as variáveis incontroláveis. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
204 
O contexto externo pode incluir, mas não está limitado a: 
- Os ambientes culturais, social, político, legal, regulamentar, financeiro, tecnológico, econômico, 
natural e competitivo, quer seja internacional, nacional, regional ou local; 
- Os fatores–chave e as tendências que tenhamimpacto sobre os objetivos da organização;
- As relações com as partes interessadas externas e suas percepções e valores. 
Podemos exemplificar os componentes do contexto externo: 
- Localização física da empresa: posição geográfica da instalação (rios, estradas, elevação, condições climáticas, etc.);
- Configuração socioeconômica da área em que a empresa está instalada (população 
vizinha, status social, área urbana/rural, instalações policiais);
- Situação político-financeira do país (legislação pertinente, identificação e análise dos órgãos 
que legitimam, planos governamentais e política econômica e financeira).
A gestão de Riscos poderá buscar a informação destas variáveis, de maneira direta ou indireta, através de duas fontes:
- Fontes Primárias: são as fornecidas no ambiente da empresa (troca de informações).
- Fontes Secundárias: fornecidas pelos órgãos governamentais (colaboração integrada).
O nível de detalhamento e profundidade dependerá da necessidade e da influência do impacto sobre a empresa.
A natureza do ambiente muda com muita rapidez, levando a alterações políticas e sociais. Essa rapidez exige da 
empresa capacidade impressionante de resposta e adaptação. Como exemplo de problemas ambientais externos, 
podemos citar:
- Há previsões de recessão econômica no país, o que aumentará o desemprego. Qual será a 
influência desse fato sobre a empresa? Aumentam as possibilidades de saque, furto, roubo, 
mudança de relacionamento? A empresa está preparada para receber esse impacto?
- As condições climáticas podem afetar a empresa? Ela está preparada para reagir a 
uma inundação? Existe plano de emergência com essa finalidade?
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
205 
- Uma guerra pode ocorrer no Oriente Médio? Qual o impacto na minha empresa, uma multinacional, 
que apoia a intervenção militar? Há possibilidade de sabotagem ou ameaça de bomba? 
Essas indagações devem ser analisadas e seu impacto para a empresa projetado. A gestão de riscos abrange toda 
a conjuntura ambiental, devendo avaliar todos os seus ângulos.
Nessa fase pode-se empregar a ferramenta de construção de cenários utilizando a Matriz de Impactos Cruzados para 
entender a motricidade das variáveis externas nos objetivos estratégicos. 
11.3 eNteNder as iNcertezas críticas
O contexto estratégico, ambiente externo, poderá também ser entendido através das Incertezas Críticas, exemplifica-
do pela empresa Brasuca:
• Periodicidade: Anualmente, ou caso ocorra alguma mudança significativa;
• Entrega (produto): Matriz de Incertezas Críticas;
• Descrição (como): Incertezas Críticas são os eventos com alto grau de volatidade. As incertezas no ambiente 
não são iguais, umas podem ser previsíveis, com tendências e outras totalmente disruptivas e com impactos 
na BRASUCA altos. Estes impactos podem ser tanto positivos, geram oportunidades, como negativos, gerando 
ameaças. Outro ponto importante é que estas incertezas críticas podem também serem ou riscos ou fatores 
de riscos. Os analistas devem fazer uma avaliação quando da identificação dos riscos estratégicos. 
Por esta razão é que a BRASUCA deve concentrar-se nos extremos críticos, evoluções altamente incertas e de alto 
impacto potencial. Para isso a área de riscos deverá conduzir uma reunião do tipo “brainstorming”, com o objetivo de 
identificar e classificar estas incertezas críticas. Os critérios para a classificação são: 
Atribuir a Probabilidade ao Evento significa dizer o quanto ele é imprevisível ou incerto de acontecer. Deve-se utilizar 
a escala de zero por cento a cem por cento, dividida em cinco níveis, conforme tabela 13. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
206 
Probabilidade
0%
25%
50%
75%
100%
Tabela 13 – Porcentagens atribuídas na Probabilidade
Atribuir Impacto Potencial ao Evento significa dizer o quanto ele é “importante”, ou “relevante” para o estudo que 
está sendo conduzido. Deve-se utilizar uma escala de 1 (um) a 5 (cinco) - quanto maior for o impacto potencial sobre 
os objetivos estratégicos e a estratégia da BRASUCA, maior deverá ser o valor a ele atribuído.
Pontuação Impacto Potencial
1 Muito Leve
2 Leve
3 Moderado
4 Severo
5 Massivo
Tabela 14 – Pontuação atribuída ao Impacto
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
207 
Após a classificação do evento em incerteza crítica, pode-se colocar em uma matriz, denominada Matriz de Incertezas 
Críticas, visando monitorar se estas incertezas críticas podem ter condições se materializarem. A Matriz de Incertezas 
Críticas fica assim formatada:
Figura 54 – Matriz de Incertezas Críticas
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
208 
Abaixo um exemplo de Incertezas Críticas listadas por uma reunião do tipo “brainstorming”:
N0 Descrição Incerteza Nível de Incerteza Impacto Nível de Impacto
1 Falta de autonomia admnistrativa e financeira 1 Nenhuma Incerteza 3 Moderado
2
Coincidência de início e término 
de mandatos de Diretores
1 Nenhuma Incerteza 4 Severo
3
Falta de autonomia admnistrativa e 
de gestão e de pessoas
1 Nenhuma Incerteza 3 Moderado
4
Perda da independência decisória ou ser 
enfraquecida em virtude de ingerência política e 
de leis excessivas e conflitantes
3 Média Incerteza 5 Massivo
5 Excesso de judicialização dos atos administrativos 3 Média Incerteza 4 Severo
6 Desvirtuamento do PL das agências 5 Muito Incerto 5 Massivo
7
Invasão de competência entre 
órgãos da administração pública
3 Média Incerteza 4 Severo
8 Atuação excessiva dos órgãos de controle 3 Média Incerteza 4 Severo
9 Instabilidade pólitica 3 Média Incerteza 4 Severo
10 Possibilidade de captura pelos “stakeholders” 3 Média Incerteza 5 Massivo
11 Imprevisibilidade do processo legislativo 3 Média Incerteza 5 Massivo
12
Impacto na mudança climática na segurança 
energética e no mercado de energia elétrica
4 Incerto 4 Severo
13 Perdas de servidores 3 Média Incerteza 5 Massivo
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
209 
N0 Descrição Incerteza Nível de Incerteza Impacto Nível de Impacto
14 Surgimento de novas tecnologias no setor elétrico 2 Baixa Incerteza 4 Severo
15 Melhoria no ambiente de negócio 2 Baixa Incerteza 3 Moderado
16
Desestatização levando a melhor 
resposta aos sinais
2 Baixa Incerteza 3 Moderado
17
Ambiente político favoravel ao 
modelo de agência reguladora
2 Baixa Incerteza 4 Severo
18 Melhor interlocução com agentes públicos 3 Média Incerteza 3 Moderado
19
Ambiente institucional favorável 
ao diálogo e à colaboração
2 Baixa Incerteza 4 Severo
20
Maior interação com o poder legislativo e 
executivo na elaboração de legislação
4 Incerto 5 Massivo
21
Reforma do modelo do setor elétrico 
(CP33/MME e outros)
3 Média Incerteza 5 Massivo
22 Alteração do rol de competências 3 Média Incerteza 5 Massivo
Tabela 15 – Exemplo de Incertezas Críticas
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
210 
Abaixo um exemplo da empresa BRASUCA da Matriz de Incertezas Críticas:
Cor Descrição
4
Perda da independência decisória 
ou ser enfraquecida em virtude 
de ingerência política e de leis 
excessivas e conflitantes
5
Excesso de judicialização dos 
atos administrativos
6
Desvirtuamento do PL 
das agências
7
Invasão de competência entre 
órgãos da administração pública
8
Atuação excessiva dos órgãos 
de controle
9 Instabilidade pólitica
10
Possibilidade de captura 
pelos “stakeholders”
11
Imprevisibilidade do 
processo legislativo
12
Impacto na mudança climática 
na segurança energética e no 
mercadode energia elétrica
13 Perdas de servidores
20
Maior interação com o poder 
legislativo e executivo na 
elaboração de legislação
21
Reforma do modelo do setor 
elétrico (CP33/MME e outros)
22 Alteração do rol de competências
Figura 55 – Matriz de Incertezas Críticas
As incertezas plotadas no quadrante vermelho, são as consideras as de maior criticidade.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
211 
11.4 eNteNder O apetite aO riscO da empresa
A definição do apetite ao risco, conforme comentado neste livro, pode ser qualitativo, como quantitativo. 
Se a empresa BRASUCA optar pelo apetite qualitativo, a métrica utilizada será a da Matriz de Risco possuir os 
três níveis de criticidade para ousar em atingir seus objetivos. Como exemplo podemos ilustrar a BRASUCA com a 
seguinte Matriz:
Impacto
MUITO LEVE 
1
LEVE 
2
MODERADO 
3
SEVERO 
4
MASSIVO 
5
P
ro
b
a
b
il
id
a
d
e
ELEVADA 
5 2 2 3 4 4
MUITO ALTA 
4 1 2 2 3 4
ALTA 
3 1 2 3 3
MÉDIA 
2 1 2 2
BAIXA 
1 1 2 2
1 Quadrante I Moderação – Monitoramento 2
Quadrante II 
Apetite ao Risco 3
Quadrante III 
Tolerância ao Risco 4
Quadrante IV 
Capacidade ao Risco
Figura 56 – Matriz de Probabilidade x Impacto
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
212 
Se a BRASUCA optasse pela métrica quantitativa, esta poderia utilizar os seguintes parâmetros:
Área de Negócio escolhida Métricas Quantitativas – Exemplos 
1. Divisas em moedas estrangeira Não perder até 5% do faturamento por câmbio executado
2. Crédito – órgãos públicos 
Pagamentos atrasados por mais de 90 dias, 
não podendo exceder 10% do faturamento
3. Queda de preços no mercado de produtos Cota do mercado – não podendo ser inferior a 20%
4. Clientes – capacidade de negociação Concentração máxima de 35% 
5. Tecnológico – interrupção Índice de disponibilidade de 92% 
6. Produto – vencimento Máximo de 2,5% no inventário anual 
7. Margem de Lucratividade Máximo de 2,5% anual 
Tabela 16 – Métrica Quantitativa por Área Escolhida
Com as métricas acima, as empresas podem, de forma direta realizar o alinhamento da estratégia com seu apetite 
ao risco, tendo em vista o quanto aceita perder e ou ousar para atingir seus objetivos. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
213 
11.5 pOlítica e prOcessO de gestãO de riscOs
11.5.1 iNtrOduçãO
O contexto da gestão de riscos diz respeito a estrutura organizacional da área, ou seja, como que a empresa pretende 
gerenciar seus riscos, quais serão os critérios e metodologias a serem utilizadas. Isto tudo deve estar formalizada nos 
documentos: Política de Gestão de Riscos, que fornece as diretrizes estratégicas e o Processo de Gestão de Riscos, 
que fornece a metodologia com todo os critérios, descrevendo com detalhe como realiza a gestão de riscos. 
A ISO 31000:2018 descreve que o contexto do processo de gestão de riscos irá variar de acordo com as necessida-
des de cada organização. Ele pode envolver, mas não está limitada: 
- À definição das metas e objetivos das atividades de gestão de riscos; 
- À definição das responsabilidades pelo processo e dentro da gestão de riscos; 
- À definição do escopo, bem como da profundidade e da amplitude das atividades da gestão 
de riscos a serem realizadas, englobando inclusões e exclusões específicas; 
- À definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e localização; 
- À definição das relações entre um projeto, processo ou atividade específicos 
e outros projetos, processos ou atividades da organização; 
- À definição das metodologias de avaliação de riscos; 
- À definição da forma como são avaliados o desempenho e a eficácia na gestão dos riscos; 
- À identificação e especificação das decisões que têm que ser tomadas;
- À identificação, definição ou elaboração dos estudos necessários, de sua extensão e objetivos, e dos recursos requeridos 
para tais estudos. A atenção para estes e outros fatores pertinentes pode ajudar a assegurar que a abordagem adotada para 
a gestão de riscos é apropriada às circunstâncias, à organização e aos riscos que afetam a realização de seus objetivos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
214 
11.5.2 critériOs de riscO 
Convém que a organização defina os critérios a serem utilizados para avaliar a significância do risco. Os critérios devem 
ser definidos no início de qualquer processo de gestão de riscos e sejam analisados criticamente de forma contínua. 
O processo a ser escolhido depende das características da empresa, não se limitando, especificamente a nenhuma 
métrica e ou metodologia. A ISO 31000 cita os seguintes aspectos:
- A natureza e os tipos de causas e de consequências que podem ocorrer e como elas serão medidas; 
- Como a probabilidade será definida; 
- A evolução no tempo da probabilidade e/ou consequência(s); 
- Como o nível de risco deve ser determinado; 
- Os pontos de vista das partes interessadas; 
- O nível em que o risco se torna aceitável ou tolerável, e se convém que combinações de múltiplos riscos sejam 
levadas em consideração e, em caso afirmativo, como e quais combinações convém que sejam consideradas.
O ideal é a definição clara e objetiva através de um documento estruturado, que deve ser a Política de Gestão de 
Riscos. Na experiência da Brasiliano INTERISK sugerimos que a empresa tenha dois documentos: 
- Uma política, onde contém as diretrizes da diretoria e/ou conselho, já determinando 
quem é o dono dos riscos e a estrutura apropriada (modelo no item 11.4);
- Um processo descrito com detalhe sobre a metodologia a ser utilizada pela empresa, contendo os seguintes tópicos:
1. Objetivos.
2. Definições e Conceitos dos termos a serem utilizados.
3. Descrição do Processo de Gestão e Análise de Riscos:
 3.1 Identificação dos Riscos – Ferramenta;
 3.2 Análise e Avaliação dos de Riscos Inerentes – Critérios de Probabilidade e Impacto, Matriz e Nível de Riscos;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
215 
 3.3 Análise e Avaliação dos Riscos Residuais – Avaliação dos Controles, 
 Critérios de Probabilidade e Impacto, Matriz e Nível de Riscos.
4. Respostas aos Riscos.
5. Priorização das ações.
6. Monitoramento e Auditoria.
7. Anexos – Dicionários de Riscos – Conceituação dos riscos que a empresa irá utilizar.
PolítiCA de gestão de risCos CorPorAtivos dA brAsuCA
i. objetivo.
Estabelecer princípios e diretrizes-chave que pautam a atuação nas questões de Riscos Corporativos.
II. CAmPo de APliCAção.
Esse procedimento aplica-se a todas as unidades de negócio e áreas corporativas.
III. resPonsAbilidAdes e AutoridAdes.
Os responsáveis envolvidos na gestão de riscos corporativos são:
1. Diretores;
2. Comitê de Gestão de Riscos;
3. Gerência de Riscos Corporativos/Gestão da Qualidade;
4. Gestores/Gerentes;
5. Auditoria Interna;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
216 
6. Facilitadores das Análises de Riscos Corporativos;
7. Funcionários/Colaboradores.
1. Diretores BRASUCA
• Analisar e decidir sobre o(s) risco(s) a ser(em) assumido(s);
• Inserir os itens de monitoramento previstos neste documento nas Reuniões de Performance das áreas sob sua gestão;
• Indicar participantes para compor o Comitê de Riscos, a fim de acompanhar e apoiar o Processo 
de Gestão de Riscos Corporativos, evitando possíveis conflitos de interesse;
• Garantir o cumprimento dos Planos de Ação das áreas sob sua responsabilidade, tomando 
providências quanto ao não cumprimento das ações dentro do prazo previsto;
• Disponibilizarrecursos necessários para o Sistema de Gestão de Riscos Corporativos;
• Apoiar e incentivar o compromisso com o Processo de Gestão de Riscos Corporativos;
• Participar das reuniões análises críticas anuais das Análises de Riscos das unidades sob a sua 
responsabilidade, bem como verificar o cumprimento das recomendações/sugestões efetuadas.
2. Comitê de Gestão de Riscos
• Acompanhar a gestão integrada de riscos, validando e revisando periodicamente a matriz de riscos da 
BRASUCA, assim como a estrutura de controles internos capazes de minimizar a ocorrência de riscos;
• Dar apoio às ações para o tratamento dos riscos, alocando recursos para tal fim e reportando-os 
à Diretoria Executiva e aos Conselhos de Administração e Fiscal;
• Avaliar o desempenho dos indicadores de riscos, de modo a alinhá-los aos objetivos estratégicos da empresa;
• Prover o alinhamento de assuntos estratégicos e operacionais no processo de gestão integrada de riscos;
• Reportar à Diretoria e Conselhos de Administração e Fiscal os resultados do processo de gerenciamento dos riscos;
• Revisar a Política de Gestão de Riscos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
217 
3. Gerência de Riscos Corporativos/Gestão da Qualidade
• Apoiar o Comitê de Riscos;
• Implementar e gerenciar o Sistema de Gestão de Riscos Corporativos, assegurando a execução dos processos de forma eficaz;
• Assessorar e orientar as áreas, visando à divulgação e a aplicação das práticas do 
Processo de Gestão de Riscos Corporativos em todas as suas unidades;
• Manter permanente diálogo com todas as unidades, apoiando a melhoria 
contínua do Processo de Gestão de Riscos Corporativos;
• Assegurar que as estruturas de controles e gestão de riscos funcionem efetivamente;
• Avaliar o estado atual da gestão de riscos, fornecendo uma visão que auxilie a administração 
a identificar atuais e futuros riscos e oportunidades associadas;
• Analisar a performance de gerenciamento de riscos;
• Verificar se o tratamento dos riscos e o nível organizacional estão adequadamente endereçados;
• Aprimorar a eficiência na gestão de riscos;
• Direcionar a priorização dos riscos considerando a possibilidade de retorno, promovendo a alocação de 
recursos para o tratamento de riscos associados ao aumento do valor agregado aos acionistas;
• Fornecer conhecimento e habilidades técnicas para o tratamento de riscos-chave;
• Participar no desenho e na definição de controles internos, bem como dar suporte 
na condução e na interpretação de avaliações dos riscos; 
• Reportar as ações preventivas e contingenciais;
• Investigar as alegações de impropriedades cometidas pelos empregados, ou contra a Empresa. 
Esse papel diferencia a Gerência de Riscos Corporativos, uma vez que ela não tem responsabilidade de estabelecer 
e dirigir as operações do negócio e o seu foco primário é monitorar e aprimorar a eficácia das atividades de gestão 
dos riscos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
218 
4. Gestores da BRASUCA/Gerentes 
• Gerir, implementar e manter atualizada a Análise de Riscos nas áreas e nos 
contratos sob sua responsabilidade nos termos deste documento;
• Validar as Análises de Riscos e o plano de ação referente, das áreas sob sua responsabilidade;
• Repassar para o Diretor responsável pela área, o(s) Risco(s) que não puder(em) ser 
eliminado(s) ou reduzido(s), para a análise de assumir o(s) Risco(s);
• Indicar facilitador responsável pelas Análises de Riscos das áreas sob sua responsabilidade;
• Manter seu pessoal capacitado na realização das Análises de Riscos e cientes dos 
critérios de criticidade/significância e priorização dos cenários avaliados;
• Coordenar as análises críticas anuais das Análises de Riscos da unidade sob a sua responsabilidade, 
bem como verificar o cumprimento das recomendações/sugestões efetuadas;
• Garantir o cumprimento das ações estabelecidas em plano de ação dentro dos 
prazos programados, das áreas sob sua responsabilidade;
• Inserir os itens de monitoramento do Processo de Gestão de Riscos Corporativos 
nas suas Reuniões de Performance com equipe e Diretoria;
• Assegurar à Diretoria os recursos necessários (financeiros, humanos, materiais e de sistema) para propiciar 
o gerenciamento efetivo dos riscos identificados nas áreas e nos contratos sob sua responsabilidade;
• Atender e seguir as diretrizes e procedimentos da relacionadas à contratação e gestão de fornecedores e contratadas.
• Os gestores são responsáveis pela detecção e prevenção de fraude. Qualquer membro do time gerencial 
deve estar alerta para qualquer indicação de irregularidade dentro de sua área de responsabilidade. Em 
adição, tem a responsabilidade de reportar imediatamente os atos suspeitos para o Gestor de Riscos 
Corporativos, não devendo tentar conduzir pessoalmente investigações, entrevistas ou interrogatórios.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
219 
O não cumprimento das ações previstas no Plano de Ação dentro do prazo estabelecido será informada ao Diretor 
responsável da área para as devidas providências, a fim de decidir sobre evitar, assumir ou reduzir o(s) risco(s) a 
níveis aceitáveis.
5. Auditoria Interna da BRASUCA
• Auditar os controles visando avaliar o funcionamento efetivo através de testes por amostragem dos riscos nos 
processos, fraude, físicos, patrimoniais, ambientais, de informações, saúde e segurança do trabalho;
• Auditar os atendimentos legais os quais serão identificados no processo de Gestão de Riscos Corporativos.
6. Facilitadores de Análise de Riscos Corporativos
• Compartilhar ao seu gestor as mudanças ou propostas na organização, em suas atividades ou materiais;
• Compartilhar ao seu gestor as modificações no Processo de Gestão de Riscos Corporativos, incluindo 
mudanças temporárias, bem como seus impactos nas operações, nos processos e nas atividades;
• Comunicar e treinar a unidade na análises de riscos, das áreas sob sua responsabilidade; 
• Acompanhar a implementação das ações previstas no plano de ação oriundas 
das análises de riscos, das áreas sob sua responsabilidade;
• Inserir os itens de monitoramento nas Reuniões de Performance da equipe e com o gestor;
• Informar nas suas Reuniões de Performance, ou quando necessário, ao gestor (das áreas sob sua 
responsabilidade) sobre as ações não cumpridas ou cumpridas em atraso do(s) Plano(s) de ação, 
assim como pontos que possam comprometer o Processo de Gestão de Riscos Corporativos;
• Apresentar os resultados das análises de riscos e o plano de ação ao gestor da área para sua ação;
• Atualizar as análises de riscos, das áreas sob sua responsabilidade, sempre que necessário;
• Conduzir as análises de riscos da unidade nos termos deste documento;
• Controlar toda a documentação relativa às análises de riscos da unidade ou área.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
220 
7. Funcionários/Colaboradores
• Conhecer as análises de riscos da sua unidade de trabalho;
• Cumprir as ações, sob sua responsabilidade, previstas no Plano de Ação dentro do prazo estabelecido; 
• Participar dos programas e das campanhas da relacionadas ao tema;
• Comunicar qualquer desvio ou ação de melhoria que possa existir nas análises de riscos.
Todos os funcionários têm a responsabilidade de relatar possíveis suspeitas ou informações a eles fornecidas sobre 
a possibilidade de atividades fraudulentas ou corruptas por parte de qualquer executivo, funcionário, fornecedor ou 
qualquer outra parte associada à BRASUCA. Qualquer pessoa que possui embasamento razoável para acreditar que 
atos fraudulentos ou corruptos tenham ocorrido tem a responsabilidade de reportar imediatamente os atos suspeitos 
e nãodeve tentar conduzir pessoalmente investigações, entrevistas ou interrogatórios.
IV. ConsiderAções gerAis.
Documentos referenciados:
• ABNT ISO GUIA 73:2009 – Gestão de Riscos – Vocabulário.
• ABNT NBR ISO 31.000:2009 – Gestão de Riscos – Princípios e Diretrizes.
• ABNT NBR ISO 31.010:2012 – Gestão de Riscos – Técnicas para o Processo de Avaliação de Riscos.
v. termos e definições.
Funcionários/Colaboradores: todos aqueles que possuem vínculo empregatício.
Facilitadores: representantes das áreas indicados pelos gestores, responsáveis pelas Análises de Riscos de suas áreas.
Gestores: ocupantes de cargo de liderança, tais como Gerentes, Coordenadores e Supervisores que tenham equipes 
sob sua gestão.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
221 
vi. desCrição do ProCesso dA brAsuCA
1. Princípios
A Política de Gestão de Riscos Corporativos possui um processo de Gestão e Análise de Riscos e está baseado em 
práticas nacionais e internacionais, utilizando o conceito de gestão retroalimentativa, ciclo do PDCA com monitoramen-
to do sistema de gestão por indicadores e verificação por análise crítica, gerando melhoria contínua. 
Este processo deve ser conduzido pelos gestores e respectivos colaboradores, aplicado no estabelecimento de 
estratégias formuladas para identificar, em todas as áreas, eventos em potencial, capazes de afetar tanto os objeti-
vos estratégicos como os operacionais, e administrar os riscos para mantê-los compatíveis com o apetite definido, 
e possibilitar garantia razoável do cumprimento dos objetivos da Empresa.
2. Compromissos
Por meio desta Política de Gestão de Riscos Corporativos, estabelece como compromissos:
• Proporcionar um ambiente saudável e seguro às pessoas, ao patrimônio e às suas operações; 
• Atender aos requisitos dos produtos e serviços, mitigar os riscos com impactos significativos aos 
processos, ao meio ambiente, bem como os perigos e os riscos no trabalho, patrimônio, riscos de fraude e 
informações, atendendo à legislação e outros requisitos subscritos que se relacionem à operação;
• Prevenir a poluição do ar, da água e do solo, e destinar adequadamente seus resíduos;
• Promover a melhoria contínua do desempenho do Sistema de Gestão de Riscos Corporativos; 
• Garantir a interação entre os envolvidos disponibilizando informação por meio de eficazes canais de comunicação;
• Obrigações em cumprir as leis e regulamentos locais, nacionais e internacionais, 
normas e políticas interna, aplicáveis aos seus negócios;
• Treinar, conscientizar e desenvolver a competência em gestão de riscos dos empregados;
• Incentivar a aplicação de tecnologias na melhoria contínua dos aspectos de riscos nas suas instalações e operações;
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
222 
• Fornecer condições para que a Gerência de Riscos Corporativos possa contribuir com a 
BRASUCA de forma a alcançar com sucesso sua missão e atingir sua visão.
A Política de Gestão de Riscos Corporativos ajuda os gestores a tratar com eficácia as incertezas, mitigando riscos, 
a fim de melhorar a capacidade de alcançar os objetivos. O reconhecimento dos riscos em processos, fraude, patrimo-
niais, ambientais, de informações, pessoais, trabalho e de atendimentos legais, fator inerente no processo decisório, 
requer que a administração analise as informações em relação aos ambientes interno e externo, utilize seus recursos, 
bem como ajuste as atividades frente aos riscos levantados e analisados.
3. Processo de Gestão de Riscos
O Processo de Gestão de Riscos Corporativos possui como base o Framework da Norma ISO 31000 - Gestão de Riscos. 
A BRASUCA não admite riscos no quadrante vermelho e nível de risco no nível 3 e 4, são considerados como inacei-
táveis devendo possuir ações para tratamento por parte dos gestores. Caso não ocorra a resposta ao risco dentro do 
prazo estimado para tratamento deste, a pendência existente será encaminhada ao Diretor da área para providências.
3.1. Risco Assumido 
O risco é assumido quando o Diretor da área responsável pelo processo ou atividade decide assumir, tendo em vista 
relação custo benefício ou por questões estratégicas, no entanto, é contra a Política de Riscos BRASUCA a possibilida-
de de assumir riscos no quadrante vermelho e nível de risco 3 e 4.
3.2. Revisão do Processo de Gestão de Riscos 
As áreas devem revisar seus riscos, através do Processo de Gestão de Riscos Corporativos descritos nesta política, 
sempre que necessário ou em um período máximo de doze meses, com o objetivo de monitorar os riscos e os fatores 
de riscos do ambiente interno e externo.
A implementação do plano de ação da área será monitorada quinzenalmente pela área de Gestão de Riscos 
Corporativos.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
223 
4. Fraude e Corrupção
A BRASUCA tem tolerância zero à prática e à ocultação de atos fraudulentos ou ilegais. Alegações de tais atos 
serão investigados até sua conclusão lógica, incluindo ações legais, processos criminais e ações disciplinares onde 
houver garantia.
A equipe da Gestão de Riscos Corporativos tratará com confidencialidade toda informação recebida e protegerá a 
reputação dos questionados, restringindo o acesso a toda informação relacionada às alegações e à investigação so-
mente àqueles que legitimamente necessitam ter conhecimento. Onde uma investigação concluir que a ocorrência de 
um ato fraudulento é provável, o Gerente de Gestão de Riscos Corporativos informará ao gestor superior da natureza a 
possível extensão das atividades.
vii. registro dA oPerAção.
Identificação Armazenamento Proteção Recuperação Tempo de retenção Descarte
Software
Tabela 17 – Registro da Operação
viii. históriCo dAs revisões.
Data da Revisão Anterior Data da Revisão Atual Elaborador Alterações
26/11/17 26/03/18 Brasiliano INTERISK / Gestão da Qualidade Emissão inicial
Tabela 18 – Histórico das Revisões
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
224 
11.6 ideNtiFicaçãO dOs prOcessOs críticOs
11.6.1 iNtrOduçãO
O BIA - Business Impact Analysis, ou Análise de Impacto no Negócio é uma ferramenta que possibilita avaliar proces-
sos, áreas ou atividades e inseri-los dentro de uma escala de criticidades visualizada através de uma Matriz. 
O objetivo de realizar o BIA em primeiro lugar é o gestor enxergar qual é o processo/atividade/área considerada 
crítica ou estratégica para a empresa e montar o seu plano de implantação ou de priorização para começar a gestão 
de riscos. Esta ferramenta vale para toda e qualquer tipo de disciplina de riscos, segurança corporativa por exemplo 
passa a enxergar qual área dentro da empresa a segurança tem que colocar maior foco de atuação. Em termos de 
processos, os gestores de cada departamento passam a visualizar quais processos são considerados estratégicos 
para o negócio. Desta maneira podem colocar maior foco, dar maior atenção, alocar maiores recursos na diminuição 
e mitigação dos riscos. É uma ferramenta que veio da área de tecnologia da informação, com o objetivo de identificar 
quais sistemas deveriam ter prioridade em termos de backup, prioridade para entrar em funcionamento, entre outros. 
A ISO 31010, Técnicas e Ferramentas de Análise e Avaliação de Riscos, selecionou o BIA para ser empregado na sele-
ção de consequências/impacto. O BIA tradicionalmente na área de TI é empregado com dois critérios, o do impacto e 
do tempo de retorno da operação (quanto tempo a empresa aguenta ficar sem o sistema?). Com base nestes critérios 
temos condições de elaborar uma escala de criticidade de sistemas. 
A Brasiliano INTERISK, aproveitou os dois macros critérios (impacto e tempo), já mundialmenteutilizados pelo BIA 
e implementou dentro de cada macro critério outros parâmetros com o objetivo de montar uma matriz em três níveis. 
Como resultado temos uma escala de processos/atividades/áreas considerados estratégicos e ou críticos para o 
negócio, podendo o gestor de cada área e o próprio gestor de riscos saber quais processos devem ser monitorados de 
forma mais constante. 
Portanto o BIA é uma ferramenta estratégica e holística no processo de gestão de riscos, pois direciona cada gestor, 
como se fosse uma bússola, para pilotar, monitorar os processos realmente essenciais.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
225 
11.6.2 critériOs dO bia
Para a análise de Impacto no Negócio são utilizados dois critérios de avaliação:
a) Impacto no Negócio: Qual impacto na empresa, que a inatividade de um determinado processo ou determinada 
área provocam? Vejam que a pergunta sempre está voltada para a empresa, nunca para o departamento ou 
gerência. O impacto tem que ser medido com o foco nos objetivos estratégicos da empresa. Para a avaliação 
do Impacto no Negócio são utilizados 4 subcritérios sendo eles: Imagem, Financeiro, Legal e Operacional.
b) Tempo de Tolerância: Tempo de tolerância é o tempo máximo que um processo, atividade ou área estudada 
podem ficar paralisados sem comprometer de forma significativa as operações da empresa. 
Avaliação do Impacto no Negócio: Para avaliar o impacto no negócio da empresa, os gestores deverão utilizar um 
peso diferenciado para cada subcritério, tendo em vista o nível de importância no contexto da empresa. Segue abaixo 
os quatro subcritérios com os respectivos pesos, sendo apenas uma sugestão:
Figura 57 – Critérios de Impacto
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
226 
Cada subcritério de impacto possui os seguintes critérios para pontuação. Estes critérios nas tabelas podem mudar, 
de acordo com as características de cada empresa. Segue abaixo: 
Imagem Pontuação
Repercussão prolongada ou não na mídia internacional: Possível boicote aos serviços, 
manifestações de massa. Preocupação pública/da mídia/política nacional e internacional. 
Restrição ou revogação de uma ou múltiplas licenças de funcionamento. Também tende a 
mobilizar grupos de ação. Atenção para reações de sindicatos de trabalhadores e de rede sociais 
e possíveis greves de funcionários. Impacto sobre o preço das ações/avaliação de crédito. 
Viabilidade financeira ameaçada. Repercussão internacional no ambiente organizacional.
05
Repercussão nacional: Preocupação pública/ da mídia/ política nacional. Repercussões junto 
a autoridades governamentais e representantes de nível nacional e/ou regional; possibilidade 
de medidas restritivas à organização. Restrição ou revogação de uma ou múltiplas licenças de 
funcionamento. Também tende a mobilizar grupos de ação. Atenção para possíveis reações de 
sindicatos de trabalhadores e de redes sociais. Repercussão nacional no ambiente organizacional.
04
Repercussão regional: Preocupação pública/da mídia/política dentro do estado. Pode haver 
envolvimento adverso de grupos de ação e/ou do governo local. Atenção para possíveis reações 
de sindicatos de trabalhadores e de redes sociais. Repercussão local no ambiente organizacional.
03
Repercussão local: Envolve algum interesse público local do munícipio e/ou alguma atenção 
política local e/ou mídia local, com possíveis aspectos adversos para as operações. Repercussão 
limitada no ambiente organizacional.
02
Sem repercussão: Situações nas quais não há o conhecimento do público, mas não existe 
interesse público. A ocorrência não ultrapassa os limites internos da organização e/ou de suas 
unidades.
01
Tabela 19 – Subcritério Imagem
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
227 
Financeiro Pontuação
Catastrófica: Acima de R$ 300.000,00 05
Crítica: De R$ 150.000,01 a R$ 300.000,00 04
Grave: De R$ 100.000,01 a R$ 150.000,00 03
Moderada: De R$ 50.000,01 a R$ 100.000,00 02
Leve: Até R$ 50.000,00 01
Tabela 20 – Subcritério Financeiro
Operacional Pontuação
Massivo: Impacta outros processos muito fortemente. 05
Severo: Impacta outros processos de forma direta. 04
Moderado: Impacta levemente outros processos. 03
Leve: Impacta somente o próprio processo. 02
Insignificante: Não impacta nada. 01
Tabela 21 – Subcritério Operacional
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
228 
Legal Pontuação
Catastrófica: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo descumprimento nos procedimentos 
ou legislação e ainda em que não há argumentos e provas para inibir a aplicação 
de multas ou pagamentos indenizações, havendo também possibilidade da 
suspensão das atividades da empresa, prisão de empregados. Uma ou múltiplas 
ações judiciais e multas de valor alto. Ação judicial muito séria incluindo ações 
populares. Encerramento legal das operações.
05
Crítica: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo descumprimento dos procedimentos 
ou legislação e ainda em que não há argumentos e provas para inibir a aplicação 
de multas ou pagamentos indenizações.
04
Graves: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo pequenas falhas nos procedimentos 
ou legislação e ainda em que há argumentos e provas para inibir parcialmente a 
aplicação de multas ou pagamentos indenizações.
03
Moderada: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, porém há argumentos e provas contundentes 
para inibir a aplicação de multas ou pagamento de indenizações.
02
Leve: Questões legais sem qualquer impacto. 01
Tabela 22 – Subcritério Legal
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
229 
Determinação do Nível de Impacto: O Nível de Impacto é o resultado da média ponderada dos quatro critérios de im-
pacto (multiplicação do peso versus a nota, dividido pela soma dos pesos), conforme demonstrado abaixo:
O resultado do nível de impacto é a tabela abaixo.
Grau de Impacto Escala Nível de Impacto
4,51 – 5,00 5 Massivo
3,51 – 4,50 4 Severo
2,51 – 3,50 3 Moderado
1,51 – 2,50 2 Leve
1,00 – 1,50 1 Muito leve
Tabela 23 – Resultado do Nível de Impacto
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
230 
Avaliação do Tempo de Tolerância: Como parte da avaliação do impacto, temos que estimar por quanto tempo o pro-
cesso, atividade ou área analisada pode ficar indisponível (“fora do ar”). O importante é avaliar o tempo necessário 
para que o processo volte a ser operacional, mesmo que em condições precárias. A escala de valoração para a tole-
rância de tempo é a seguinte:
Tempo em horas Pontuação
até 4 horas 6
Até 1 Dia – 24 horas 5
Até 2 Dias – 48 horas 4
Até 5 Dias – 120 horas 3
Até 10 Dias – 240 horas 2
Mais de 10 Dias – mais de 240 horas 1
Tabela 24 – Escala de Valoração para Tolerância de Tempo
11.6.3 matriz de prOcessOs críticOs – bia – busiNess impact aNalysis
O resultado do cruzamento do nível de impacto com o nível de avaliação da tolerância ao tempo é uma matriz, que 
define o nível de criticidade de cada processo/atividade/área, o que determina a escala Crítico, Moderado e Leve. Com 
base nesta matriz o gestor pode determinar a prioridade de implantação, monitoração e alocação de recursos. Temos 
então três níveis de classificação: 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
AE
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
231 
Críticos (HOT) Moderados (WARM) Leves (COLD)
Prioritário: Não pode parar, é 
primordial para as operações da 
empresa e deve possuir uma atenção 
especial dos gestores.
Segunda prioridade: Possui um 
nível de importância média para a 
empresa, devendo cada gestor ter 
um senso de urgência no tratamento. 
Terceira prioridade: Pode ser 
considerado como suporte para 
os processos, atividades ou áreas 
consideradas críticas e moderadas. 
Tabela 25 – Níveis de Classificação de Priorização
 Figura 58 – Matriz do BIA
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
232 
11.6.4 exemplO de bia de prOcessOs 
N0 Macroprocesso Processo
Relevância do Impacto Tolerância de Tempo Status
Imagem Financeiro Legislação Operacional Nota Média ponderada do impacto Nível de impacto Nível de tolerância Crítico / Moderado / Leve
4 3 2 2 11 - - - -
1 Administrativo Contas a Receber 4 5 1 4 41,0 3,73 Severo 5 Crítico
2 Administrativo Contas a Pagar 3 1 3 1 23,0 2,09 Leve 1 Leve
3 Administrativo Recursos Humanos 3 1 2 3 25,0 2,27 Leve 2 Leve
4 Administrativo Marketing 4 2 1 3 30,0 2,73 Moderado 1 Moderado
5 Estoque
Recebimento de 
Materias
4 3 2 4 37,0 3,36 Moderado 3 Moderado
6 Estoque Saída de Materias 5 4 2 5 46,0 4,18 Severo 4 Crítico
7 Vendas
Venda de Produtos/
Serviços
4 4 2 5 42,0 3,82 Severo 6 Crítico
8 Compras
Compra de 
Matéria-prima
4 3 2 4 37,0 3,36 Moderado 4 Moderado
9 Compras
Compra de 
Materiais de 
Escritório
1 1 1 2 13,0 1,18 Muito Leve 1 Leve
10 Operacional
Serviços de 
Mecânica
5 5 1 5 47,0 4,27 Severo 6 Crítico
Tabela 26 – Processos Críticos
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
233 
 
LEGENDA
Cor Quadrante Processo
1 Crítico Contas a Receber
6 Crítico Saída de Materias
7 Crítico Venda de Produtos/Serviços
10 Crítico Serviços de Mecânica
4 Moderado Marketing
5 Moderado Recebimento de Materias
8 Moderado Compra de Matéria-Prima
2 Leve Contas a Pagar
3 Leve Recursos Humanos
9 Muito Leve Compra de Materiais de Escritório
Figura 59 – Matriz do BIA - Resultado
Neste exemplo temos processos listados, sendo que quatro, foram considerados críticos, três moderados e três leves. 
A priorização da implantação do processo de gestão de riscos e o respectivo monitoramento fica sendo para os proces-
sos de contas a receber, saída de materiais, vendas de produtos e serviços de mecânica. Nestes quatro processos não 
poderá ter riscos no quadrante vermelho, pois em caso de concretização o impacto será massivo e ou severo, desta for-
ma o gestor - dono do risco (primeira linha de defesa) terá que operacionalizar o processo de gestão de riscos e a área 
de gestão de riscos (segunda linha de defesa) realizará o monitoramento e a auditoria para verificar se o processo está 
rodando. Desta forma o ciclo fica abrangente e a empresa protegida.
234 
12. IDENTIFICAÇÃO 
DE RISCOS 
12.1 aNálise situaciONal/FluxOgrama dO prOcessO
A identificação dos riscos possui nove subfases, todas interligadas e interdependentes, com o objetivo de identificar 
as principais causas dos riscos versus os processos críticos de cada área.
12.1.1 iNtrOduçãO 
Para possuir uma visão holística e bem acurada dos riscos e de seus fatores de riscos há a necessidade de realizar 
uma avaliação das condições que estaremos realizando o estudo. Isto significa que pode ser desde um processo, ou 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
235 
um conjunto de processos, ou os processos de um departamento ou até mesmo as condições de controle e segurança 
da empresa. 
Para possuir uma visão holística e bem acurada dos riscos e de seus fatores de riscos há a necessidade de realizar:
a) Uma avaliação das condições de segurança do processo ou da área, sendo assim, o gestor deve percorrer 
o processo, com o objetivo de identificar pontos fortes e fracos, que sirvam de fatores para mitigar ou 
potencializar a concretização dos riscos. A visão para identificar fragilidades (pontos fracos) deve ser, sempre, 
pensando como “burlar” os controles existentes. Nessa fase é necessário evidenciar as fragilidades;
b) Mapear histórico de ocorrências (caso exista);
c) Identificar controles na área.
Os dados para a análise situacional devem ser extraídos a partir de visitas “in loco” na empresa e no percorrer dos 
processos, através de entrevistas com gestores, análise de plantas baixas, estudo de normas existentes, seguindo 
os testes:
a) Teste de compreensão: Permite conhecer o funcionamento dos processos e áreas 
existentes na empresa, bem como o fluxo operacional da unidade.
b) Teste de observância: Permite verificar a BRASUCA ação dos processos, controles, 
normas e sistemas integrados aplicados e utilizados na empresa.
Esse estudo das condições deve responder a pelo menos duas perguntas: 
1. O que pode acontecer? Lista de riscos.
2. Como e porque pode acontecer? Causas e Cenários de Riscos.
Podemos utilizar como referência a ferramenta: 2W 1H – What? Why? How?
O processo de conhecer as condições é um diagnóstico que deve responder a pergunta básica: “qual a situação 
real da empresa, processos e ou departamentos quanto aos seus aspectos de controle e segurança, frente a sua po-
lítica de gestão de riscos e aos seus objetivos estratégicos?” Esta análise deve ser efetuada da forma mais realista 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
236 
possível, pois qualquer distorção prejudicará todo o resto do processo de desenvolvimento e implantação de medidas 
preventivas e mitigatórias. 
Qualquer empresa inserida dentro de um contexto, onde uma multiplicidade de variáveis e forças pode provocar mu-
danças ou abalar as estruturas organizacionais. Este contexto, que poderemos chamar de ambiente, varia constante-
mente e deve ser encarado tanto sob o ponto de vista interno, como externo.
Sob o ponto de vista da gestão de riscos e da segurança, a variação permanente do ambiente cria oportunidades ou 
ameaças à empresa. O diagnóstico corresponde a uma análise, ou uma fotografia e possui duas premissas básicas 
que devem ser consideradas:
a) O ambiente onde a empresa está inserida e suas múltiplas variáveis.
b) O ambiente proporciona simultaneamente oportunidades que devem ser usufruídas e as ameaças que devem ser evitadas.
A análise do ambiente interno e externo deve ser integrada e contínua. A empresa deve ter pleno conhecimento de 
seus pontos fortes e fracos para enfrentar as diversas situações, sejam contingenciais ou de rotina.
12.1.2 aNálise das variáveis exterNas 
A análise das varáveis externas tem por finalidade estudar a relação existente entre a empresa e seu ambiente, em 
termos de oportunidades e ameaças. Este estudo já deve ter sido realizado frente aos objetivos estratégicos da em-
presa, no Contexto Estratégico. 
12.1.3 aNálise das variáveis iNterNas
A análise das variáveis internas do processo e ou da empresa tem por finalidade evidenciar as qualidades e as de-
ficiências dos processos, controles e sistemas que a corporação possui. A visão para a realização deste diagnóstico 
deve ser conjuntural, abrangendo todos os segmentos da organização. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
237 
Quando se inicia o diagnóstico, deve-se ter definido: quais são os processos a serem estudados e quais controles e 
sistemas estão operacionalizados. Sem estes dois parâmetros é difícil avaliar os pontos fortes e fracos de um sistema 
e ou processo. Listamos abaixo, a título de exemplo os itens básicos a serem analisados:
 1) Cultura dos Funcionários; 2) Turno de Trabalho dos Funcionários; 3)Finalidade da Empresa; 4) Relação 
Funcionário-Empresa, Áreas Físicas; 6) Serviços Contratados; 7) Experiência Anterior; 8) Indenização; 
9) Barreira Perimetral; 11) Segurança de Edifícios; 12) Sistema de Iluminação; 13) Controle de 
Chaves; 14) Controles; 15) Proteção a Incêndios; 16) Corpo de Segurança; 17) Sistemas, Integrados; 
18) Planos Formalizados Existentes: Segurança, Emergência e de Continuidade de Negócios
Listamos outro checklist na área de processos, a título de exemplo:
1. A Empresa aplica algum meio de conciliação das informações das áreas chave?
2. A Empresa dispõe de unidades de negócio localizadas fora de sua Sede. Elas são convenientemente 
monitoradas quanto à produção, resultados, ambiente, meios, controles, etc.? Como?
3. A Empresa dispõe de estoque para peças e/ou produtos acabados?
4. Quais são os tipos de controles utilizados pelas áreas chave em suas atividades críticas? (Relatórios, planilhas, etc).
5. A Alta Administração dá a devida atenção aos seus considerados controles internos?
6. Há uma clara estrutura dos papéis e responsabilidades individuais dos colaboradores no 
contexto da Empresa? (Descrição de cargos e o que cada um contempla).
7. As equipes das áreas estão bem dimensionadas, considerando inclusive os 
recursos necessários para a boa execução de suas atividades?
8. Os colaboradores possuem pleno conhecimento de suas atividades (importância, o que fazem; por que fazem)?
9. A Empresa possui programa de Reciclagem/Treinamentos Esporádicos para com seus colaboradores?
10. Caso sim, qual é a frequência?
11. Quais são as ferramentas tecnológicas disponíveis para a execução das atividades da Empresa? 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
238 
12. Os recursos de TI atuais atendem às necessidades de execução e controle das atividades/operações da Empresa?
13. Existe um plano de treinamento específico para o usuário dos sistemas de informação? 
14. Existe um plano de instrução de negócios/recuperação de desastre formalizado?
15. Os sistemas dos aplicativos utilizados atendem às necessidades do processo envolvido?
16. Os sistemas dos aplicativos utilizados são vulneráveis a acessos e alterações de dados?
17. Existem procedimentos formalizados para garantir a segurança da informação?
18. São realizados backups periódicos para as atividades/informações críticas do processo?
19. As informações críticas transmitidas interna ou externamente são criptografadas durante o processo?
20. Existe um responsável de segurança de informação a nível executivo?
21. Existem sistemas e controles específicos para captura de dados relativos a eventos de 
segurança, incluindo todas as fontes válidas, por exemplo nomes de usuários? 
22. Existem procedimentos periódicos de análise desses dados e eventos?
12.1.4 FOrmas de realizar um diagNósticO
A melhor maneira de realizar um diagnóstico é colher as informações em campo, ou seja, olhar o que realmente está 
acontecendo. Há três maneiras de realizar a busca destas informações:
a) Entrevistas: geralmente nos níveis institucional, intermediário e operacional têm por objetivo 
conhecer como pensam tanto as pessoas que operam, como os usuários do processo.
b) Verificação de documentos: a verificação de documentos, tais como planos e normas, tem por 
meta conhecer o que preconizam as condutas e qual é a política de riscos da empresa.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
239 
c) Trabalho de campo: tem por finalidade comparar se o que está escrito e falado 
realmente acontece. O ideal é que o diagnóstico possa ser realizado a partir destes três 
métodos, para garantir uma noção clara e específica das reais condições.
Exemplo de análise situacional voltada para segurança corporativa:
Área Descritivo
Segurança Portaria – Guarita
Segurança Segurança – Perimetral
Segurança Ambiente Interno
Segurança Prédio Administrativo
Segurança CD – Galpão
Segurança Docas
Segurança Áreas Técnicas
Segurança Central de Segurança
No Controle
C1 Grades
C2 Concertinas
No Falha
F1 Sistema de Escoamento de água
F2 Proximidade com morros
F3 Vegetação fechada
F4 Ausência de Cerca Elétrica
F5 Ausência de CFTV no Perímetro
F6 Ausência de Monitoramento da Cabine Primária
F7 Proximidade da Cabine Primária com a via Pública
F29 Consumo de Álcool e Drogas
Tabela 27 – Análise Situacional – Segurança
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
240 
Exemplo de análise situacional voltada para processos:
Área Atividade / Descritivo da Área
Cliente Atendimento na loja?
Cliente Sim: acessar a loja para realização do serviço
Vendas Acessar o sistema e verificar o cadastro do cliente
Vendas Possui cadastro?
Vendas Não: realizar o cadastro do cliente no sistema
Vendas Sim: abrir ordem de serviço?
Vendas Informar valores de serviços ao cliente
Vendas Necessário negociar valor?
Vendas
Sim: aplicar valor de desconto parametrizado no 
sistema
Vendas Desconto aceito?
Vendas Sim: imprimir ordem de serviço
Vendas Não: aplicar desconto de gerente com senha individual
Vendas Desconto aceito?
Vendas Sim: imprimir ordem de serviço
Vendas Não: aplicar desconto fora da alçada sistema
No Controle
C1
Senha e contra senha do gerente 
regional para desconto
No Fator de Risco
F3
Conluio entre gerente regional e 
gerente do dia
F7
Ausência das análises de 
concessões de descontos
Tabela 28 – Análise Situacional - Processo
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
241 
12.1.5 FluxOgrama dO prOcessO 
Para complemento da análise situacional é utilizado o desenho do fluxograma do processo, permitindo representar 
graficamente um fluxo de informações de um processo, percorrendo todas as áreas e atividades. 
Após a elaboração do fluxograma do processo, é possivel identificar os gaps e controles existentes para cada ativida-
de, melhorando o entendimento das falhas que podem existir em cada atividade.
Exemplo de fluxograma:
Figura 60 – Fluxograma do Processo
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
242 
12.2 listagem, deFiNiçãO e classiFicaçãO dOs riscOs
A listagem deve ser realizada por meio de reuniões do tipo brainstorming, levantando tanto os riscos conhecidos 
como os desconhecidos. Os riscos desconhecidos são aqueles que nunca aconteceram no contexto da empresa, po-
rém são riscos exequíveis, ou seja, poderão ocorrer.
téCniCA do Brainstorming
A equipe deverá possuir um líder, visando direcionar os assuntos. Não deve haver censura e nem hierarquia em 
reuniões deste tipo, visando não inibir a criatividade dos componentes da equipe. Algumas regras são importantes e 
devem ser seguidas:
1. Expor as ideias com o máximo de espontaneidade, sem exercer autocensura.
2. Todas as ideias têm interesse, mesmo que pareçam “ideias loucas”. São 
essas, às vezes, as que contêm “algo de novo” e com valor.
3. Nenhuma ideia pode ser contestada ou debatida durante o “brainstorming”.
4. Quando um participante tiver uma ideia a apresentar, sugerida por outra já 
exposta por alguém, terá prioridade sobre os demais.
5. Importante é a quantidade das ideias apresentadas. 
Em geral, pela nossa experiência, o número de reuniões pode chegar a três, desde que os participantes da equipe 
façam suas lições de casa e estudem as questões relativas aos riscos corporativos de suas empresas. A duração de 
cada reunião de “brainstorming” deve ser no máximo de uma hora e trinta minutos. Além deste tempo, estas ficam 
ineficazes, sem rendimento. 
Ao final das reuniões deverá haver um consenso por parte da equipe multidisciplinar nos riscos levantados, que de-
verão ser listados, definidos e clasificadosdevendo estar aderentes ao negócio da empresa.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
243 
A classificação auxilia a organização a ter visão do portfólio dos riscos, na medida em que agrupa os mesmos de 
acordo com suas principais causas. Cabe destacar que a classificação está relacionada à origem/natureza do risco e 
não ao seu impacto. 
As categorias são divididas nos seguintes itens:
• Estratégicos: Os riscos estratégicos estão associados à tomada de decisão, tanto da diretoria executiva, 
como do conselho, e podem gerar perda substancial para a empresa. Exemplos: diminuição de demanda do 
mercado por produtos e serviços da empresa; uma grande iniciativa falha, clientes abandonam a marca, um 
concorrente surge de forma agressiva, a marca perde força, o setor torna-se zona de lucro zero, entre outros.
• Operacionais: Os riscos operacionais estão associados à possibilidade de ocorrência de perdas (de produção, ativos, 
clientes, receitas) resultantes de falhas, deficiências ou inadequação de processos internos, pessoas e sistemas, 
assim como de eventos externos como catástrofes naturais, fraudes, greves e atos terroristas. Os riscos operacionais 
geralmente acarretam redução, degradação ou interrupção, total ou parcial, das atividades, com impacto negativo na 
reputação, além da potencial geração de passivos contratuais, regulatórios e ambientais. Exemplos: falhas em aspectos 
lógicos do processamento eletrônico de dados e de telecomunicações, inadequação de aspectos físicos da estrutura 
logística e tecnológica, atos realizados intencionalmente ou não, que possam prejudicar o funcionamento e/ou causar 
impacto financeiro, overload de sistemas e estruturas, obsolescência, erro não intencional, fraudes, entre outros.
• Legal/Conformidade: Relacionadas à inobservância de dispositivos legais ou regulamentares, à mudança 
na legislação ou ainda, ao descumprimento de contrato. Exemplos: ações ajuizadas pela empresa ou contra 
ela, inadequação formal de contrato, a interpretação de suas cláusulas e sua conformidade com legislação 
pertinente, interpretação indevida da legislação, código de ética e outros regimentos internos, entre outros.
• Financeiro: Relacionadas com a gestão e controle ineficazes dos meios financeiros da 
organização e com efeitos dos fatores externos. Exemplo, disponibilidade de crédito, taxas 
de câmbio, movimento das taxas de juro e outro tipo de orientações do mercado.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
244 
Exemplo de listagem de riscos para Segurança:
Riscos Descrições Classificação
Vandalismo
É a ação motivada pela hostilidade contra 
a propriedade ou destruição intencional de 
bens e depredação do patrimônio.
Operacional
Furto de veículos
O risco está relacionado ao próprio veículo 
dentro do estacionamento.
Operacional
Furto de pertences 
pessoais
Risco está relacionado a subtração de 
pertences pessoais em locais como 
administração ou áreas comuns devido à 
ausência de monitoramento de imagens.
Operacional
Sabotagem na cabine 
primária
Risco está relacionado ao desligamento ou 
deixar sistemas inoperantes com intenção de 
prejudicar a operação fabril.
Operacional
Desvio de mercadoria
Risco está relacionado ao desvio de 
mercadoria a fim de obter vantagem de 
forma ilícita.
Operacional
Roubo de carga
Risco está relacionado a ação de meliantes 
armados para roubo de carga.
Operacional
Tabela 29 - Listagem de Riscos – Segurança
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
245 
Exemplo de listagem de riscos para Processo:
Riscos Descrições Classificação
Concessão indevida 
de desconto
Risco relacionado à liberação de descontos 
para clientes que não atendam ou não 
possuam perfil adequado para o desconto ou 
por erros nas análises realizadas pelo setor 
administrativo da empresa.
Operacional
Venda sem estoque 
físico
Risco relacionado à efetivação de uma 
venda sem estoque possuir o equipamento 
fisicamente.
Operacional
Favorecimento de 
clientes
Risco relacionado a efetuar venda a clientes 
que não possuam nome regular nos órgãos 
de proteção.
Operacional
Análise financeira 
equivocada
Risco relacionado à realização de análise 
financeira incorreta decorrente da falta de 
informação sobre particularidade do cliente.
Operacional
Não ser cumprido o 
prazo de entrega de 
mercadoria para o 
cliente
Não comprimento do calendário de entrega 
para o cliente, ocasionando protesto e 
insatisfação do cliente.
Operacional
Tabela 30 – Listagem de Riscos – Processo
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
246 
12.3 ideNtiFicaçãO dOs FatOres de riscOs
Os fatores de risco são na realidade a origem e/ou causa de cada evento identificado em cada processo ou área. 
Para compreender o risco e a soma de todos os fatores identificados, existe a necessidade de dissecar o evento e ou 
ameaça. O Diagrama de Causa e Efeito (Diagrama de Ishikawa ou Espinha de Peixe) é utilizado para o entendimento 
dos fatores que influenciam a concretização de cada risco. 
Esta técnica é uma notação simples para identificar fatores que causam o evento analisado. Em 1953 o Professor 
Karou Ishikawa, da Universidade de Tóquio Japão, sintetizou as opiniões dos engenheiros de uma fábrica na forma de 
um diagrama de causa e efeito, enquanto eles discutiam problemas de qualidade. O diagrama bem detalhado apresen-
ta a forma de uma espinha de peixe. 
Para compreender o risco e o cenário no qual ele está inserido, é importante considerar os diversos fatores que im-
pactam os processos e áreas da empresa. Neste contexto, foi adaptado o diagrama de causa e efeito da qualidade 
para a área de Gestão de Riscos conforme as macro causas abaixo:
• Processo: influência da existência de processos, políticas, normas e procedimentos para a materialização do risco.
• Pessoas: influência do nível da equipe envolvida, considerando-se perfil e qualificação, para a 
materialização do risco, bem como do nível de relacionamento dos colaboradores e da empresa.
• Tecnologia: influência dos sistemas de informação utilizados pela empresa para a materialização do risco.
• Infraestrutura: influência da existência de recursos físicos e sistemas eletrônicos para a materialização do risco.
• Ambiente Externo: influência das variáveis externas incontroláveis para a materialização do risco.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
247 
O diagrama de causa e efeito fica exemplificado conforme abaixo:
Figura 61 – Macro Causas
Ressaltamos que para cada evento identificado existe a necessidade da elaboração de um diagrama de causa e 
efeito específico. Se estivermos estudando 10 eventos em um determinado processo ou área, teremos que elaborar 
10 diagramas de causa e efeito. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
248 
Pessoal
Baixa qualificação 
do efetivo
ProcessoInfraestrutura
Sabotagem no Refeitorio
Câmera CFTV não atedem 
análise de risco
Ausência de video
análise inteligente
Ambiente ExternoTecnologia
Não pagamento de 
prestadores de serviço
Falta do segundo veículo 
de ronda e suporte
Proteção perimetral frágil Conluio de colaboradores
Insatisfação dos 
colaboradores
Pessoal
Falta de CFTV nas 
galerias da Usina
ProcessoInfraestrutura
Manifestação Pacífica
Ação do SindicatoBanda de internet limitada
Ambiente ExternoTecnologia
Pouca autonomia estoque 
de diesel - 72h
Insatisfação dos 
colaboradores
Reivindicação de direitos 
ou novas exigências
Cobertura insuficiente 
de sinal de celular
Figura 62 – Diagrama de Causa e EfeitoIN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
249 
Pessoal
Baixa qualificação 
do efetivo
ProcessoInfraestrutura
Bloqueio na Portaria
Não pagamento 
de fornecedores
Ambiente ExternoTecnologia
Conluio de colaboradores
Insatisfação dos 
caminhoneiros
Reivindicação de direitos 
ou novas exigências
Não pagamento de 
prestadores de serviço
Banda de internet limitada
Cobertura insuficiente 
de sinal de celular
Pessoal
Baixa qualificação 
do efetivo
ProcessoInfraestrutura
Furto de Equipamento
Falta investigação social 
nas contratações
Ausência de manutenção 
do CFTV
Ambiente ExternoTecnologia
Acessos alternativos 
de entrada
Falta do segundo veículo 
de rondas e suporte Conluio de colaboradores
Insatisfação dos 
colaboradores
Lista de colaboradores 
desatualizada
Iluminação insuficiente 
em áreas de canteiro
Layout da portaria Patrimonial com efetivo reduzido
Materiais espalhados 
pelo canteiro
Ausência de video
análise inteligente
Controle de portaria não 
informatizada
Consumo de 
álcool e drogas
Criminalidade
Figura 63 – Diagrama de Causa e Efeito
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
250 
12.4 ideNtiFicaçãO da mOtricidade - swOt
Após a identificação dos vários fatores de riscos é necessário enxergar estrategicamente quais são os fatores co-
muns a todos os riscos e quais são os mais motrizes, ou seja, quais são os que podem de fato potencializar os riscos 
analisados.
Para identificar a criticidade dos fatores de riscos utilizamos a Matriz SWOT, conhecida para identificar os pontos 
fracos, fortes, oportunidades e ameaças do contexto empresarial. A ferramenta é a Matriz SWOT - FOFA, que em inglês 
significa Strengths - Weaknesses - Opportunities – Threats e em português – Força – Oportunidade – Fraqueza - Ameaça.
A avaliação das Forças e Fraquezas diz respeito às condições dos nossos controles e nível de operacionalização, são 
processos que a empresa possui domínio de ação e decisão. São os chamados Fatores de Riscos Internos ou variáveis 
internas podendo ser negativas (Fraquezas) ou positivas (Forças). Os fatores de riscos considerados incontroláveis 
dizem respeito à ambiência externa, podendo ser negativa (Ameaças) ou positivas (Oportunidades). Para identificar a 
motricidade dos fatores de riscos são utilizados dois critérios de avaliação, a Magnitude e Importância.
Magnitude significa o tamanho ou grandeza que a variável ou evento possui perante o contexto empresarial. Caso 
aconteça, positivamente ou negativamente, o quanto ela vai influenciar no contexto como um todo. A magnitude é ran-
queada, utilizando-se uma pontuação, que varia de -3 a 3, dentro do seguinte parâmetro: 
• 3 (alto);
• 2 (médio);
• 1 (baixo) para cada elemento positivo (força ou oportunidade); e 
• -1 (baixo);
• -2 (médio);
• -3 (alto) para cada variável negativa (fraqueza e ameaça).
Como parâmetro para avaliar a magnitude nas células de fraqueza e ameaça, é levado em consideração o número de 
vezes que as variáveis aparecem no diagrama de causa e efeito. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
251 
Caso um fator de risco apareça 5 (cinco) vezes em 6 (seis) riscos identificados, significa que esta variável possui 
“Alta” magnitude.
Importância significa a prioridade que esta variável deve possuir perante o contexto do empresarial. É uma nota 
subjetiva com base na experiência do gestor e da equipe que está avaliando o cenário. Para análise da importância 
utilizamos 3 níveis de pontuação:
• 3 (muita importância);
• 2 (média importância);
• 1 (pouca importância).
Para criar um ranking dos itens em cada célula da matriz, multiplicamos a avaliação da magnitude e da importância. 
Os fatores de riscos com maior pontuação negativa são considerados motrizes, pois podem influenciar diretamente os 
riscos identificados. 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
252 
 Figura 64 – Matriz SWOT/FOFA
A Matriz SWOT/FOFA demonstra o conjunto de fatores de riscos (Fraquezas e Ameaças), e seus pontos fortes e 
oportunidades. Com esta fotografia o gestor enxergará seus pontos de maior fragilidade. Se formos observar sob o 
ponto de vista das fraquezas e ameaças contidas na matriz, podemos afirmar que é um resumo de todos os diagra-
mas de causa e efeito, sem repetir os fatores já listados.
Ponto importante na Matriz SWOT/FOFA, é que as fraquezas são oriundas dos diagramas de causa e efeito, são 
os resumos dos fatores de riscos que cada área possui. As ameaças são as variáveis incontroláveis do ambiente 
externo, também oriundas do diagrama de causa e efeito. As variáveis negativas (fraquezas e ameaças) da são o 
resumo dos vários diagramas de causa e efeito, sendo a base para a elaboração do Plano de Ação. A matriz é uma 
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
253 
ferramenta de gestão, que possibilita fácil interpretação das principais deficiências e quais são as possibilidades de 
reversão da situação existente. 
A Matriz SWOT/FOFA adaptada para a gestão de riscos permite visualizar o todo, enquanto que o diagrama de cau-
sa e efeito visualiza somente o risco analisado.
Exemplo - Segurança:
Fraquezas
Item Magnitude Importância Total
Ausência de central de segurança -3 3 -9
Ausência de CFTV em pontos estratégicos -3 3 -9
Ausência de endomarketing -3 3 -9
Ausência de normas e procedimentos -3 3 -9
Ausência de operador de monitoramento -3 3 -9
Ausência de pesquisa de satisfação dos colaboradores -3 3 -9
Ausência de política de segurança -3 3 -9
Ausência de processo de ronda -3 3 -9
Ausência de responsável pelo CFTV -3 3 -9
Ausência de análise vídeo inteligente -3 3 -9
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
254 
Fraquezas
Item Magnitude Importância Total
Ausência de vigilante em pontos/processos específicos -3 3 -9
Baixa qualidade de iluminação -3 3 -9
Baixa qualidade das imagens -3 3 -9
Consumo de álcool e entorpecente -3 3 -9
Insatisfação de colaboradores e terceiros -3 3 -9
Portas/portões abertos -3 3 -9
Janelas frágeis -2 3 -6
Ausência de controle de acesso -1 3 -3
Ausência de proteção perimetral do depósito -1 3 -3
Desvio de função -1 3 -3
Efetivo de segurança insuficiente -1 3 -3
Conluio de colaboradores e terceiros -1 2 -2
Gradil frágil -1 2 -2
Tabela 31 – Matriz SWOT/FOFA – Fraquezas em Segurança
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
255 
Ameaças
Item Magnitude Importância Total
Criminalidade -2 3 -6
Ação do sindicato -1 3 -3
Atratividade do produto -1 3 -3
Crime organizado -1 3 -3
Distúrbios psicológicos -1 3 -3
Grupos de redes sociais -1 3 -3
Insatisfação de clientes -1 3 -3
Política -1 3 -3
Torcida organizada -1 3 -3
Trote -1 3 -3
Consumo de álcool -1 -2 -2
Consumo de drogas -1 -2 -2
Proximidade de comunidades carentes -1 -2 -2
Tabela 32 – Matriz SWOT/FOFA – Ameaças em Segurança
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
256 
Exemplo – Processo:
Fraquezas
Item Magnitude Importância Total
Ausência das análises de concessões de descontos -2 3 -6
Ausência de bloqueio sistêmico para cliente com restrição 
de crédito
-2 2 -4
Ausência de comprovação do cliente x solicitante -1 3 -3
Ausência de controle sistêmico -3 3 -9
Ausência de produtos em estoque -2 3 -6
Ausência de treinamentos periódicos -3 3 -9
Tabela 33 – Matriz SWOT/FOFA – Fraquezas em Processo
Ameaça
Item Magnitude Importância TotalConluio entre gerente regional e gerente de loja -2 3 -6
Tabela 34 – Matriz SWOT/FOFA – Ameaças em Processo
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
257 
12.5 matriz da relevâNcia dOs FatOres de riscOs
Ao observarmos a atriz SWOT/FOFA podemos notar que a prioridade é atribuída levando em consideração o critério 
das numerações mais altas e negativas, possibilitando que os gestores criem rankings para suas ações.
Com base na pontuação de magnitude e importância dada para cada fator de risco de fraqueza, podemos apresentar 
o resultado em forma de uma matriz que possibilita visualizar a criticidade de cada fator, conforme apresentado abaixo:
O resultado do cruzamento da magnitude com a importância, define o nível de criticidade do fator de risco, ou seja, 
vermelho, laranja ou verde. Com base nesta matriz o gestor pode determinar a prioridade de tratamento do fator de 
risco, sempre considerando como primeiro nível o vermelho, segundo nível o laranja é o terceiro nível o verde. A matriz 
a ser construída somente com fatores das fraquezas (ambiente interno da empresa).
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
258 
F16 F17 F18 F19 F20 F21 
F22 F23 F24 F25 F26
F06 F 07 F08 F09 F10 F01 F02 F03 F04 F05 
F27 F28 F11 F12 F13 F14 F15 
IM
P
O
R
T
Â
N
C
IA
Ba
ix
a
M
éd
ia
A
lta
Baixa Média Alta
MAGNITUDE
Figura 65 – Matriz Magnitude x Importância
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
259 
12.5.1 FatOres de riscOs cOmuNs
Após a elaboração da Matriz SWOT/FOFA, além da Matriz de Magnitude x Importância é possível também criar um ran-
king em forma de lista dos fatores de riscos por ordem de criticidade, visualizando os mesmos dos mais críticos aos de 
menor criticidade.
Criticidade Fatores de comuns
-9 Ausência de treinamentos periódicos
-6 Ausência das análises de concessões de descontos
-6 Ausência de produtos no estoque
-4
Ausência de bloqueio sistêmico para cliente com 
restrição de crédito
-3 Ausência de comprovação do cliente x solicitante
-3 Ausência de controle sistêmico
Criticidade Fatores de comuns
-9 Ausência de CFTV em locais estratégicos
-9 Ausência de normas e procedimentos
-9 Ausência de política de segurança
-9 Falta de treinamento do operador de CFTV
-6 Ausência de grades
-6 Ausência de sensores
-6 Efetivo de segurança insuficiente
-6 Falha na utilização do botão de pânico
-6 Qualidade de imagem ruim
-4 Falta de iluminação
-2 Ausência de segragação de área
-2 Desvio de função
Tabela 35 – Fatores de Riscos Comuns - Processo
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
260 
12.6 matriz de impactO cruzadO
Afim de verificar a dependência e a motricidade que os riscos possuem sobre outros riscos, ou que fatores de riscos 
possuem sobre outros fatores, é utilizada a Matriz de Impacto Cruzado, geralmente a empresa faz este estudo para 
riscos estratégicos ou fatores de riscos específicos, utilizando os seguintes critérios para avaliação:
Nível de relevância Pontuação
Alto 3
Médio 2
Baixo 1
Não existe relevância 0
Tabela 36 – Critérios de Impacto Cruzado
O resultado do cruzamento entre a Dependência e a Importância gera a Matriz de Impacto Cruzado. A Matriz de Impac-
to cruzado é elaborada a partir do ponto das notas atribuídas para Dependência e o ponto médio das notas atribuídas 
para Importância.
A Matriz de Impacto Cruzado possui os seguintes quadrantes:
• Quadrante I – Ligação: Riscos ou Fatores que influenciam outros quadrantes 
sofrem influência do quadrante motriz e se influenciam entre si.
• Quadrante II – Motriz: Riscos ou Fatores que influenciam na concretização dos demais sem sofrerem influências.
• Quadrante III – Dependente: Riscos ou Fatores que apenas sofrem influências.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
261 
• Quadrante IV – Independente: Riscos ou Fatores que não influenciam na 
concretização dos demais e também não sofrem influências.
Esta matriz possui de especial a influência da ocorrência de um Fator de Riscos ou de um risco sobre a probabili-
dade de outros ocorrerem, definindo esta influência como impacto. Pode-se então elaborar a matriz de motricidade 
versus dependência. Para tanto, basta calcular os pontos médios de motricidade e de dependência, aplicando as 
fórmulas a seguir, e construir o gráfico, onde o eixo dos x corresponde aos valores de dependência e o eixo dos y 
aos da motricidade. 
 VM + vM PM = Ponto Médio da Motricidade
 PM = ____________ VM = Valor mais alto de motricidade
 2 vM = Valor mais baixo da motricidade
 VD + vD PD = Ponto Médio da Dependência
 PD = ____________ VD = Valor mais alto da dependência
 2 vD = Valor mais baixo da dependência
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
262 
Figura 66 – Matriz de Motricidade X Dependência
As variáveis motrizes (quadrante II) são as que condicionam o restante do sistema. Já as variáveis de ligação (qua-
drante I) são muito motrizes, mas têm grande dependência das demais. São as que fazem a ligação entre as variá-
veis motrizes e as dependentes (quadrante III). Por sua natureza instável, qualquer ação sobre elas terá repercussão 
sobre as outras e um efeito de retorno sobre si próprio que virá ampliado ou atenuado em função da impulsão inicial. 
As variáveis dependentes (quadrante III) são pouco motrizes e muito dependentes, seu comportamento é explicado 
pelo das variáveis motrizes e de ligação. Já as variáveis independentes (quadrante IV) são aquelas pouco motrizes e 
pouco dependentes. São geralmente tendências de peso ou fatores relativamente desligados do sistema, e que não 
constituem determinantes do futuro, podendo ser excluídas da análise.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
263 
emPrego dA mAtriz de imPACtos CruzAdos
Segue abaixo um exemplo da motricidade e a dependência de fatores de riscos da cidade do Rio de Janeiro (2007), 
no que tange a criminalidade.
Fatores X1 X4 X5 X6 X7 X8 X10 X11 X13 X14 X15 X16 X17 X20 D
X1 Xx 2 3 3 0 0 0 3 1 1 0 0 1 0 14
X4 0 Xx 0 0 0 0 0 3 0 0 0 0 0 0 3
X5 3 2 Xx 3 2 1 0 3 3 3 2 2 3 2 29
X6 3 2 3 Xx 2 2 0 3 1 3 0 0 3 0 22
X7 0 1 2 2 Xx 3 3 3 3 3 3 3 3 3 32
X8 0 1 2 2 3 Xx 3 3 3 3 3 3 3 3 32
X10 0 1 1 1 3 3 Xx 3 2 3 3 3 0 3 26
X11 2 1 1 1 3 3 2 Xx 3 2 3 3 3 3 30
X13 2 1 2 2 3 3 3 3 Xx 2 3 3 0 3 30
X14 3 2 3 3 3 3 3 3 3 Xx 3 3 0 3 35
X15 2 2 3 3 3 3 3 3 3 3 Xx 3 2 3 36
X16 3 2 3 3 3 3 3 3 3 3 3 Xx 2 3 37
X17 0 3 2 2 2 3 1 3 1 2 3 3 Xx 3 28
X20 2 2 3 3 3 3 3 3 3 3 3 3 2 Xx 36
M 20 22 28 28 30 30 24 39 29 31 29 29 22 29 Xx 
Legenda: 
1. Baixo Nível de Escolaridade
4. Elevada carga tributária
5. Desigualdade social
6. Exclusão social
7. Corrupção policial
8. Corrupção no judiciário
10. Inteligência Policial
11. Legislação Brasileira
13. Sistema Carcerário
14. Violência Urbana
15. Facções Criminosas estruturação do 
crime como empresa
16.Facções Criminosas: assistencialismo
17. Valores éticos e morais nas empresas
20. Estruturação das milícias em função 
da inoperância do Estado.
Figura 67 – Matriz de Impacto Cruzado
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
264 
Os pontos médios de motricidade e dependência foram: 
• Ponto Médio de Motricidade: PMM = (39 + 20) / 2 = 29,5
• Ponto Médio de Dependência: PMD = (37 + 3) / 2 = 20
O resultado do Gráfico de Motricidade x Dependência foi:
M
ot
ri
ci
da
de
Dependência
II I
IV III
I
I
IV IIIIFigura 68 – Gráfico de Motricidade X Dependência
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
265 
interPretAção
Podemos concluir como alta instabilidade os cenários para a cidade do Rio de Janeiro, tendo em vista que existem 
quatro riscos que são de ligação, ou seja, qualquer ação sobre estes riscos terá uma repercussão sobre os demais. 
A instabilidade significa que os atores deverão agir nos riscos plotados no quadrante de ligação. O resultado poderá 
ser dependente do tipo de ação, tanto positivo como negativo. São cenários de alta volatilidade, tendo solução de curto 
prazo. As ações estratégicas das empresas devem ser no sentido de influenciar o combate da corrupção policial, no 
judiciário, mudar o “status quo” da legislação brasileira e da violência urbana.
Ou seja, não adianta tratar os riscos plotados no quadrante III, se os plotados no quadrante II não tiverem sido tra-
tados. O resultado será apenas “enxugar gelo”. 
266 
13. ANÁLISE E 
AVALIAÇÃO 
DE RISCOS – 
INERENTE
13.1 iNtrOduçãO 
Entende-se por risco inerente a avaliação dos riscos sem considerar a execução de controles para mitigá-lo. 
A análise de riscos visa promover o entendimento do nível de risco e de sua natureza, auxiliando na definição de prio-
ridades e opções de tratamento aos riscos identificados. Por meio dela, é possível saber qual a chance, a probabilidade 
dos riscos virem a acontecer e calcular seus respectivos impactos nos processos da empresa.
Os riscos são avaliados de maneira qualitativa (subjetiva), ou seja, utiliza critérios pré-estabelecidos com uma escala 
de valoração para a determinação do nível do risco. A metodologia a ser utilizada para a avaliação de riscos possui 
dois parâmetros claros a serem analisados:
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
267 
a) Saber qual a chance, a probabilidade, dos riscos virem a acontecer, frente 
à condição existente de cada processo e área de negócio;
b.) Calcular o impacto caso seja.
Figura 69 – Os Parâmetros para a Avaliação de Riscos
13.2 prObabilidade x impactO
13.2.1 determiNaçãO dO Nível de prObabilidade
A probabilidade do risco é calculada por meio de três critérios, sendo que cada um deles possuirá um peso diferenciado, 
tendo em vista seu grau de importância. Os critérios de probabilidade podem ser:
4. Análise e Avaliação de Riscos - Inerente
4.1 Probabilidade x Impacto
4.2 Matriz de Riscos
4.3 Nível de Riscos
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
268 
Figura 70 – Critérios de Probabilidade
Estes pesos podem e devem ser adaptados, de acordo com as características de cada instituição.
Segurança / Controle: é avaliada a questão dos fatores de riscos (diagrama de causa e efeito) e controles identifica-
dos na análise situacional. Quanto maior a nota, pior é a condição de segurança e dos controles.
Critério Pontuação
Muito ruim 05
Ruim 04
Média 03
Boa 02
Muito boa 01
Tabela 37 – Critérios para Segurança/Controle
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
269 
Frequência/Exposição: é a frequência que o risco costuma manifestar na empresa ou em empresas similares, poden-
do levar em consideração históricos internos ou externos (empresas similares).
Critério Pontuação
Diário 05
Quinzenal 04
Mensal 03
Anual 02
Eventual 01
Tabela 38 – Critérios para Frequência/Exposição
Intervalo: É avaliada a questão da frequência de avaliação/auditoria e revisão dos controles nos processos, procedi-
mentos e revisão do próprio processo. Quanto maior é o intervalo, maior é sua fragilidade.
Critério Pontuação
Não realiza revisão 05
Bienal 04
Anual 03
Semestral 02
Trimestral 01
Tabela 39 – Critérios de Intervalo
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
270 
O Nível de Probabilidade (Pb) é o resultado da média ponderada dos três critérios de probabilidade (multiplicação do 
peso vezes a nota, dividido pela soma dos pesos), conforme demonstrado abaixo:
O nível de probabilidade possui a seguinte classificação:
Grau de probabilidade Escala Nível de probabilidade
4,51 – 5,00 5 Elevada
3,51 – 4,50 4 Muito Alta
2,51 – 3,50 3 Alta
1,51 – 2,50 2 Média
1,00 – 1,50 1 Baixa
Tabela 40 – Classificação do Nível de Probabilidade
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
271 
13.2.2 determiNaçãO dO Nível de impactO
Para mensurar o impacto, não devemos levar em consideração somente a questão financeira. Com o objetivo de o 
gestor obter uma visão holística do impacto existe a necessidade de projetar todas as consequências que os riscos 
causam. Utilizaremos o mesmo critério adotado para identificar o processo crítico. Cada fator de impacto terá um peso 
diferenciado, tendo em vista seu grau de importância. Cada critério de impacto possui um peso e também uma nota 
de valoração, tendo em vista o nível de consequência. O objetivo é a obtenção de uma Média Ponderada, equalizando, 
dessa forma, o Nível de Impacto. Os critérios de impacto podem ser:
Figura 71 – Critérios de Impacto
Fica claro que estes pesos são sugestões, podendo/devendo serem adaptados, de acordo com as características 
de cada instituição.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
272 
Cada fator de impacto possui a seguinte tabela: 
Imagem Pontuação
Repercussão prolongada ou não na mídia internacional: Possível boicote aos 
serviços, manifestações de massa. Preocupação pública/da mídia/política 
nacional e internacional. Restrição ou revogação de uma ou múltiplas licenças de 
funcionamento. Também tende a mobilizar grupos de ação. Atenção para reações de 
sindicatos de trabalhadores e de rede sociais e possíveis greves de funcionários. 
Impacto sobre o preço das ações/avaliação de crédito. Viabilidade financeira 
ameaçada. Repercussão internacional no ambiente organizacional.
05
Repercussão nacional: Preocupação pública/ da mídia/ política nacional. 
Repercussões junto a autoridades governamentais e representantes de nível 
nacional e/ou regional; possibilidade de medidas restritivas à organização. 
Restrição ou revogação de uma ou múltiplas licenças de funcionamento. Também 
tende a mobilizar grupos de ação. Atenção para possíveis reações de sindicatos de 
trabalhadores e de redes sociais. Repercussão nacional no ambiente organizacional.
04
Repercussão regional: Preocupação pública/da mídia/política dentro do estado. 
Pode haver envolvimento adverso de grupos de ação e/ou do governo local. 
Atenção para possíveis reações de sindicatos de trabalhadores e de redes sociais. 
Repercussão local no ambiente organizacional.
03
Repercussão local: Envolve algum interesse público local do munícipio e/ou alguma 
atenção política local e/ou mídia local, com possíveis aspectos adversos para as 
operações. Repercussão limitada no ambiente organizacional.
02
Sem repercussão: Situações nas quais não há o conhecimento do público, mas 
não existe interesse público. A ocorrência não ultrapassa os limites internos da 
organização e/ou de suas unidades.
01
Tabela 41 – Critérios Imagem
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
273 
Financeiro Pontuação
Massivo: Acima de R$ 300.000,00 05
Crítica: De R$ 150.000,01 a R$ 300.000,00 04
Grave: De R$ 100.000,01 a R$ 150.000,00 03
Moderada: De R$ 50.000,01 a R$ 100.000,00 02
Leve: Até R$ 50.000,00 01
Tabela 42 – Critérios Financeiro
Operacional Pontuação
Massivo: Impacta outros processos muito fortemente. 05Severo: Impacta outros processos de forma direta. 04
Moderado: Impacta levemente outros processos. 03
Leve: Impacta somente o próprio processo. 02
Insignificante: Não impacta nada. 01
Tabela 43 – Critérios Operacional
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
274 
Legal Pontuação
Massiva: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo descumprimento nos procedimentos 
ou legislação e ainda em que não há argumentos e provas para inibir a aplicação 
de multas ou pagamentos de indenizações, havendo também possibilidade da 
suspensão das atividades da empresa e prisão de empregados. Uma ou múltiplas 
ações judiciais e multas de valor alto. Ação judicial muito séria, incluindo ações 
populares. Encerramento legal das operações.
05
Crítica: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo descumprimento dos procedimentos 
ou legislação e ainda em que não há argumentos e provas para inibir a aplicação 
de multas ou pagamentos de indenizações.
04
Graves: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo pequenas falhas nos procedimentos 
ou legislação e ainda em que há argumentos e provas para inibir parcialmente a 
aplicação de multas ou pagamentos indenizações.
03
Moderada: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, porém há argumentos e provas contundentes 
para inibir a aplicação de multas ou pagamento de indenizações.
02
Leve: Questões legais sem qualquer impacto. 01
Tabela 44 – Critérios Legal
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
275 
O nível de impacto é o resultado da soma dos resultados de cada fator de impacto (multiplicação do peso versus a 
nota), dividido pela soma dos pesos, conforme demonstrado abaixo:
O nível do impacto possui a seguinte classificação:
Grau de impacto Escala Nível de impacto
4,51 – 5,00 5 Massivo
3,51 – 4,50 4 Severo
2,51 – 3,50 3 Moderado
1,51 – 2,50 2 Leve
1,00 – 1,50 1 Muito leve
Tabela 45 – Classificação de Nível de Impacto
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
276 
Exemplo de Segurança:
No Processo Riscos
Probabilidade Relevância de Impacto
Fr
eq
uê
nc
ia
 /
 E
xp
os
iç
ão
S
eg
ur
an
ça
In
te
rv
al
o
N
ot
a 
x 
P
es
o
Média 
ponderada da 
probabilidade
Nível de 
probabilidade
Im
ag
em
Fi
na
nc
ei
ro
Le
gi
sl
aç
ão
O
pe
ra
ci
on
al
N
ot
a 
x 
P
es
o
Média 
ponderada 
do impacto
Nível do 
impacto
4 5 3 12 4 3 2 2 11
1 Segurança Vandalismo 3 5 5 39,00 4,33 Muito Alta 3 2 1 3 26,00 2,36 Leve
2 Segurança Furto de veículos 2 5 5 36,00 4,00 Muito Alta 3 3 2 4 33,00 3,00 Moderado
3 Segurança Furto de pertences pessoais 4 5 5 42,00 4,67 Elevada 2 2 1 4 24,00 2,18 Leve
4 Segurança Sabotagem na cabine primária 2 5 5 36,00 4,00 Muito Alta 5 5 3 5 51,00 4,64 Massivo
5 Segurança Desvio de mercadoria 4 5 5 42,00 4,67 Elevada 3 5 2 4 39,00 3,55 Severo
6 Segurança Roubo de carga 2 5 5 36,00 4,00 Muito Alta 3 5 4 4 43,00 3,91 Severo
Tabela 46 – Análise de Riscos Inerentes - Segurança
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
277 
Exemplo de Processo:
No Macroprocesso Processo Riscos
Probabilidade Relevância de Impacto
Fr
eq
uê
nc
ia
 /
 E
xp
os
iç
ão
S
eg
ur
an
ça
In
te
rv
al
o
N
ot
a 
x 
P
es
o
Média 
ponderada da 
probabilidade
Nível de 
probabilidade
Im
ag
em
Fi
na
nc
ei
ro
Le
gi
sl
aç
ão
O
pe
ra
ci
on
al
N
ot
a 
x 
P
es
o
Média 
ponderada 
do impacto
Nível do 
impacto
4 5 3 12 4 3 2 2 11
1 Vendas Vendas de produto Concessão de desconto indevida 3 5 5 52,00 4,33 Muito Alta 3 4 1 3 32,00 2,91 Moderado
2 Vendas Vendas de produto Venda sem estoque físico 3 5 5 52,00 4,33 Muito Alta 4 4 2 4 40,00 3,64 Severo
3 Vendas Vendas de produto Favorecimento de clientes 4 5 5 56,00 4,67 Elevada 3 4 1 3 32,00 2,91 Moderado
4 Vendas Vendas de produto Análise financeira equivocada 2 5 5 48,00 4,00 Muito Alta 3 3 2 5 35,00 2,18 Leve
5 Vendas Vendas de produto
Não ser cumprido o prazo de 
entregra de mercadoria para o 
cliente
4 5 5 56,00 4,67 Elevada 4 3 3 5 41,00 3,73 Severo
Tabela 47 – Análise de Riscos Inerentes - Processo
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
278 
13.3 matriz de riscOs
A avaliação de riscos visa comparar os níveis de riscos em relação aos critérios preestabelecidos. A relevância dos 
riscos possui como parâmetro a matriz de riscos e o seu resultado é o grau de criticidade do risco, ou seja, é a prioriza-
ção que a empresa deve utilizar para tratar cada risco, frente ao seu apetite ao risco. A matriz é dividida em quadrantes 
e para cada quadrante existe uma estratégia de tratamento e priorização. 
A matriz de riscos demonstra os pontos de cruzamento (horizontal e vertical) da probabilidade de ocorrência e do 
impacto. Quanto maior for a probabilidade e o impacto de um risco, maior será o nível do risco. 
Impacto
MUITO LEVE 
1
LEVE 
2
MODERADO 
3
SEVERO 
4
MASSIVO 
5
P
ro
b
a
b
il
id
a
d
e
ELEVADA 
5
MUITO ALTA 
4
ALTA 
3
MÉDIA 
2
BAIXA 
1
Figura 72 – Matriz de Riscos
4. Análise e Avaliação de Riscos - Inerente
4.1 Probabilidade x Impacto
4.2 Matriz de Riscos
4.3 Nível de Riscos
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
279 
Para cada quadrante da Matriz de Riscos, temos as seguintes classificações e priorizações de tratamento: 
• Quadrante I (Vermelho): Os riscos existentes são aqueles que têm alta probabilidade de ocorrência e 
poderão resultar em impacto extremamente severo, caso ocorram. Exigem a implementação imediata 
das estratégias de proteção e prevenção, ou seja, ação imediata. Ações de 0 a 30 dias.
• Quadrante II (Laranja): Localizam-se ameaças que poderão ser muito danosas à organização, podendo possuir 
tanto baixa probabilidade e alto impacto como baixo impacto e alta probabilidade. Essas ameaças devem possuir 
respostas rápidas, que para isso devem estar planejadas e testadas em um plano de contingência, emergência, 
continuidade de negócios, além de ações preventivas. A diferença do quadrante I é que as ações podem ser 
implementadas com mais tempo. São riscos que devem ser constantemente monitorados. Ações de 0 a 90 dias.
• Quadrante III (Amarelo): Localizam-se os riscos com alta probabilidade de ocorrência, mas que causam consequências 
gerenciáveis à organização. Os riscos classificados nesse quadrante devem ser monitorados de forma rotineira e 
sistemática, podendo também possuir planos de emergência. Ponto de monitoramento 1 vez a cada 60 dias.
• Quadrante IV (Verde): Os riscos classificados no quadrante IV possuem baixa probabilidade e pequeno 
impacto, representando pequenos problemas e prejuízos. Esses riscos somente devem ser gerenciados 
e administrados, pois estão na zona de conforto. Ponto de monitoramento 1 vez a cada 90 dias.
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
280 
Impacto
MUITO LEVE 
1
LEVE 
2
MODERADO 
3
SEVERO 
4
MASSIVO 
5
P
ro
b
a
b
il
id
a
d
e
ELEVADA 
5 03 05
MUITO ALTA 
4 01 02 06 04
ALTA 
3
MÉDIA 
2
BAIXA 
1
Figura 73 – Matriz de Riscos Inerentes
IN
TE
LI
 G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
ES
TÃ
O
 I
N
TE
G
R
A
D
A
 E
M
 R
IS
C
O
S
 C
O
R
P
O
R
AT
IV
O
S
281 
4. Análise e Avaliação de Riscos - Inerente
4.1 Probabilidade x Impacto
4.2 Matriz de Riscos
4.3 Nível de Riscos