Inteligencia em risco_Brasiliano

Prévia do material em texto

Antonio Celso Ribe iRo bRAs il iAno
INTELIGÊNCIA EM RISCOS
 Gestão InteGrada em rIscos corporatIvos
Dados Internacionais de Catalogação na Publicação (CIP) 
(Câmara Brasileira do Livro, SP, Brasil)
Brasiliano, Antonio Celso Ribeiro
Inteligência em riscos : gestão integrada em riscos corporativos / Antonio Celso 
Ribeiro Brasiliano. -- São Paulo : Sicurezza, 2016.
Bibliografia. 
ISBN 978-85-87297-66-2
1. Administração de riscos 2. Análise de risco 3. Planejamento estratégico 
4. Risco - Administração I. Título.
16-06217 CDD-658.155
Índices para catálogo sistemático:
1. Gestão e análise de riscos corporativos: Planejamento estratégico : 
Administração de empresas 658.155
Titulo Original:
Inteligência em riscos: gestão integrada em riscos corporativos
© Copyright 2016 by Antonio Celso Ribeiro Brasiliano
1a edição, Setembro 2016
Todos os direitos reservados. É proibida a reprodução desta obra por qualquer meio, 
em seu todo ou em partes, sem autorização expressa do autor e do editor.
Direitos dessa edição cedidos por contrato para:
Sicurezza Gestão de Riscos Corporativos, Editora e Distribuidora Ltda
www.sicurezzaeditora.com.br
Telefone: 11 5531 6171
Email: editora@sicurezzaeditora.com.br
Coordenação: Enza Cirelli
Projeto Gráfico : Marina Brasiliano
Antonio Celso Ribe iRo bRAs il iAno
INTELIGÊNCIA EM RISCOS
 Gestão InteGrada em rIscos corporatIvos
são PAulo - 2016
5 
 À Silvia, pelo incanSável apoio ao longo de minha vida.
aoS meuS filhoS, Té e má, minha maior criação e fonTe de incenTivo.
aoS meuS neToS, anTonio e aniTa, guerreiroS da Terceira geração, que 
renovam conSTanTemenTe a energia da minha vida. 
6 
eSTa Terceira edição é fruTo daS adapTaçõeS, da evolução, da inovação e Também de 
correçõeS doS livroS meuS já publicadoS Sobre geSTão e análiSe de riScoS corporaTivoS. 
eSSe proceSSo, poSSo aTé chamar de “deSTruição criaTiva”, é e deve Ser Sempre conTínuo 
e Significa para mim momenToS de grande creScimenTo e, ao meSmo Tempo, de grandeS 
incerTezaS e vaSToS conhecimenToS que foram comparTilhadoS com muiTaS ouTraS peSSoaS 
além da minha própria. agradeço em eSpecial a algumaS delaS. 
À enza, pelo fundamenTal SuporTe e apoio em TodoS oS momenToS complicadoS de 
noSSa caminhada empreSarial e ainda pela compreenSão da minha aTribulada vida. 
a equipe de conSulToreS da braSiliano que maiS Trabalhou comigo em projeToS: 
Sandra, guSTavo, alfredo, pedro paulo, daviS, carloS eduardo, perella, jefferSon, KíSSia, 
lucaS e oS pica-pauS junior e adriSon, pela paciência de “aTurar” um chefe anSioSo.
aoS amigoS e colegaS deSTe noSSo mercado vuca, a quem Seria impoSSível nomear 
individualmenTe, que incenTivaram com palavraS e geSToS.
a TodoS meuS alunoS, TanTo oS do curSo de eSpecialização (mba), como oS doS curSoS 
de exTenSão, grandeS incenTivadoreS deSTa luTa conTínua da peSquiSa. 
a TodoS oS meuS clienTeS, oS verdadeiroS proTagoniSTaS deSTe Trabalho. 
AGRADECIMENTOS
7 
SUMÁRIO
Palavras do autor 8
 1. Introdução 13
 2. Contexto holístICo da gestão de rIsCos CorPoratIvos 15
 3. a gestão de rIsCos CorPoratIvos e os objetIvos estratégICos da organIzação 41
 4. a gestão de rIsCos CorPoratIvos e as 3 lInhas de defesa 47
 5. Melhores PrátICas: fraMeworks de MerCado 53
 6. ConCeIto de rIsCo – aPetIte ao rIsCo 85
 7. ConCeIto de rIsCo – rIsCo Inerente e rIsCo resIdual 90
 8. Controles Internos e a gestão de rIsCos 93
 9. fases do ProCesso de gestão de rIsCos CorPoratIvos – Método brasIlIano 97
 10. CoMunICação e Consulta 100
 11. Contexto estratégICo 122
 12. IdentIfICação dos rIsCos 152
 13. análIse e avalIação de rIsCos – Inerente 185
 14. análIse e avalIação de rIsCos – resIdual 205
 15. resPostas aos rIsCos 215
 16. MonItoraMento e análIse CrítICa 233
 17. ConClusão 241
referênCIas 243
sobre o autor 247
8 
PALAVRAS DO AUTOR
O atual contexto de Gestão de Riscos Corporativos das organizações, no Brasil e no mundo, está cada vez mais 
complexo e dinâmico, exigindo um processo com alta flexibilidade e demandando um nível elevado da área de gestão de 
riscos, bem como uma maior oportunidade na avaliação contínua e na resposta a potenciais cenários de riscos. 
Essa é a principal razão da revisão completa do Processo de Gestão e Análise de Riscos Corporativos, Método Brasiliano 
– Avançado, incluindo a troca do nome para Inteligência em Riscos – Gestão Integrada em Riscos Corporativos, pois 
as variadas disciplinas de riscos devem estar debaixo do mesmo framework, falando a mesma linguagem, de tal 
forma que possa haver uma interpretação das informações relevantes gerando a verdadeira inteligência em riscos 
na organização. Essa Inteligência em Riscos Corporativos, a integração das disciplinas, agrega valor para o negócio e 
previne contra as incertezas no ambiente de negócios, ajudando, dessa forma, a empresa a priorizar recursos. Outro 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
9 
desafio prioritário que se coloca é integrar a estrutura de gestão de riscos (GR) aos processos e às estratégias da 
organização. Além de mensurar os riscos da empresa, o objetivo destacado pelas organizações é a criação de uma 
função integrada às estratégias da organização, que gere e preserve valor aos acionistas.
Este livro, totalmente remodelado, com novos critérios e novas ferramentas, alinhadas e integradas com os três 
frameworks essenciais: a ISO 31000, o COSO I – Controles Internos, Revisado em 2013 e COSO II, ERM. O motivo da 
integração das três estruturas em um só framework é que o ambiente de negócio, hoje, passa por fortes mudanças, 
exigindo dos gestores e de seus administradores um modelo de gestão de riscos flexível, mas ao mesmo tempo 
consistente e estruturado, a fim de atender as regulações e as exigências do mercado. 
Hoje podemos dizer que o mercado empresarial passa pelo que chamamos de VUCA, uma sigla utilizada para 
descrever a volatilidade (volatility), a incerteza (uncertainty), a complexidade (complexity) e a ambiguidade (ambiguity) 
nos ambientes e nas situações de negócio. VUCA em inglês, VICA em português. Oriunda do vocabulário militar 
americano, o uso comum do termo VUCA começou no final dos anos 1990. O conceito VUCA expressa a complexidade 
da nossa sociedade contemporânea, devido à interdependência e a globalização – situações que antes tinham pouco 
impacto agora refletem em toda sociedade. Por exemplo, a catástrofe de Fukushima, em 2011, fez as montadoras 
japonesas no Brasil pararem suas linhas produtivas devido à falta de peças. Em outras palavras, a interdependência é 
uma realidade no mundo globalizado e deve fazer parte da gestão de riscos. 
Partindo dessa abordagem, o US Army War College formulou um programa de formação para o desenvolvimento 
das lideranças militares, ao nível estratégico, o qual contempla a adoção de metodologias adequadas para enfrentar 
o VUCA e fazer frente a um ambiente extremamente agressivo e predador. O US Army War College caracteriza os 
componentes desse contexto envolvente do seguinte modo:
- Volatilidade: é marcada pelo ritmo elevado com que ocorrem mudanças com impacto na vida das sociedades desenvolvidas e, 
concomitantemente, nas suas organizações. Assim, no atual contexto da Era da Informação e do Conhecimento, os dados e as 
evidências existentes no momento presente podem não ser suficientes para a tomada de decisão. Antecipar e prever o que pode 
acontecer, por exemplo, durante o período de execução de um projeto, são dimensões, por vezes, absolutamente decisivas.
- Incerteza: é uma característica do contexto marcada pela necessidade de se assumir que o conhecimento sobre uma 
dada situação é sempre incompleto, potencializando, desse modo, o aparecimento de opiniões divergentes sobre a melhor 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
10estratégia a seguir, exigindo uma cuidadosa análise do risco. De fato, é cada vez mais difícil levantar cenários futuros com 
base em acontecimentos passados.
- Complexidade: característica do contexto envolvente que está associada à dificuldade de compreender o resultado das 
interações das várias componentes de um sistema, uma vez que estas raramente são de natureza mecanicista e linear. 
A Teoria da Complexidade vem, desse modo, mostrar a interdependência essencial de todos os fenômenos. Nesse ponto, 
a assunção de fenômenos complexos, no seio de uma organização, impõe a necessidade de admitir interações não 
lineares entre os componentes do sistema, com consequências que se multiplicam rápida e imprevisivelmente. Carac-
terística mais marcante dos séculos XX e XXI.
- Ambiguidade: descreve um tipo específico de incerteza que resulta de diferenças na interpretação quando as evidên-
cias existentes são insuficientes para esclarecer o significado de um determinado fenômeno. Na prática, no âmbito 
da gestão das organizações, a consequência desse fato é a elevada probabilidade de as lideranças poderem interpre-
tar, legitimamente, eventos de formas diferentes, aumentando significativamente a probabilidade de erros na interpre-
tação desses eventos. A imprecisão da realidade, o potencial de erros de leitura, os significados misto de condições; 
a falta de ação, confusão entre causa e efeito e a falta de clareza. Para Greg Hutchins, especialista americano em 
gestão da qualidade e gestão de risco: “nós estamos saindo de um mundo linear de saber a solução dos problemas 
e tomar uma decisão clara para um mundo dinâmico de entender o sentido, de tomada de decisão baseada no risco, 
em condições VUCA”.
O mundo VUCA ou VICA só pode ser gerenciado com base em riscos. Daí a importância de todos os gestores saberem 
e/ou possuírem a competência de lidar com as incertezas. 
O contexto VUCA é baseado na própria gestão de riscos, lidando com cenários complexos e altamente dinâmicos, em 
que se exige dos gestores:
- visão do todo e não da parte; o gestor tem que enxergar a floresta e não a árvore; 
- grande velocidade na tomada de decisão (o movimento é mais importante, não podemos ficar parados, se ficarmos o 
inimigo mata! O ótimo é inimigo do bom; conhecem essa máxima?); 
- não ortodoxia, pensar fora da caixa, não dogmatizar soluções, ser criativo diante das incertezas; 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
11 
- colaboração e cocriação entre as equipes, redes de colaboração, estar conectado para o entendimento rápido do contexto; 
- agilidade, saber mover-se com grande flexibilidade, possuir estrutura leve para poder carregar. 
Para se vencer no mundo VUCA, é preciso possuir esses preceitos, o velho novo conceito da Gestão de Riscos. Por essa 
razão que a Gestão de Riscos deve ser internalizada nas empresas de forma a possuir capilaridade em todos os processos 
e respectivos níveis organizacionais. Com isso a média e a alta gerências das organizações estarão aptas a lidarem com o 
mundo VUCA e, dessa forma, a empresa terá uma grande vantagem competitiva frente aos seus concorrentes.
Após um grande período de economia pujante, o temor de uma recessão voltou a assombrar nós, brasileiros. As 
incertezas econômicas e políticas impulsionam esse cenário desafiador no Brasil, e ainda não há uma perspectiva 
clara de quanto tempo ele durará e qual é sua real profundidade. 
Além do esgotamento de um modelo de crescimento com base no consumo, o país convive com inseguranças que 
afetam o mercado de forma mais ampla, como custo de energia, escassez de recursos hídricos, falta de profissionais 
qualificados e mudança demográfica dos consumidores. Some-se a isso a volatilidade do câmbio, o aumento da taxa 
de juros e a pressão inflacionária, e aí temos um “VUCA” perfeito para gerenciar. 
Crises são cíclicas, inevitáveis e frequentemente desafiadoras, mas sempre é possível aos líderes aproveitar as 
oportunidades vindas com elas para obterem uma vantagem competitiva e posicionarem da melhor forma suas 
empresas para o momento de retomada do crescimento.
Para apoiar a gestão da organização nesse caminho desafiador, é que apresento meu livro, o qual traz reflexões para 
apoiar a travessia desse período, mantendo-nos atentos às oportunidades que possam surgir com a crise.
O livro reúne as informações e as orientações para que os gestores de riscos, de qualquer disciplina, possam, de 
forma prática e objetiva, elaborar a sua gestão de riscos, enxergando e compreendendo as incertezas do futuro. Em 
2015, o Brasil teve inúmeros exemplos de concretização de riscos corporativos com consequências massivas para 
as suas corporações e respectivas comunidades, por falta direta ou indireta de um processo estruturado de gestão 
de riscos. É uma motivação para que os profissionais e os líderes repensem as causas e não cometam mais os erros 
crassos que potencializaram os eventos. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
12 
Encerro este prefácio pedindo que os leitores façam uma reflexão acerca das palavras do explorador da Antártica 
Norman Vaughan, quando tiverem dificuldade de colocar em prática o processo ou encontrar resistência de seus 
pares ou superiores:
“Sonhe grande e ouse fracassar.”
Não tenhamos medo neste mundo de incerteza, se temos convicção, vamos em frente! 
Sucesso a todos!
Antonio Celso Ribeiro Brasiliano
abrasiliano@brasiliano.com.br
Setembro de 2016
13 
As empresas devem estar comprometidas com seus clientes, acionistas, parceiros comerciais e com a sociedade em 
que atua, focando esforços em reduzir os riscos existentes e/ou os que possam se manifestar no futuro e também na 
maximização das oportunidades de negócio. Para tanto, é necessário conhecer os riscos que a afetam e seus impactos 
sobre os seus negócios. 
Os riscos permeiam todos os níveis das atividades do negócio e, se não forem gerenciados adequadamente, poderão 
resultar em perdas financeiras, deterioração da imagem e reputação ou desencadear uma crise.
O gerenciamento de riscos tem se tornado um assunto de suma importância no meio empresarial, uma vez que a 
conscientização da necessidade de administração dos riscos potenciais é, hoje, uma questão de competitividade e 
sobrevivência.
1. INTRODUÇÃO
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
14 
Para que seja eficaz, o gerenciamento de riscos deve fazer parte da cultura de qualquer empresa e deve estar inserido 
em sua filosofia, nas práticas e nos processos de negócio.
O Método Avançado de Gestão de Riscos Corporativos – Método Brasiliano fornece um processo para a identificação 
e avaliação dos riscos. Esse método descreve os passos a serem percorridos, as ferramentas a serem utilizadas, os 
critérios a serem aplicados tanto na mensuração da probabilidade como do impacto, além de estabelecer, tendo em 
vista a criticidade e o apetite ao risco, a priorização das ações a serem executadas. É uma ferramenta de gestão, 
integrada com as três melhores e mais utilizadas práticas de mercado: ISO 31000, COSO I e COSO II. Portanto, é 
uma das únicas metodologias que integrou os três conceitos em um único framework, facilitando, dessa forma, a 
utilização por parte dos gestores.
15 
2.1 Origem da gestãO de riscOs 
A origem da gerência de risco teve seu início efetivo nos Estados Unidos e em alguns países da Europa, logo após a 
Segunda Guerra Mundial, quando os responsáveis pela segurança das grandes empresas, bem como os responsáveis 
pelos seguros, começaram a examinar a possibilidade de reduzir os gastos com prêmios de seguro e aumentar a 
proteção da empresa, frente aos perigos reais e potenciais. Só seria possível atingir tais objetivos – reduçãodos custos 
– com uma profunda análise das situações de risco. 
Além da avaliação das probabilidades de perda, tornou-se necessário identificar quais riscos poderiam ser 
considerados inevitáveis e quais poderiam ter a chance diminuída, de concretização, de forma direta. Em cima desse 
2. CONTEXTO HOLÍSTICO 
DA GESTÃO DE RISCOS 
CORPORATIVOS
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
16 
estudo detalhado, levantou-se a relação custo x benefício das medidas de segurança a serem implantadas, bem como 
a situação financeira da empresa, para escolha adequada do nível de segurança a ser atingido. 
A partir da década de 1970, o gerenciamento de riscos ligado à área de crédito e à área financeira tomou uma proporção 
grande, tendo em vista os sinais dos tempos de mudança. A desregulamentação, a globalização e a desintermediação 
mudaram a definição dos mercados e alteraram os aspectos econômicos das operações desses mercados. 
Uma pesquisa recente, realizada pela British Bankers’ Association (BBA), levantou que 70% dos bancos do Reino Unido 
consideravam seus riscos operacionais tão importantes quanto os riscos de crédito e de mercado. Quase um quarto 
desses bancos havia experimentado perdas relacionadas a operações de US$ 1,6 milhões de dólares. Dados históricos 
de perdas da Operational Risk Inc (ORI) sugerem que em mais de 50 casos instituições individuais perderam mais de US$ 
500 milhões cada uma, enquanto que, em 30 casos, empresas perderam acima de US$ 1 bilhão cada uma. 
Nesse enfoque, o entendimento de risco corporativo começou a tomar outro corpo dentro das organizações. Embora 
o risco acompanhe o homem e seja inerente à sua natureza, as organizações começaram a observar e sentir que 
nem todos os riscos eram iguais. O que ocorre quando se faz uma viagem de avião não é igual ao de uma dona 
de casa nas suas tarefas domésticas, nem esses dois eventos são comparáveis ao de um navegante solitário que 
cruza o Atlântico. A era da crença excessiva na racionalidade gerencial parece ter chegado ao fim. Hoje, sabe-se que 
o mundo organizacional é mais complexo e ambíguo do que se pensava. A atuação gerencial, hoje, convive com a 
imprevisibilidade e com a ambiguidade. E um dos elementos principais dessa convivência é ter que tomar decisões 
baseadas em informações incompletas e/ou em constante mudança. O mundo VUCA!
Os acontecimentos em 2001, desde o ataque terrorista de 11 de setembro até as grandes fraudes nas corporações 
americanas; e, em 2015, no Brasil, os casos de fraudes e corrupção passaram a sensibilizar os decisores quanto 
à necessidade de monitorar, de forma constante, as variáveis internas e externas às empresas. Variáveis essas que 
poderiam influenciar sua Cadeia de Valor, ou seja, a necessidade de administrar riscos, tanto reais como os potenciais, 
passa a ser, hoje, uma questão de competitividade e sobrevivência.
Num cenário em que as mudanças são velozes, as instabilidades, permanentes, e há um predomínio de alta 
imprevisibilidade, a formulação de estratégias organizacionais já não pode combinar com métodos tradicionais de projeção 
e análise. Mais uma vez o mundo VUCA comparece integrado com a gestão de riscos, visando gerenciar a incerteza.
villa
Realce
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
17 
2.2 a NOva FuNçãO dO gereNciameNtO de 
riscOs cOrpOrativOs – iNteligêNcia em riscOs 
Cabe, antes de prosseguir, definirmos a Gerência de Riscos, sob o aspecto do seguro, no qual quase tudo começou, 
vejamos: “O processo para conservar o poder de ganho e o patrimônio da empresa (ou pessoa) pela minimização do 
efeito financeiro de perdas acidentais” (Jaime Cristy).
É preciso, também, estabelecer a distinção entre risco puro e risco especulativo. Os vários autores e estudiosos, 
principalmente norte-americanos, da Gerência de Riscos, digamos, “tradicional”, têm classificado os riscos que podem 
atingir uma empresa, basicamente, em riscos especulativos (ou dinâmicos) e riscos puros (ou estáticos).
A diferença principal entre essas duas categorias está no fato de que os riscos especulativos envolvem uma chance 
de ganho ou uma mesma possibilidade de perda; ao passo que os riscos puros envolvem somente uma possibilidade 
de perda, não existindo nenhuma chance de ganho ou de lucro.
Um exemplo clássico, que mostra essa diferença, é o do proprietário de um veículo, cujo risco (puro) que está 
associado a ele é o da perda potencial por colisão. Se ocorrer eventualmente uma colisão, o proprietário sofrerá, no 
mínimo, uma perda financeira. Se não ocorrer nenhuma colisão, o proprietário não terá, obviamente, nenhum ganho.
Hoje em dia a visão e o escopo do gerenciamento de risco corporativo ficou muito mais amplo, muito mais holístico, 
abrangendo inúmeras disciplinas nas empresas, decorrentes das atividades desenvolvidas nas organizações. A 
alta direção deve ter uma visão consolidada de suas exposições, sejam operacionais, sejam legais, financeiras ou 
estratégicas. Para esse fim, é necessária a criação de uma área específica, com uma estrutura e recursos definidos. 
As atividades de um departamento de gerenciamento de riscos corporativos, dentro do enfoque moderno, abrange 
inúmeras disciplinas. Muitas dessas atividades são comuns a uma ampla gama de funções administrativas. Por essa 
razão, é que esse departamento deve possuir processo sistêmico e contínuo de identificação de exposição, medição, 
análise, controle, prevenção, redução, avaliação e financiamento de riscos. Essa nova função ajuda a integrar riscos 
financeiros e não financeiros tradicionais a seguros e responsabilidade legal. É uma área que possui uma grande 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
18 
abrangência, mas com muitas interações por meio de diferentes disciplinas e, portanto, com uma necessidade de uma 
abordagem integrada. Algumas das disciplinas de riscos que devem interagir entre si são: 
1) RISCOS ESTRATÉGICOS
2) RISCOS OPERACIONAIS – LIGADOS À OPERAÇÃO 
3) RISCOS NOS PROCESSOS 
4) RISCOS DE TECNOLOGIA DA INFORMAÇÃO
5) RISCOS DE MEIO AMBIENTE
6) RISCOS DE SAÚDE E SEGURANÇA DO TRABALHADOR
7) RISCOS DE SEGURANÇA EMPRESARIAL 
8) RISCOS FINANCEIROS 
9) RISCOS LEGAIS
10) RISCOS SOCIAIS
11) RISCOS DE SUSTENTABILIDADE
12) RISCOS DE COMUNICAÇÃO
13) RISCOS DE FRAUDES
14) RISCOS NA CADEIA LOGÍSTICA
15) RISCOS NO PROJETO
16) OUTRAS TANTAS DISCIPLINAS
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
19 
Essas disciplinas devem estar incorporadas com um único framework e com políticas integradas, de modo que a 
empresa fale uma mesma linguagem. Esse é o principal desafio das empresas: integrar as disciplinas para que 
possam possuir a chamada Inteligência em Riscos Corporativos – IRC. 
O gerenciamento de riscos, sob esse enfoque, contribui para o fortalecimento e a eficácia operacional e financeira 
da empresa, na medida em que proporciona mecanismos de alocação de recursos para o seu emprego mais eficiente 
e eficaz, atingindo de forma direta a efetividade.
Portanto, a função do gestor de riscos é de integrar disciplinas e gerenciar as informações das inúmeras disciplinas 
de riscos. O gestor de riscos tem que relacionar os diversos riscos e verificar as interdependências entre eles. Hoje 
por si só não existe mais a possibilidade de só ter como ferramenta de gestão a Matriz de Riscos, mas deve também 
ter a Matriz de Impactos Cruzados para ver a motricidade entre riscos. Segundo o Fórum Econômico Mundial, em seu 
Relatório de Riscos Globais de 2015 ressalta: “A edição 2015 do relatório de Riscos Globais completa uma década 
destacando os riscos a longo prazo mais significantes ao redor do mundo,extraindo as perspectivas de especialistas 
e dos tomadores de decisões globais. Nesse tempo, a análise mudou da identificação dos riscos a pensar através das 
interconexões dos riscos e os potenciais efeitos-cascata que resultarão deles”.
Podemos então afirmar que a função do gestor de riscos corporativos é possuir Inteligência em Riscos, levado para 
a alta administração os riscos considerados mais críticos, já com as conexões feitas. 
Com o modelo a seguir entendemos a Inteligência em Riscos em integrar soluções e indicadores, fornecendo para 
os decisores a visão holística dos riscos considerados críticos e as respectivas soluções integradas, com um farol de 
monitoramento de acompanhamento das evoluções. Dessa forma a organização possuirá verdadeiramente condições 
operacionais de se antecipar de forma objetiva a possíveis riscos, trabalhando de forma preventiva e não só de forma 
reativa. A organização ganha com isso velocidade e competitividade, fatores-chave de sucesso em um mundo VUCA! 
villa
Realce
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
20 
A área de GRC como integradora e analista das informações estratégicas de riscos corporativos.
A abrangência da área da Gestão de Riscos Corporativos é muito grande, deixando de ser somente uma abordagem 
financeira e regulamentar – trabalhista, tributária e de investimento. A tendência é que a área de gestão de 
riscos caminhe para fatores de interesse de seus stakeholders, com forte atenção à imagem e à reputação das 
organizações. Por essa razão a amplitude cresceu e acabou abrangendo a organização como um todo, envolvendo as 
médias gerências como responsáveis na gestão de riscos corporativos. Dessa maneira a área de riscos passa atuar 
como uma área de Inteligência em Riscos, ou seja, de interpretação das informações e utilização de ferramentas 
estratégicas. A figura abaixo demonstra esta abrangência nas áreas e processos das organizações, incluindo os 
fornecedores críticos/estratégicos.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
21 
Abrangência da área de Gestão de Riscos Corporativos nas empresas.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
22 
Outro ponto a destacar na nova função do Gerenciamento de Riscos Corporativos e do seu gestor é o foco de atuação, 
que primordialmente é o da prevenção, o da antecipação, mas também, como resposta aos cenários de riscos, tem que 
ter estruturado respostas a emergências, descontinuidade de negócio e de crises. Atualmente o mercado identificou 
a necessidade de uma abordagem integrada à gestão de riscos, envolvendo temas como mercado, estratégia, modelo 
de negócio, segurança cibernética, anticorrupção e reputação corporativa. Essa abordagem demanda compreender 
e responder a interconectividade entre riscos de diferentes naturezas à medida que, e muito impulsionado pela 
tecnologia, os mais variados fatores podem gerar cenários de descontinuidade e de crises, impactando as operações 
e os respectivos resultados das empresas no curto, médio e longo prazo. 
Frente a esse novo contexto, mundo VUCA, torna-se imperioso que as empresas intensifiquem esforços no 
aprimoramento nas estruturas integradas – Inteligência em Riscos –, em que o gestor possa enxergar e trabalhar tanto 
a prevenção como as contingências. Na verdade a função do gestor de riscos é de um “chapéu de dois bicos”: de um 
lado a prevenção e do outro as respostas para as emergências, continuidade de negócio e crises empresariais. Tudo 
isso integrado em um único framework. 
A função da gestão de riscos, vista sob a ótica estratégica, atua no aumento da resiliência empresarial. Nesse 
sentido, a maturidade dessa função interfere diretamente na qualidade e no entendimento global dos riscos, sejam 
eles internos, sejam eles externos, que podem produzir relevantes cenários de descontinuidade e ou de crises. 
O grande passo da gestão de riscos está relacionado à definição e à qualificação de um panorama dos potenciais 
cenários de descontinuidade e de crise, que podem e ou devem serem gerados com base na avaliação geral de riscos 
operacionais, legais e estratégicos, levando em consideração a linguagem comum de riscos e o impacto para as 
operações e a reputação da empresa. Essa base de potenciais cenários de descontinuidade e ou de crises deverão 
orientar a estruturação dos planejamentos das respostas estruturadas e respectivas alternativas. É nesse momento 
que deve se definir, com extrema clareza, o nível de complexidade e dimensão do impacto no contexto (empresa e 
sociedade como um todo).
No quadro a seguir podemos visualizar uma visão holística do processo preventivo e contingencial da função do 
gestor de riscos do século XXI.
villa
Realce
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
23 
Ocorre o evento 
Processos 
Serviços 
Vidas em perigo 
Indisponíveis 
Recuperação 
 
Identi�cação 
Análise 
de Riscos 
 
 Acionamento das respostas Continuidade 
de Negócios 
PREVENÇÃO 
PREMISSA: Saber quais são 
os cenários de riscos!! 
Protocolos de emergências 
 Ações Imediatas 
Ações e 
recursos 
Emergenciais 
 
Avaliação 
de Danos 
 
Procedimentos 
Imediatos 
Procedimentos de 
Continuidade Operacional 
Operacionalização 
da Recuperação 
Retomada 
Operacional 
Ações nas 
causas raízes 
dos Riscos 
Visão holística do processo macro de GRC, incluindo a prevenção, emergência, crise, continuidade e a recuperação dos negócios.
2.3 categOrias de riscOs 
Não há uma fórmula para classifi car riscos corporativos. Não existe uma classifi cação de riscos que seja consensual, 
exaustivo e aplicável a todas as organizações; a classifi cação deve ser desenvolvida de acordo com as características 
de cada organização, contemplando as particularidades da indústria, do mercado e do setor de atuação. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
24 
Por exemplo: os estoques de materiais de consumo são menos relevantes para um banco do que para uma indústria, 
na qual pode representar um dos principais fatores de risco. Analogamente, as variáveis relacionadas ao “risco de 
mercado” são cruciais para um banco e podem não ser tão relevantes para determinada organização manufatureira.
Portanto, dependendo do tipo de segmento que a empresa atua podemos ter as seguintes categorias de riscos: 
2.3.1 riscO de mercadO
O risco de mercado pode ser definido como uma medida numérica da incerteza relacionada aos retornos esperados 
de um investimento, em decorrência de variações em fatores como taxas de juros, taxas de câmbio, preços de ações 
e commodities. As principais subáreas do risco de mercado são: 
a) Risco de Taxas de Juros
 Pode ser definido como o risco de perda no valor econômico de uma carteira, decorrente dos efeitos de mudanças 
adversas das taxas de juros. Podemos citar como exemplos: 1) Eventual perda do valor de mercado de títulos públicos 
(BBCs, brady bonds, etc.) ou privados (corporate eurobonds, etc.); 2) Encarecimento do custo de funding; 3) Queda da 
taxa de reinvestimento.
b) Risco de Taxas de Câmbio
 Pode ser definido como o risco de perdas devido a mudanças adversas nas taxas de câmbio. Dois exemplos: 1) Variação 
nos preços de NTN-Ds, NBC-Es, NBC-Fs, de ativos internacionais negociados em moeda estrangeira, devido à apreciação/
depreciação relativa de moedas; 2) Descasamentos em uma carteira indexada a alguma moeda estrangeira.
c) Risco de Commodities
 Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de commodities. Exemplo: 
Variação nos preços de carteiras constituídaspor ouro, prata, platina, soja, café, boi gordo, cacau, etc.
d) Risco de Ações
 Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de ações. Exemplo: Variação nos 
preços de carteiras constituídas por ações como Petrobras PN, Vale PN, Eletrobras PNB, ADRs de Usiminas PN, etc.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
25 
e) Risco de Liquidez
 Pode ser definido como o risco de perdas devido à incapacidade de se desfazer rapidamente uma posição, ou obter 
“funding”, devido às condições de mercado. Exemplos: 1) Carteiras de eurobonds brasileiros, ações de segunda e terceira 
linhas, alguns contratos futuros negociados na BM&F, etc.; 2) Situações em que não é possível “rolar” dívidas nos mercados 
financeiros; 3) Ajustes de margens que venham a consumir a liquidez da instituição.
f) Risco de Derivativos
 Pode ser definido como o risco de perdas devido ao uso de derivativos (seja para especulação, seja para hedge). Exemplo: 
Variação no valor de posições de contratos de swaps, futuros, a termo, opções, etc.
g) Risco de Hedge
 Pode ser definido como o risco de perdas devido ao uso inapropriado de instrumentos para hedge. Exemplos: 1) Perdas 
por falta de rebalanceamento dinâmico de hedges em resposta a movimentos bruscos no mercado; 2) Hedge subótimo de 
ativos/passivos (opções cambiais, brady bonds, etc.).
h) Risco de Concentração (mercado)
 Pode ser definido como o risco de perdas devido à não diversificação do risco de mercado de carteiras de investimentos. 
Exemplos: Investimentos excessivamente concentrados em poucos indexadores, moedas, ativos, vencimentos, etc.
2.3.2 riscO de créditO
O risco de crédito pode ser definido como uma medida numérica da incerteza relacionada ao recebimento de um valor 
contratado/compromissado, a ser pago por um tomador de um empréstimo, contraparte de um contrato ou emissor 
de um título, descontadas as expectativas de recuperação e realização de garantias. As principais subáreas do risco 
de crédito são: 
a) Risco de Inadimplência
 Pode ser definido como o risco de perda pela incapacidade de pagamento do tomador de um empréstimo, contraparte de 
um contrato ou emissor de um título. Exemplos: 1) Não pagamento de juros e/ou principal de crédito pessoal, empréstimos 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
26 
para pessoa jurídica, cartão de crédito, leasing, etc.; 2) Não pagamento de juros e/ou principal de títulos de renda fixa 
(nacionais/internacionais, públicos/privados) pelo emissor.
b) Risco de Degradação de Crédito
 Pode ser definido como o risco de perdas pela degradação da qualidade creditícia do tomador de um empréstimo, contra-
parte de uma transação ou emissor de um título, levando a uma diminuição no valor de suas obrigações. Exemplo: Perdas 
em títulos soberanos e/ou corporativos pela redução do rating do país emissor.
c) Risco de Degradação das Garantias
 Pode ser definido como o risco de perdas pela degradação da qualidade das garantias oferecidas por um tomador de um 
empréstimo, contraparte de uma transação ou emissor de um título. Exemplos: 1) Empréstimos cujas garantias não mais 
existam; 2) Depreciação no valor das garantias depositadas em bolsas de derivativos.
d) Risco Soberano
 Pode ser definido como o risco de perdas pela incapacidade de um tomador de um empréstimo, contraparte de uma 
transação ou emissor de um título, em honrar seus compromissos em função de restrições impostas por seu país-sede. 
Exemplo: Transações que envolvam transferências internacionais de títulos ou de câmbio.
e) Risco de Financiador
 Pode ser definido como o risco de perdas por inadimplência do financiador de uma transação, potencializada quando o 
contrato não contempla acordo de liquidação por compensação de direitos e obrigações (netting agreement). Exemplo: 
Repurchase transactions que não contemplem o netting de direitos/obrigações (ao contrário dos ISMA Agreements).
f) Risco de Concentração (crédito)
 Pode ser definido como o risco de perdas em decorrência da não diversificação de risco de crédito de investimentos. Exem-
plos: 1) Concentrar empréstimos em poucos setores da economia, classes de ativos, etc.; 2) Possuir parte substancial dos 
passivos de um devedor (por exemplo, um emissor de debêntures).
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
27 
2.3.3 riscO OperaciONal
O risco operacional pode ser definido como uma medida numérica da incerteza dos retornos de uma instituição, caso 
seus sistemas, práticas e medidas de controle não sejam capazes de resistir a falhas humanas, danos à infraestrutura 
de suporte, utilização indevida de modelos matemáticos ou produtos, alterações no ambiente dos negócios, ou a 
situações adversas de mercado. As principais subáreas do risco operacional são: 
a) Risco de Overload
 Pode ser definido como o risco de perdas por sobrecargas nos sistemas elétrico, telefônico, de processamento de dados, 
etc. Exemplos: 1) Sistemas não operacionais em agências bancárias, por acúmulo de informação nos canais de comuni-
cação com a central de atendimento; 2) Linhas telefônicas constantemente ocupadas.
b) Risco de Obsolescência
 Pode ser definido como o risco de perdas pela não substituição frequente dos equipamentos e softwares antigos. Exemplos: 
1) Versões atualizadas de softwares não compatíveis com hardware antigo; 2) Impossibilidade de integrar sistemas com-
putacionais desenvolvidos em versões de softwares diferentes.
c) Risco de Presteza e Confiabilidade
 Pode ser definido como o risco de perdas, pelo fato de informações não poderem ser recebidas, processadas, arma-
zenadas e transmitidas em tempo hábil e de forma confiável. Exemplos: 1) Situações em que informações consolida-
das sobre exposição de um banco não podem ser obtidas em tempo hábil para análise; 2) Impossibilidade de prestar 
informações precisas em determinados horários devido à atualização de bancos de dados ocorrer por processamento 
em batch.
d) Risco de Equipamento
 Pode ser definido como o risco de perdas por falhas nos equipamentos elétricos, de processamento e transmissão de da-
dos telefônicos, de segurança, etc. Exemplos: 1) Redes de micros contaminados por vírus; 2) Discos rígidos danificados; 3) 
Telefonia não operacional por falta de reparos.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
28 
e) Risco de Erro Não Intencional
 Pode ser definido como o risco de perdas em decorrência de equívoco, omissão, distração ou negligência de funcionários. 
Exemplos: 1) Mal atendimento de correntistas (má vontade, falta de informação, etc.); 2) Posicionamento da tesouraria no 
mercado contrário ao especificado pelo Comitê de Investimentos.
f) Risco de Fraudes
 Pode ser definido como o risco de perdas em decorrência de comportamentos fraudulentos (adulteração de controles, 
descumprimento intencional de normas da empresa, desvio de valores, divulgação de informações erradas, etc.). Ex-
emplos: 1) Desvio de dinheiro de agência bancária; 2) Aceitação de “incentivos” de clientes para conceder crédito em 
valores mais elevados.
g) Risco de Qualificação
 Pode ser definido como o risco de perdas pelo fato de funcionários desempenharem tarefas sem qualificação profissional 
apropriada à função. Exemplos: 1) Uso de estratégias de hedge com derivativos, sem conhecimento por parte do operador 
das limitações desta; 2) Cálculo de perdas e lucros em carteiras, sem conhecimento dos mercados; 3) Iniciar operações em 
mercados “sofisticados”, sem contar com equipes (back-office e front-office) devidamente preparadas.
h) Risco de Produtos e Serviços
 Pode ser definido como o risco de perdas em decorrência da venda deprodutos ou prestação de serviços ocorrer de forma 
indevida, ou sem atender às necessidades e demandas de clientes. Exemplos: 1) Envio de cartões de crédito sem consulta 
prévia ao cliente; 2) Recomendar a clientes de perfil conservador o investimento em fundos de derivativos alavancados 
diante de um bom desempenho no passado recente desses mesmos fundos.
i) Risco de Regulamentação
 Pode ser definido como o risco de perdas em decorrência de alterações, impropriedades ou inexistência de normas para 
controles internos ou externos. Exemplos: 1) Alteração de margens de garantia ou de limites de oscilação em bolsas de 
derivativos sem aviso antecipado ao mercado; 2) Front-office responsável pela operação do back-office.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
29 
j) Risco de Modelagem
 Pode ser definido como o risco de perdas pelo desenvolvimento, pela utilização ou interpretação incorreta dos resultados 
fornecidos por modelos, incluindo a utilização de dados incorretos. Exemplos: 1) Utilizar software comprado de terceiros, sem 
conhecimento de suas limitações; 2) Utilizar modelos matemáticos, sem conhecimento de suas hipóteses simplificadoras.
k) Risco de Liquidação Financeira
 Pode ser definido como o risco de perdas em decorrência de falhas nos procedimentos e controles de finalização das 
transações. Exemplos: 1) Envio e/ou recebimento de divisas em praças com diferentes fusos horários, feriados, regras 
operacionais, etc.
l) Risco Sistêmico
 Pode ser definido como o risco de perdas devido a alterações no ambiente operacional. Exemplos: 1) Alteração abrupta de 
limites operacionais em bolsas, levando todas as instituições financeiras a dificuldades; 2) Modificação repentina de base 
de cálculo de tributos corporativos.
m) Risco de Concentração (operacional)
 Pode ser definido como o risco de perdas por depender de poucos produtos, clientes e/ou mercados. Exemplo: Bancos que só 
operem financiando clientes de determinado segmento (por exemplo, setor automotivo, crédito a lojistas, etc.).
n) Risco de Imagem
 Pode ser definido como o risco de perdas em decorrência de alterações da reputação com clientes, concorrentes, órgãos 
governamentais, etc. Exemplo: Boatos sobre a saúde de uma instituição, desencadeando corrida para saques.
o) Risco de Catástrofe
 Pode ser definido como o risco de perdas devido a catástrofes (naturais ou não). Exemplos: 1) Desastres naturais (enchen-
tes) que dificultem a operação diária da instituição ou de áreas críticas como centros de processamento, de telecomuni-
cações, etc. 2) Destruição do patrimônio da instituição por desastres que abalem a estrutura civil de prédios (colisão de 
aviões, caminhões, etc.), incêndios, etc.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
30 
2.3.4 riscO legal | cONFOrmidade
O risco legal pode ser definido como uma medida numérica da incerteza dos retornos de uma instituição, caso seus 
contratos não possam ser legalmente amparados por falta de representatividade por parte de um negociador, por 
documentação insuficiente, insolvência ou ilegalidade. As principais subáreas do risco legal são:
a) Risco de Legislação
 Pode ser definido como o risco de perdas decorrentes de sanções por reguladores e indenizações por danos a terceiros 
por violação da legislação vigente. Exemplos: 1) Multas por não cumprimento de exigibilidades; 2) Indenizações pagas a 
clientes por não cumprimento da legislação; 3) Interdição de projetos, obras, empresas por violação da legislação vigente; 
4) Processo crime para uso administradores por violação.
b) Risco Tributário
 Pode ser definido como o risco de perdas devido à criação ou nova interpretação da incidência de tributos. Exemplos: 1) Criação 
de impostos novos sobre ativos e/ou produtos; 2) Recolhimento de novas contribuições sobre receitas, não mais sobre lucros.
c) Risco de Contrato
 Pode ser definido como o risco de perdas decorrentes de julgamentos desfavoráveis por contratos omissos, malredigidos 
ou sem o devido amparo legal. Exemplos: 1) Pessoa sem poder para assinar contratos representando a instituição; 2) Não 
execução pronta de garantias, requerendo o acionamento do jurídico; 3) Responsabilidades cobertas nos contratos de 
terceirização colocadas de forma pouco objetivas.
2.3.5 riscOs estratégicOs 
Os riscos estratégicos alvejam um ou mais elementos cruciais na concepção do modelo de negócio da empresa, ou 
seja, afeta as atividades primárias da Cadeia de Valor. Em alguns casos podem até acabar com o vínculo da empresa 
com o mercado. Em outros casos, diminuem a proposta de valor que a empresa oferece, que pode ser a base do fluxo 
de receita. Podem também diluir os lucros dos quais dependem. Às vezes destroem a gestão estratégica que ajuda a 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
31 
empresa a monitorar e controlar a concorrência. No pior cenário possível, riscos estratégicos podem ameaçar todos os 
pilares que sustentam os objetivos da empresa. 
No contexto moderno seguindo a citação de Adrian J. Slywotzky, em seu livro Do risco à oportunidade, há sete 
grandes tipos de riscos estratégicos que qualquer empresa deve estar preparada para enfrentar. Embora a empresa 
vá continuar enfrentando outros tipos de riscos, dos tipos geopolítico, regulatório, operacional, estes setes riscos 
estratégicos compreendem a gama de riscos que expõe a concepção do negócio da maioria das empresas. Em outras 
palavras, a gestão de riscos, por conceito, passa também a lidar com a gestão estratégica e o monitoramento contínuo 
dos objetivos empresariais. 
Os sete riscos estratégicos são: 
a) Sua grande iniciativa falha: isso significa nos projetos que são liderados, tais como lançamento de novos produtos, expan-
são do mercado, fusão, entre outros. De acordo com estudos realizados, a grande maioria dos projetos novos possuem uma 
probabilidade real de sucesso em torno de 20%! 
b) Seus clientes abandonam: a empresa foi surpreendida pelos clientes – mudanças repentinas e imprevistas em suas 
preferências, prioridades e gostos? Nesse caso a base da receita poderá ruir rapidamente, pois sem mercado não existe 
empresa.
c) Seu setor chega a uma bifurcação na estrada: quando as mudanças na tecnologia ou concepção do negócio transformam 
um setor, até 80% das empresas incumbentes não sobrevivem à transição.
d) Um concorrente aparentemente invencível aparece: quando a empresa encontrar um forte concorrente, será possível sobre-
viver e prosperar enquanto as outras empresas estão sendo destruídas.
e) Sua marca perde a força: uma grande marca é uma fortaleza de valor – 40% das principais marcas já vivenciaram grandes 
impactos. Isso ocorre quando os gestores da empresa possuem uma visão estreita das marcas, ignorando a integração 
entre marca, produto e concepção do negócio.
f) Seu setor torna-se zona de lucro zero: inúmeros setores padeceram de maior concorrência, maior poder do cliente e com-
pressão de margem, até um ponto em que os lucros ficam praticamente zerados.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
32 
g) Sua empresa para de crescer: quando as vendas atingem estagnação, o impacto é imediato e doloroso, tais como novos 
talentos começam a sair da empresa e ou novas iniciativas são paralisadas. 
Cada um dos riscos listados acima podem, simplesmente, exterminar o negócio da empresa. Isso acontece porque os 
riscos são ou menos desprezados ou ignorados pela gestão, que, ou partem do princípio que a estratégia da empresa 
e os riscos que a ameaçam são responsabilidade única e exclusiva da direção, ou que esses tipos de riscos não irão 
ocorrer em suas empresas. 
2.3.6 riscO de liquidez e/Ouatuarial
Esse tipo de risco é específico a Fundos de Pensão, empresas de Previdência Privada. É decorrente da possibilidade 
de perdas por inadequação dos níveis de contribuição necessárias à manutenção dessas disponibilidade ao longo 
do tempo, da especificação deficiente dos planos de benefícios e seus reflexos nas provisões técnicas exigidas. 
Exemplos: Interpretação indevida de regulamentos ou critérios que subsidiam o cálculo das provisões técnicas; 
especificação inadequada dos planos de benefícios e das premissas atuariais; avaliação atuarial inadequada motivada 
pela inconsistência na base de informações; adoção de premissas e hipóteses que não confirmem, ou que se revelem 
pouco aderentes ao grupo de participantes ou, ainda, do uso de metodologias que se mostrem inadequadas; diferenças 
temporais entre fluxos de caixa gerados pelos ativos e passivos que implicam a falta de recursos para honrar obrigações, 
forçando a transformação de um ativo em caixa. 
A categorização de riscos mais comum, como benchmarking de mercado é: Estratégico, Operacional, Financeiro 
e Legal. Essas quatro categorias devem possuir vasos comunicantes entre elas, visando não ficar com uma visão 
limitada e ou segregada dos riscos. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
33 
2.4 iNtercONectividade eNtre riscOs 
2.4.1 cONceitO de iNtercONectividade
O relatório de Riscos Globais de 2014, do Forum Mundial, salienta como os riscos globais não apenas são interconectados 
mas também possuem impactos sistêmicos. Para gerir os riscos corporativos eficientemente e construir a resiliência aos 
seus impactos, esforços melhores são necessários para entender, medir e prever a evolução das interdependências 
(INTERCONECTIVIDADE) entre os riscos, suplementando as ferramentas tradicionais de gestão de riscos com novos 
conceitos projetados para ambientes incertos. Se os riscos não forem eficazmente abordados e interpretados, os 
prejuízos serão ampliados de forma geométrica e em todas as disciplinas. Podemos citar como exemplo a crise financeira 
de 2007/2008, na qual os impactos políticos, econômicos e sociais foram de longo alcance, de forma sistêmica e de 
uma capilaridade avassaladora. 
A natureza sistêmica dos riscos corporativos pede por uma visão estratégica holística dentro da corporação. Assim como 
sistemas de finanças, supply-chain, saúde e energia, a Internet e o ambiente se tornam mais complexos e interdependências e 
seus níveis de resiliência determinam se eles se tornam o baluarte da estabilidade ou amplificadores de choques em cascata. 
Fortalecer a resiliência requer a superação de desafios de ação coletivos por meio do entendimento dos vasos comunicantes 
entre riscos. Podemos citar o terremoto e tsunami no Japão em 2011, que quebrou toda a cadeia logística das empresas 
automobilísticas ao redor do mundo. Depois do terremoto de 11 de março, as fábricas automobilísticas japonesas deixaram 
de fabrircar mais de 500.000 veículos, e as perdas chegaram a bilhões, segundo especialistas do setor. “A China teria perdido 
no final de abril 25.000 veículos; a Europa, 55.000; e a América do Norte, 68.000”, estima Carlos da Silva, analista da Global 
Insight, contatado pela AFP. A maior montadora do mundo de automóveis, a japonesa Toyota, anunciou redução 50% a 70% de 
sua produção na China até 3 de junho de 2011. Os problemas na cadeia de abastecimento de componentes eletrônicos e 
materiais plásticos custaram à Toyota uma perda produtiva de mais de meio milhão de unidades em todo o mundo até junho 
de 2011. O conceito de “just in time” ficou exposto, sendo revisado em função da interdependência. 
Dessa maneira, não basta mais somente utilizar a Matriz de Riscos, cruzando probabilidade e impacto, pois essa 
avaliação fornece a criticidade dos riscos, dentro de suas disciplinas. É importante, mas não mais só isso! Há 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
34 
necessidade do entendimento da dinâmica entre riscos, ou seja, da motricidade entre eles. Quais riscos possuem força 
e capacidade de influenciar outros riscos? A partir daí podemos enxergar a verdadeira interconectividade entre riscos. 
Sem o estudo da interconectividade, realizando o estudo somente por disciplina ou por categoria de riscos, a empresa 
e seus gestores podem não enxergar os riscos sistêmicos. 
O risco sistêmico (Goldin e Mariathasan, da Princeton University) é o risco de “colapsos em um sistema inteiro, oposto 
ao colapso de partes e componentes individuais”. Os riscos sistêmicos são caracterizados por:
- pontos de ruptura modestos, combinados indiretamente para produzir grandes falhas;
- contágio ou compartilhamento de risco, como uma perda que desencadeia uma reação de outras;
- sistemas sendo incapazes de recuperar o equilíbrio depois de um choque. 
Esse estudo começou na década de 1960 com o cientista Edward Lorenz, cientista do MIT – Massachusetts Institute of 
Technology, que à época conduzia pesquisas sobre previsão do tempo. Descobriu variações imperceptíveis nos valores da 
pressão e temperatura, que combinadas geravam efeitos massivos em questões de dias nas previsões do tempo. É dele a 
famosa pergunta: Pode o bater das asas de uma borboleta no Brasil causar um tornado no Texas? O famoso Efeito Borboleta! 
Portanto, o risco sistêmico está relacionado à sensibilidade de pequenas variações nas condições iniciais de 
um sistema, que se desenvolvem e se combinam, produzindo um enorme efeito no sistema como um todo. Ações 
inconsequentes, desconexas e de pouca importância nas partes de um processo podem combinar e ocasionar impactos 
massivos nos processos das empresas ou no modelo de negócio. 
2.4.2 criticidade e mOtricidade de riscOs 
O Relatório de Riscos Globais de 2016, do Forum Mundial, mais uma vez salienta a importância de elaborar o estudo 
da conexões entre riscos, ou seja, de entender as influências entre riscos. O que um risco influência em outro? Qual é 
a motricidade dos riscos no contexto geral do quadro? 
O que o Relatório sugere, desde 2009, é que não só façamos o estudo da Matriz de Risco de Probabilidade e Impacto 
que identifica a criticidade do risco. (Figure 1)
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
35 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
36 
A Matriz acima só demonstra quais riscos são mais críticos, quais são mais severos, ou seja, a Matriz de Criticidade 
prioriza o tratamento frente a criticidade do seu impacto e probabilidade de seu acontecimento. 
Esse estudo não demonstra a interconectividade entre riscos. O estudo das conexões entre riscos nos dá uma visão 
do risco sistêmico. 
Portanto, podemos concluir que a influência de um risco não crítico pode, às vezes, ser estratégico, dentro de 
um determinado contexto. Dentro dessa ótica é imperioso que o gestor passe então a enxergar a motricidade e as 
conexões entre os riscos. (Figure 2 e Figure 4)
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
37 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
38 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
39 
As matrizes anteriores demonstram as interconectividades entre os riscos, salientando os riscos de maior motricidade, 
maior influência de um risco sobre o outro. 
Nós, da Brasiliano & Associados, trabalhamos com a interconectividade entre riscos já alguns anos, visando entender 
essa dinâmica. Utilizamos para isso a Metodologia trazida da construção de cenáriosprospectivos, a Matriz de Impactos 
Cruzados – MIC. A MIC foi adaptada da metodologia do cenarista francês Michael Godet que tem como base o Teorema 
de Bayes, Probabilidades Condicionantes. 
No nosso Processo de Gestão de Riscos, essa ferramenta será descrita com maior detalhe, no capítulo 12, itém 12.6 
matriz de impactos cruzados, mas de forma geral a técnica de impactos cruzados identifica os riscos considerados 
motrizes e de ligação, ou seja, aqueles que possuem maior influência entre os demais. Ponto importante é a aplicação 
da ferramenta. Não se pode aplicar essa ferramenta em qualquer tipo de estudo, mas sim para estudos de riscos 
estratégicos e/ou riscos críticos entre disciplinas. O objetivo é enxergar quais riscos são os influenciadores. 
Para priorizarmos o tratamento podemos cruzar as matrizes de risco e a matriz de impacto cruzado, tendo como 
resultado uma Matriz de Priorização de Riscos, conforme figura a seguir.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
40 
MOTRIZ
04
05
12
13
*01
*06
*03 *02
LIGAÇÃO
04
05
12
13
*10
*14
*04
*05
*12
*13
*15
DEPENDENTE
04
05
12
13
*08
*09
*07
*11
INDEPENDENTE
1 2 3 4
01 - Manifestação pacífica com bloqueio parcial
02 - Manifestação com atos de vandalismo / 
depredação contra patrimônio público 
03 - Manifestação com atos de vandalismo com 
lançamentos de inflamáveis contra o público local
04 - Manifestação com atos de agressão contra o 
efetivo da PM
05 - Tumulto
06 - Manifestação para contenção do público para o 
local do evento
07 - Atentado terrorista criminoso
08 - Assédio sexual
09 - Arrastão
10 - Briga entre torcidas uniformizadas
11 - Presença de grupos extremistas
12 - Presença de extremista solitário
13 - Crimes comuns (roubo, furto, etc.)
14 - Movimentos de pressão e reivindicatórios
15 - Violência policial
Criticidade dos Riscos
M
ot
ric
id
ad
e 
do
s 
R
is
co
s
Com essa Matriz de Priorização, o gestor consegue visualizar os riscos que são realmente relevantes para a 
organização, pois seleciona, de forma cruzada, os críticos (probabilidade x impactos) versus sistêmicos (motrizes x 
dependentes). Essa ferramenta é inédita em processos de gestão de riscos, pois consegue fazer os gestores cruzarem 
as duas Matrizes e a partir daí entenderem os riscos de maior relevância. Isso faz com que a organização tenha maior 
assertividade nas suas tomadas de decisões. 
41 
3.1 ObjetivOs dO gereNciameNtO de riscOs cOrpOrativOs
A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes 
interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que 
ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às 
partes interessadas. 
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento 
de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as 
oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.
3. A GESTÃO DE RISCOS 
CORPORATIVOS E OS 
OBJETIVOS ESTRATÉGICOS 
DA ORGANIZAÇÃO 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
42 
O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre 
as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos 
com eficácia e eficiência na busca dos objetivos da organização. Os objetivos estratégicos do gerenciamento de riscos 
corporativos, segundo as premissas do COSO II, publicado em 2004, são: 
1. Alinhar o apetite a risco com a estratégia adotada
 Os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas 
relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
2. Fortalecer as decisões em resposta aos riscos
 O gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos 
riscos – como evitar, reduzir, compartilhar e aceitar os riscos.
3. Reduzir as surpresas e prejuízos operacionais
 As organizações adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, 
reduzindo surpresas e custos ou prejuízos associados.
4. Identificar e administrar riscos múltiplos e entre empreendimentos
 Toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos cor-
porativos possibilita uma resposta eficaz a impactos inter-relacionados e, também, respostas integradas aos diversos riscos.
5. Aproveitar oportunidades
 Pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar e aproveitar as 
oportunidades de forma proativa.
6. Otimizar o capital 
 A obtenção de informações adequadas a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das 
necessidades de capital como um todo e aprimorar a alocação desse capital.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
43 
Essas qualidades, inerentes ao gerenciamento de riscos corporativos, ajudam os administradores a atingir as 
metas de desempenho e de lucratividade da organização, e evitam a perda de recursos. O gerenciamento de riscos 
corporativos contribui para assegurar comunicação eficaz e cumprimento de leis e regulamentos, bem como evitar 
danos à reputação da organização e suas consequências. Em suma, o gerenciamento de riscos corporativos ajuda a 
organização a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso.
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo 
representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo 
podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam 
a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou 
a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de elaboração de 
estratégias ou objetivos, formulando planos que visam ao aproveitamento destes.
3.2 deFiNiçãO de gereNciameNtO de riscOs cOrpOrativOs
A gestão de riscos corporativos trata riscos e oportunidades que afetam a criação ou a preservação de valor. O 
processo de gestão de riscos corporativos deve ser efetivado de forma descentralizado, por todos os membros da 
organização. Portanto, uma definição que a Brasiliano utiliza bastante por ser eficaz, é a que está escrita no COSO II: 
“O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, 
diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a 
organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o 
apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.”
Essa definição reflete certos conceitos fundamentais: 
1. é um processo contínuo e que flui pela organização como um todo;
2. é conduzido pelos profissionais em todos os níveis da organização, ou seja, é um processo descentralizado;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
44 
3. é aplicado à definição das estratégias, alinhado com seus objetivos estratégicos;
4. é aplicado em toda a organização, em todos os níveis e unidades, einclui a formação de uma visão de portfólio de todos 
os riscos a que ela está exposta;
5. é formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organização, e para administrar os riscos 
de acordo com seu apetite a risco;
6. é capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva de uma organização do 
cumprimento de seus objetivos, pois seus riscos estão gerenciados;
7. é orientado para a realização de objetivos em uma ou mais categorias distintas, mas dependentes. 
Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e 
outras organizações administram riscos, possibilitando uma base para sua aplicação em organizações, indústrias e 
setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos 
estabelecidos por uma organização específica e fornece parâmetros para definir a eficácia desse gerenciamento de 
riscos. A figura abaixo reflete de forma direta as vantagens do processo de gerenciamento de riscos nas empresas, 
tornando-as mais resilientes. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
45 
Contribuição do gerenciamento de riscos para o comprimento dos objetivos estratégicos.
3.3 realizaçãO de ObjetivOs
Com base na missão ou visão estabelecida por uma organização, a administração estabelece os planos principais, 
seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da organização.
A estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos da organização. O 
processo do COSO II, publicado em 2004, sugere quatro objetivos que a estrutura de Gestão de Riscos Corporativos 
deve contemplar. São eles: 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
46 
1. Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
2. Operações – utilização eficaz e eficiente dos recursos.
3. Comunicação – confiabilidade de relatórios.
4. Conformidade – cumprimento de leis e regulamentos aplicáveis.
Essa classificação possibilita um enfoque nos aspectos distintos do gerenciamento de riscos de uma organização. 
Apesar dos objetivos serem distintos, eles se inter-relacionam, uma vez que determinado objetivo pode ser 
classificado em mais de uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob 
a responsabilidade direta de diferentes executivos. Essa classificação também permite diferenciar o que pode ser 
esperado de cada categoria de objetivos. 
Em razão de os objetivos relacionados com a confiabilidade e relatórios e o cumprimento de leis e regulamentos 
estarem sob controle da organização, pode-se esperar que o gerenciamento de riscos corporativos forneça uma garantia 
razoável em relação ao atendimento desses objetivos. Entretanto, a realização de objetivos estratégicos e operacionais 
está sujeita à ação de eventos externos nem sempre sob o controle da organização; da mesma forma, em relação a 
esses objetivos, o gerenciamento de riscos corporativos é capaz de propiciar uma garantia razoável que a diretoria 
executiva e o conselho de administração, na função de supervisão, serão informados, no momento adequado, o quanto 
a organização está avançando na direção do atendimento dos objetivos.
47 
A economia brasileira tem sido acompanhada por movimentos profundos nas empresas nacionais e com esses 
movimentos demandam e reforçam a criticidade de uma Governança Corporativa efetiva e bem-estruturada, já que em 
alguns casos a falta de requisitos mínimos de Governança Corporativa impede que algumas empresas consigam tirar 
proveito deste momento pelo qual o Brasil e o mundo está passando. Adicionalmente, embora em muitos casos vários 
elementos de uma boa Governança Corporativa estejam presentes nas empresas, nem sempre eles são postos em 
prática da forma adequada. 
Uma das ferramentas adequadas a Governança Corporativa, lançada em 21 de setembro de 2010 pela FERMA 
– Federação das Associações Europeias de Gestão de Riscos e pelo ECIIA – Confederação Europeia do Instituto 
de Auditoria Interna, é a Orientação sobre a 8a Diretriz Jurídica Europeia da Empresa (Art. 41), que recomenda a 
4. A GESTÃO DE RISCOS 
CORPORATIVOS E AS 3 
LINHAS DE DEFESA
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
48 
implementação operacional para monitorar com eficácia a auditoria, controle interno e o sistema de gestão de 
risco. O objetivo do documento foi o de auxiliar a gestão sênior na implementação da gestão de riscos, controle 
interno, compliance e auditoria interna e as relações com a diretoria executiva e conselho. O documento estabelece 
claramente as responsabilidades entre as áreas e suas relações. O conselho é responsável pela fiscalização da 
gestão de riscos da empresa e pelo framework de controle. Todos na empresa desempenham uma função na 
gestão eficaz de riscos, mas a responsabilidade primária para a gestão e o controle dos riscos é delegada ao nível 
de gestão adequado dentro da empresa. Em outras palavras, o processo é descentralizado e o dono do processo 
é o dono do risco. O CEO e o CFO possuem a responsabilidade final para o conselho para a gestão de riscos e o 
framework de controle. Para cumprir essas tarefas eficientemente, eles buscam se assegurar de várias fontes dentro 
da organização. O FERMA e o ECIIA apoiam o modelo das “três linhas de defesa” como um ponto de partida para a 
orientação regulatória futura. O modelo a seguir é o original publicado.
conselho / comitê auditoria 
 
1a Linha Defesa 
 
 
 
 
 
 
 
 
 
 
 
Gestão sênior
2a Linha Defesa 3a Linha Defesa
Gestão de Riscos
Conformidade
Outros
Gestão Operacional
Controles Internos
Auditoria Interna
Gestão de Riscos
Conformidade
Outros
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
49 
Todos nós, cidadãos brasileiros, e, principalmente, profissionais da área de gestão de riscos e auditoria, ficamos 
estarrecidos com os acontecimentos de fraudes no Brasil. Estamos falando da operação Lava Jato, que a cada dia 
consegue mais vitórias em termos de fazer justiça e reduzir o nível de impunidade no Brasil. Ficamos surpresos com a 
facilidade com que os controles foram burlados e com o franco desconhecimento da alta gestão. 
Ficou mais nítido com estas fraudes, que ainda inúmeras empresas, profissionais de riscos e auditoria interna ainda 
não apliquem e pratiquem uma melhor prática chamada 3 Linhas de Defesa. Essa melhor prática ou estratégia de 
atuação da área de gestão de riscos, compliance, controles internos e auditoria foi estruturada para descentralizar o 
procresso de controle, dando aos usuários dos processos operacionais e estratégicos a responsabilidade primária de 
realizar o respectivo controle, com uma supervisão de áreas corporativas e da auditoria interna, de tal forma que haja 
cobertura em todos os níveis da empresa. 
Segundo Marcelo Fridori, em seu artigo, ele escreve as justificativas da construção do Modelo das 3 Linhas de Defesa: 
“Com o crescimento significativo da complexidade no ambiente de negócios, as organizações passaram a necessitar 
de diferentes equipes de especialistas em controle interno, executivos de compliance, especialistas em gerenciamento 
de riscos, auditores internos, entre outros, para gerenciar, em conjunto, de forma efetiva seus principais riscos… 
Deve-se ressaltar, entretanto, que a divisão das atividades relacionadas ao gerenciamento de riscos entre diversos 
departamentos pode levar à ineficácia de algumas das ações promovidas. Assim, passa a ser fortemente recomendável 
que os esforços empreendidos por todossejam devidamente coordenados, de modo a garantir que os processos sejam 
conduzidos de acordo com o que foi planejado. De acordo com o modelo apresentado, o conselho de administração e 
o diretor executivo, em nome da alta administração, são responsáveis pela supervisão e monitoramento dos processos 
de gestão de riscos e, para assumir de forma efetiva essas atribuições, eles necessitam de resultados provenientes 
das várias áreas envolvidas com este assunto. Esse modelo ganhou rapidamente um reconhecimento mundial por 
parte das organizações e das entidades que representam as funções de gerenciamento de riscos e controles e, a 
partir de 2013, passou a ser divulgado também através de uma Declaração de Posicionamento do IIA – The Institute 
of Internal Auditors”.
O modelo das Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento 
de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais. O modelo apresenta um 
novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
50 
riscos, e é aplicável a qualquer organização – não importando seu tamanho ou complexidade. Mesmo em empresas 
em que não exista uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de 3 Linhas de Defesa pode 
melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de riscos. 
No modelo de 3 Linhas de Defesa, o controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as 
diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha 
de defesa e a avaliação independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro 
da estrutura mais ampla de governança da organização. Na figura abaixo podemos visualizar holisticamente o modelo.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
51 
Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse 
modelo, sistemas de gerenciamento de riscos, mas são papéis essenciais. Os órgãos de governança e a alta 
administração são as principais partes interessadas atendidas pelas “linhas” e são as partes em melhor posição 
para ajudar a garantir que o modelo de 3 Linhas de Defesa seja aplicado aos processos de gerenciamento de riscos 
e controle da organização.
Esse modelo reforça de forma incisiva que o dono do processo é o dono do risco e de seus controles. Portanto, 
os riscos corporativos só acontecem quando os donos do processo possuem comprometimento e maturidade de 
praticarem os controles e respectivas metodologias, sugeridas e supervisionas pela segunda linha de defesa. A 
segunda linha de defesa é na verdade o grande guardião do processo, pois incentiva que a primeira linha pratique e ao 
mesmo tempo supervisiona para identificar possíveis falhas. A terceira linha, Auditoria Interna, realiza suas avaliações 
tanto na primeira como na segunda linha de defesa. 
As três linhas deveriam existir em todas as organizações, não importando tamanho ou complexidade. O gerenciamento 
de riscos, normalmente, é mais sólido quando há três linhas de defesa separadas e claramente identificadas, com 
papéis esclarecidos. 
Os riscos corporativos acabam sendo concretizadas quando há falhas de cobertura, principalmente entre a primeira e 
segunda linha de defesa. Os riscos acontecem quando o dono do processo não está praticando o processo de Gestão 
de Riscos e a segunda linha, a supervisora, falha em não identificar o risco e nem reportar e informar a alta gestão. A 
situação piora mais ainda quando a terceira linha não identifica falha na segunda linha de defesa e por consequência 
fica míope para realizar uma auditoria baseada em riscos na primeira linha de defesa.
O processo das 3 Linhas de Defesa reforça o que já escrevi no segundo capítulo, quando citei que a área de Gestão 
de Riscos deveria poder realizar a Inteligência em Riscos Corporativos – IRC. Essa inteligência só poderá ser alcançada 
se a empresa adotar a prática do dono do processo ser dono do risco. O dono do processo ser o responsável em 
realizar a autoavaliação dos riscos e controles. Com esse processo rodando a segunda linha de defesa pode fazer seu 
grande papel estratégico de interpretar e de realizar os estudos de interconectividade entre riscos, entre áreas e entre 
processos. Dessa forma, passa a agregar valor no processo estratégico e operacional. A auditoria interna, por sua vez, 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
52 
utilizará como insumo as informações tanto da segunda linha como da primeira para realizar seus testes de controles, 
Chaves em processos críticos.
Esse é o grande diferencial que as empresas devem possuir para operacionalizar, o dono do processo ser o dono do 
risco, seja qual for a complexidade do processo. Infelizmente, ainda hoje no Brasil há uma grande resistência por parte 
dos usuários, chamados de média gerência. 
A Revista HSM de 2014, número 104, de maio/junho, ressalta em seu artigo intitulado “Eu, gestor de riscos? A 
importância da média gerência estar sensibilizada com esta nova tarefa”. O artigo considera que as médias gerências 
são as guardiães dos seus processos. Escreve: “Os especialistas consideram que a mudança de mentalidade desses 
profissionais é fundamental para um futuro mais seguro”.
É o gerente de linha que instala e monitora procedimentos de controle e segurança. Assim, o modo mais eficaz 
de alcançar melhor gestão de riscos é motivar esses funcionários a prestar atenção suficiente a esse tipo de 
responsabilidade.
Esse passa a ser o grande desafio do gestor de riscos: possuir maturidade e sensibilidade em convencer a empresa 
que a gestão de riscos não pertence à área de Gerenciamento de Riscos, mas sim aos donos do processo.
53 
5.1 cOsO – the cOmmittee OF spONsOriNg 
OrgaNizatiONs OF the treadway cOmmissiON 
O COSO é uma organização privada criada nos Estados Unidos em 1985 para previnir e evitar fraudes nas demonstrações 
contábeis da empresa. Portanto, é uma antiga organização brigando para o quesito prevenção a fraudes; porém, as 
empresas fazem muito pouco para o processo preventivo acontecer. 
O foco do COSO é a implantação de controles internos efetivos, proporcionando uma garantia razoável para prevenir 
fraudes. Em 1985, foi criada nos Estados Unidos a National Commission on Fraudulent Financial Reporting – Comissão 
Nacional sobre Fraudes em Relatórios Financeiros –, iniciativa independente para estudar as causas da ocorrência de 
5. MELHORES PRÁTICAS – 
FRAMEWORKS DE MERCADO
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
54 
fraudes em relatórios financeiros e contábeis. Essa comissão era composta de representantes das principais associações 
de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos.
O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros fundamentados na ética, 
na efetividade dos controles internos e na governança corporativa, além de ser patrocinado por cinco das principais 
associações de classe: 
• AICPA – American Institute of Certified Public Accounts – Instituto Americano de Contadores Públicos Certificados;
• AAA – American Accounts Association – Associação Americana de Contadores;
• FEI – Financial Executive International – Executivos Financeiros Internacionais;
• IIA – The Institute of Internal Auditors – Instituto dos Auditores Internos;
• IMA – Institute of