Inteligencia em risco_Brasiliano

Prévia do material em texto

Antonio Celso Ribe iRo bRAs il iAno
INTELIGÊNCIA EM RISCOS
 Gestão InteGrada em rIscos corporatIvos
Dados Internacionais de Catalogação na Publicação (CIP) 
(Câmara Brasileira do Livro, SP, Brasil)
Brasiliano, Antonio Celso Ribeiro
Inteligência em riscos : gestão integrada em riscos corporativos / Antonio Celso 
Ribeiro Brasiliano. -- São Paulo : Sicurezza, 2016.
Bibliografia. 
ISBN 978-85-87297-66-2
1. Administração de riscos 2. Análise de risco 3. Planejamento estratégico 
4. Risco - Administração I. Título.
16-06217 CDD-658.155
Índices para catálogo sistemático:
1. Gestão e análise de riscos corporativos: Planejamento estratégico : 
Administração de empresas 658.155
Titulo Original:
Inteligência em riscos: gestão integrada em riscos corporativos
© Copyright 2016 by Antonio Celso Ribeiro Brasiliano
1a edição, Setembro 2016
Todos os direitos reservados. É proibida a reprodução desta obra por qualquer meio, 
em seu todo ou em partes, sem autorização expressa do autor e do editor.
Direitos dessa edição cedidos por contrato para:
Sicurezza Gestão de Riscos Corporativos, Editora e Distribuidora Ltda
www.sicurezzaeditora.com.br
Telefone: 11 5531 6171
Email: editora@sicurezzaeditora.com.br
Coordenação: Enza Cirelli
Projeto Gráfico : Marina Brasiliano
Antonio Celso Ribe iRo bRAs il iAno
INTELIGÊNCIA EM RISCOS
 Gestão InteGrada em rIscos corporatIvos
são PAulo - 2016
5 
 À Silvia, pelo incanSável apoio ao longo de minha vida.
aoS meuS filhoS, Té e má, minha maior criação e fonTe de incenTivo.
aoS meuS neToS, anTonio e aniTa, guerreiroS da Terceira geração, que 
renovam conSTanTemenTe a energia da minha vida. 
6 
eSTa Terceira edição é fruTo daS adapTaçõeS, da evolução, da inovação e Também de 
correçõeS doS livroS meuS já publicadoS Sobre geSTão e análiSe de riScoS corporaTivoS. 
eSSe proceSSo, poSSo aTé chamar de “deSTruição criaTiva”, é e deve Ser Sempre conTínuo 
e Significa para mim momenToS de grande creScimenTo e, ao meSmo Tempo, de grandeS 
incerTezaS e vaSToS conhecimenToS que foram comparTilhadoS com muiTaS ouTraS peSSoaS 
além da minha própria. agradeço em eSpecial a algumaS delaS. 
À enza, pelo fundamenTal SuporTe e apoio em TodoS oS momenToS complicadoS de 
noSSa caminhada empreSarial e ainda pela compreenSão da minha aTribulada vida. 
a equipe de conSulToreS da braSiliano que maiS Trabalhou comigo em projeToS: 
Sandra, guSTavo, alfredo, pedro paulo, daviS, carloS eduardo, perella, jefferSon, KíSSia, 
lucaS e oS pica-pauS junior e adriSon, pela paciência de “aTurar” um chefe anSioSo.
aoS amigoS e colegaS deSTe noSSo mercado vuca, a quem Seria impoSSível nomear 
individualmenTe, que incenTivaram com palavraS e geSToS.
a TodoS meuS alunoS, TanTo oS do curSo de eSpecialização (mba), como oS doS curSoS 
de exTenSão, grandeS incenTivadoreS deSTa luTa conTínua da peSquiSa. 
a TodoS oS meuS clienTeS, oS verdadeiroS proTagoniSTaS deSTe Trabalho. 
AGRADECIMENTOS
7 
SUMÁRIO
Palavras do autor 8
 1. Introdução 13
 2. Contexto holístICo da gestão de rIsCos CorPoratIvos 15
 3. a gestão de rIsCos CorPoratIvos e os objetIvos estratégICos da organIzação 41
 4. a gestão de rIsCos CorPoratIvos e as 3 lInhas de defesa 47
 5. Melhores PrátICas: fraMeworks de MerCado 53
 6. ConCeIto de rIsCo – aPetIte ao rIsCo 85
 7. ConCeIto de rIsCo – rIsCo Inerente e rIsCo resIdual 90
 8. Controles Internos e a gestão de rIsCos 93
 9. fases do ProCesso de gestão de rIsCos CorPoratIvos – Método brasIlIano 97
 10. CoMunICação e Consulta 100
 11. Contexto estratégICo 122
 12. IdentIfICação dos rIsCos 152
 13. análIse e avalIação de rIsCos – Inerente 185
 14. análIse e avalIação de rIsCos – resIdual 205
 15. resPostas aos rIsCos 215
 16. MonItoraMento e análIse CrítICa 233
 17. ConClusão 241
referênCIas 243
sobre o autor 247
8 
PALAVRAS DO AUTOR
O atual contexto de Gestão de Riscos Corporativos das organizações, no Brasil e no mundo, está cada vez mais 
complexo e dinâmico, exigindo um processo com alta flexibilidade e demandando um nível elevado da área de gestão de 
riscos, bem como uma maior oportunidade na avaliação contínua e na resposta a potenciais cenários de riscos. 
Essa é a principal razão da revisão completa do Processo de Gestão e Análise de Riscos Corporativos, Método Brasiliano 
– Avançado, incluindo a troca do nome para Inteligência em Riscos – Gestão Integrada em Riscos Corporativos, pois 
as variadas disciplinas de riscos devem estar debaixo do mesmo framework, falando a mesma linguagem, de tal 
forma que possa haver uma interpretação das informações relevantes gerando a verdadeira inteligência em riscos 
na organização. Essa Inteligência em Riscos Corporativos, a integração das disciplinas, agrega valor para o negócio e 
previne contra as incertezas no ambiente de negócios, ajudando, dessa forma, a empresa a priorizar recursos. Outro 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
9 
desafio prioritário que se coloca é integrar a estrutura de gestão de riscos (GR) aos processos e às estratégias da 
organização. Além de mensurar os riscos da empresa, o objetivo destacado pelas organizações é a criação de uma 
função integrada às estratégias da organização, que gere e preserve valor aos acionistas.
Este livro, totalmente remodelado, com novos critérios e novas ferramentas, alinhadas e integradas com os três 
frameworks essenciais: a ISO 31000, o COSO I – Controles Internos, Revisado em 2013 e COSO II, ERM. O motivo da 
integração das três estruturas em um só framework é que o ambiente de negócio, hoje, passa por fortes mudanças, 
exigindo dos gestores e de seus administradores um modelo de gestão de riscos flexível, mas ao mesmo tempo 
consistente e estruturado, a fim de atender as regulações e as exigências do mercado. 
Hoje podemos dizer que o mercado empresarial passa pelo que chamamos de VUCA, uma sigla utilizada para 
descrever a volatilidade (volatility), a incerteza (uncertainty), a complexidade (complexity) e a ambiguidade (ambiguity) 
nos ambientes e nas situações de negócio. VUCA em inglês, VICA em português. Oriunda do vocabulário militar 
americano, o uso comum do termo VUCA começou no final dos anos 1990. O conceito VUCA expressa a complexidade 
da nossa sociedade contemporânea, devido à interdependência e a globalização – situações que antes tinham pouco 
impacto agora refletem em toda sociedade. Por exemplo, a catástrofe de Fukushima, em 2011, fez as montadoras 
japonesas no Brasil pararem suas linhas produtivas devido à falta de peças. Em outras palavras, a interdependência é 
uma realidade no mundo globalizado e deve fazer parte da gestão de riscos. 
Partindo dessa abordagem, o US Army War College formulou um programa de formação para o desenvolvimento 
das lideranças militares, ao nível estratégico, o qual contempla a adoção de metodologias adequadas para enfrentar 
o VUCA e fazer frente a um ambiente extremamente agressivo e predador. O US Army War College caracteriza os 
componentes desse contexto envolvente do seguinte modo:
- Volatilidade: é marcada pelo ritmo elevado com que ocorrem mudanças com impacto na vida das sociedades desenvolvidas e, 
concomitantemente, nas suas organizações. Assim, no atual contexto da Era da Informação e do Conhecimento, os dados e as 
evidências existentes no momento presente podem não ser suficientes para a tomada de decisão. Antecipar e prever o que pode 
acontecer, por exemplo, durante o período de execução de um projeto, são dimensões, por vezes, absolutamente decisivas.
- Incerteza: é uma característica do contexto marcada pela necessidade de se assumir que o conhecimento sobre uma 
dada situação é sempre incompleto, potencializando, desse modo, o aparecimento de opiniões divergentes sobre a melhor 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
10estratégia a seguir, exigindo uma cuidadosa análise do risco. De fato, é cada vez mais difícil levantar cenários futuros com 
base em acontecimentos passados.
- Complexidade: característica do contexto envolvente que está associada à dificuldade de compreender o resultado das 
interações das várias componentes de um sistema, uma vez que estas raramente são de natureza mecanicista e linear. 
A Teoria da Complexidade vem, desse modo, mostrar a interdependência essencial de todos os fenômenos. Nesse ponto, 
a assunção de fenômenos complexos, no seio de uma organização, impõe a necessidade de admitir interações não 
lineares entre os componentes do sistema, com consequências que se multiplicam rápida e imprevisivelmente. Carac-
terística mais marcante dos séculos XX e XXI.
- Ambiguidade: descreve um tipo específico de incerteza que resulta de diferenças na interpretação quando as evidên-
cias existentes são insuficientes para esclarecer o significado de um determinado fenômeno. Na prática, no âmbito 
da gestão das organizações, a consequência desse fato é a elevada probabilidade de as lideranças poderem interpre-
tar, legitimamente, eventos de formas diferentes, aumentando significativamente a probabilidade de erros na interpre-
tação desses eventos. A imprecisão da realidade, o potencial de erros de leitura, os significados misto de condições; 
a falta de ação, confusão entre causa e efeito e a falta de clareza. Para Greg Hutchins, especialista americano em 
gestão da qualidade e gestão de risco: “nós estamos saindo de um mundo linear de saber a solução dos problemas 
e tomar uma decisão clara para um mundo dinâmico de entender o sentido, de tomada de decisão baseada no risco, 
em condições VUCA”.
O mundo VUCA ou VICA só pode ser gerenciado com base em riscos. Daí a importância de todos os gestores saberem 
e/ou possuírem a competência de lidar com as incertezas. 
O contexto VUCA é baseado na própria gestão de riscos, lidando com cenários complexos e altamente dinâmicos, em 
que se exige dos gestores:
- visão do todo e não da parte; o gestor tem que enxergar a floresta e não a árvore; 
- grande velocidade na tomada de decisão (o movimento é mais importante, não podemos ficar parados, se ficarmos o 
inimigo mata! O ótimo é inimigo do bom; conhecem essa máxima?); 
- não ortodoxia, pensar fora da caixa, não dogmatizar soluções, ser criativo diante das incertezas; 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
11 
- colaboração e cocriação entre as equipes, redes de colaboração, estar conectado para o entendimento rápido do contexto; 
- agilidade, saber mover-se com grande flexibilidade, possuir estrutura leve para poder carregar. 
Para se vencer no mundo VUCA, é preciso possuir esses preceitos, o velho novo conceito da Gestão de Riscos. Por essa 
razão que a Gestão de Riscos deve ser internalizada nas empresas de forma a possuir capilaridade em todos os processos 
e respectivos níveis organizacionais. Com isso a média e a alta gerências das organizações estarão aptas a lidarem com o 
mundo VUCA e, dessa forma, a empresa terá uma grande vantagem competitiva frente aos seus concorrentes.
Após um grande período de economia pujante, o temor de uma recessão voltou a assombrar nós, brasileiros. As 
incertezas econômicas e políticas impulsionam esse cenário desafiador no Brasil, e ainda não há uma perspectiva 
clara de quanto tempo ele durará e qual é sua real profundidade. 
Além do esgotamento de um modelo de crescimento com base no consumo, o país convive com inseguranças que 
afetam o mercado de forma mais ampla, como custo de energia, escassez de recursos hídricos, falta de profissionais 
qualificados e mudança demográfica dos consumidores. Some-se a isso a volatilidade do câmbio, o aumento da taxa 
de juros e a pressão inflacionária, e aí temos um “VUCA” perfeito para gerenciar. 
Crises são cíclicas, inevitáveis e frequentemente desafiadoras, mas sempre é possível aos líderes aproveitar as 
oportunidades vindas com elas para obterem uma vantagem competitiva e posicionarem da melhor forma suas 
empresas para o momento de retomada do crescimento.
Para apoiar a gestão da organização nesse caminho desafiador, é que apresento meu livro, o qual traz reflexões para 
apoiar a travessia desse período, mantendo-nos atentos às oportunidades que possam surgir com a crise.
O livro reúne as informações e as orientações para que os gestores de riscos, de qualquer disciplina, possam, de 
forma prática e objetiva, elaborar a sua gestão de riscos, enxergando e compreendendo as incertezas do futuro. Em 
2015, o Brasil teve inúmeros exemplos de concretização de riscos corporativos com consequências massivas para 
as suas corporações e respectivas comunidades, por falta direta ou indireta de um processo estruturado de gestão 
de riscos. É uma motivação para que os profissionais e os líderes repensem as causas e não cometam mais os erros 
crassos que potencializaram os eventos. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
12 
Encerro este prefácio pedindo que os leitores façam uma reflexão acerca das palavras do explorador da Antártica 
Norman Vaughan, quando tiverem dificuldade de colocar em prática o processo ou encontrar resistência de seus 
pares ou superiores:
“Sonhe grande e ouse fracassar.”
Não tenhamos medo neste mundo de incerteza, se temos convicção, vamos em frente! 
Sucesso a todos!
Antonio Celso Ribeiro Brasiliano
abrasiliano@brasiliano.com.br
Setembro de 2016
13 
As empresas devem estar comprometidas com seus clientes, acionistas, parceiros comerciais e com a sociedade em 
que atua, focando esforços em reduzir os riscos existentes e/ou os que possam se manifestar no futuro e também na 
maximização das oportunidades de negócio. Para tanto, é necessário conhecer os riscos que a afetam e seus impactos 
sobre os seus negócios. 
Os riscos permeiam todos os níveis das atividades do negócio e, se não forem gerenciados adequadamente, poderão 
resultar em perdas financeiras, deterioração da imagem e reputação ou desencadear uma crise.
O gerenciamento de riscos tem se tornado um assunto de suma importância no meio empresarial, uma vez que a 
conscientização da necessidade de administração dos riscos potenciais é, hoje, uma questão de competitividade e 
sobrevivência.
1. INTRODUÇÃO
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
14 
Para que seja eficaz, o gerenciamento de riscos deve fazer parte da cultura de qualquer empresa e deve estar inserido 
em sua filosofia, nas práticas e nos processos de negócio.
O Método Avançado de Gestão de Riscos Corporativos – Método Brasiliano fornece um processo para a identificação 
e avaliação dos riscos. Esse método descreve os passos a serem percorridos, as ferramentas a serem utilizadas, os 
critérios a serem aplicados tanto na mensuração da probabilidade como do impacto, além de estabelecer, tendo em 
vista a criticidade e o apetite ao risco, a priorização das ações a serem executadas. É uma ferramenta de gestão, 
integrada com as três melhores e mais utilizadas práticas de mercado: ISO 31000, COSO I e COSO II. Portanto, é 
uma das únicas metodologias que integrou os três conceitos em um único framework, facilitando, dessa forma, a 
utilização por parte dos gestores.
15 
2.1 Origem da gestãO de riscOs 
A origem da gerência de risco teve seu início efetivo nos Estados Unidos e em alguns países da Europa, logo após a 
Segunda Guerra Mundial, quando os responsáveis pela segurança das grandes empresas, bem como os responsáveis 
pelos seguros, começaram a examinar a possibilidade de reduzir os gastos com prêmios de seguro e aumentar a 
proteção da empresa, frente aos perigos reais e potenciais. Só seria possível atingir tais objetivos – reduçãodos custos 
– com uma profunda análise das situações de risco. 
Além da avaliação das probabilidades de perda, tornou-se necessário identificar quais riscos poderiam ser 
considerados inevitáveis e quais poderiam ter a chance diminuída, de concretização, de forma direta. Em cima desse 
2. CONTEXTO HOLÍSTICO 
DA GESTÃO DE RISCOS 
CORPORATIVOS
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
16 
estudo detalhado, levantou-se a relação custo x benefício das medidas de segurança a serem implantadas, bem como 
a situação financeira da empresa, para escolha adequada do nível de segurança a ser atingido. 
A partir da década de 1970, o gerenciamento de riscos ligado à área de crédito e à área financeira tomou uma proporção 
grande, tendo em vista os sinais dos tempos de mudança. A desregulamentação, a globalização e a desintermediação 
mudaram a definição dos mercados e alteraram os aspectos econômicos das operações desses mercados. 
Uma pesquisa recente, realizada pela British Bankers’ Association (BBA), levantou que 70% dos bancos do Reino Unido 
consideravam seus riscos operacionais tão importantes quanto os riscos de crédito e de mercado. Quase um quarto 
desses bancos havia experimentado perdas relacionadas a operações de US$ 1,6 milhões de dólares. Dados históricos 
de perdas da Operational Risk Inc (ORI) sugerem que em mais de 50 casos instituições individuais perderam mais de US$ 
500 milhões cada uma, enquanto que, em 30 casos, empresas perderam acima de US$ 1 bilhão cada uma. 
Nesse enfoque, o entendimento de risco corporativo começou a tomar outro corpo dentro das organizações. Embora 
o risco acompanhe o homem e seja inerente à sua natureza, as organizações começaram a observar e sentir que 
nem todos os riscos eram iguais. O que ocorre quando se faz uma viagem de avião não é igual ao de uma dona 
de casa nas suas tarefas domésticas, nem esses dois eventos são comparáveis ao de um navegante solitário que 
cruza o Atlântico. A era da crença excessiva na racionalidade gerencial parece ter chegado ao fim. Hoje, sabe-se que 
o mundo organizacional é mais complexo e ambíguo do que se pensava. A atuação gerencial, hoje, convive com a 
imprevisibilidade e com a ambiguidade. E um dos elementos principais dessa convivência é ter que tomar decisões 
baseadas em informações incompletas e/ou em constante mudança. O mundo VUCA!
Os acontecimentos em 2001, desde o ataque terrorista de 11 de setembro até as grandes fraudes nas corporações 
americanas; e, em 2015, no Brasil, os casos de fraudes e corrupção passaram a sensibilizar os decisores quanto 
à necessidade de monitorar, de forma constante, as variáveis internas e externas às empresas. Variáveis essas que 
poderiam influenciar sua Cadeia de Valor, ou seja, a necessidade de administrar riscos, tanto reais como os potenciais, 
passa a ser, hoje, uma questão de competitividade e sobrevivência.
Num cenário em que as mudanças são velozes, as instabilidades, permanentes, e há um predomínio de alta 
imprevisibilidade, a formulação de estratégias organizacionais já não pode combinar com métodos tradicionais de projeção 
e análise. Mais uma vez o mundo VUCA comparece integrado com a gestão de riscos, visando gerenciar a incerteza.
villa
Realce
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
17 
2.2 a NOva FuNçãO dO gereNciameNtO de 
riscOs cOrpOrativOs – iNteligêNcia em riscOs 
Cabe, antes de prosseguir, definirmos a Gerência de Riscos, sob o aspecto do seguro, no qual quase tudo começou, 
vejamos: “O processo para conservar o poder de ganho e o patrimônio da empresa (ou pessoa) pela minimização do 
efeito financeiro de perdas acidentais” (Jaime Cristy).
É preciso, também, estabelecer a distinção entre risco puro e risco especulativo. Os vários autores e estudiosos, 
principalmente norte-americanos, da Gerência de Riscos, digamos, “tradicional”, têm classificado os riscos que podem 
atingir uma empresa, basicamente, em riscos especulativos (ou dinâmicos) e riscos puros (ou estáticos).
A diferença principal entre essas duas categorias está no fato de que os riscos especulativos envolvem uma chance 
de ganho ou uma mesma possibilidade de perda; ao passo que os riscos puros envolvem somente uma possibilidade 
de perda, não existindo nenhuma chance de ganho ou de lucro.
Um exemplo clássico, que mostra essa diferença, é o do proprietário de um veículo, cujo risco (puro) que está 
associado a ele é o da perda potencial por colisão. Se ocorrer eventualmente uma colisão, o proprietário sofrerá, no 
mínimo, uma perda financeira. Se não ocorrer nenhuma colisão, o proprietário não terá, obviamente, nenhum ganho.
Hoje em dia a visão e o escopo do gerenciamento de risco corporativo ficou muito mais amplo, muito mais holístico, 
abrangendo inúmeras disciplinas nas empresas, decorrentes das atividades desenvolvidas nas organizações. A 
alta direção deve ter uma visão consolidada de suas exposições, sejam operacionais, sejam legais, financeiras ou 
estratégicas. Para esse fim, é necessária a criação de uma área específica, com uma estrutura e recursos definidos. 
As atividades de um departamento de gerenciamento de riscos corporativos, dentro do enfoque moderno, abrange 
inúmeras disciplinas. Muitas dessas atividades são comuns a uma ampla gama de funções administrativas. Por essa 
razão, é que esse departamento deve possuir processo sistêmico e contínuo de identificação de exposição, medição, 
análise, controle, prevenção, redução, avaliação e financiamento de riscos. Essa nova função ajuda a integrar riscos 
financeiros e não financeiros tradicionais a seguros e responsabilidade legal. É uma área que possui uma grande 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
18 
abrangência, mas com muitas interações por meio de diferentes disciplinas e, portanto, com uma necessidade de uma 
abordagem integrada. Algumas das disciplinas de riscos que devem interagir entre si são: 
1) RISCOS ESTRATÉGICOS
2) RISCOS OPERACIONAIS – LIGADOS À OPERAÇÃO 
3) RISCOS NOS PROCESSOS 
4) RISCOS DE TECNOLOGIA DA INFORMAÇÃO
5) RISCOS DE MEIO AMBIENTE
6) RISCOS DE SAÚDE E SEGURANÇA DO TRABALHADOR
7) RISCOS DE SEGURANÇA EMPRESARIAL 
8) RISCOS FINANCEIROS 
9) RISCOS LEGAIS
10) RISCOS SOCIAIS
11) RISCOS DE SUSTENTABILIDADE
12) RISCOS DE COMUNICAÇÃO
13) RISCOS DE FRAUDES
14) RISCOS NA CADEIA LOGÍSTICA
15) RISCOS NO PROJETO
16) OUTRAS TANTAS DISCIPLINAS
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
19 
Essas disciplinas devem estar incorporadas com um único framework e com políticas integradas, de modo que a 
empresa fale uma mesma linguagem. Esse é o principal desafio das empresas: integrar as disciplinas para que 
possam possuir a chamada Inteligência em Riscos Corporativos – IRC. 
O gerenciamento de riscos, sob esse enfoque, contribui para o fortalecimento e a eficácia operacional e financeira 
da empresa, na medida em que proporciona mecanismos de alocação de recursos para o seu emprego mais eficiente 
e eficaz, atingindo de forma direta a efetividade.
Portanto, a função do gestor de riscos é de integrar disciplinas e gerenciar as informações das inúmeras disciplinas 
de riscos. O gestor de riscos tem que relacionar os diversos riscos e verificar as interdependências entre eles. Hoje 
por si só não existe mais a possibilidade de só ter como ferramenta de gestão a Matriz de Riscos, mas deve também 
ter a Matriz de Impactos Cruzados para ver a motricidade entre riscos. Segundo o Fórum Econômico Mundial, em seu 
Relatório de Riscos Globais de 2015 ressalta: “A edição 2015 do relatório de Riscos Globais completa uma década 
destacando os riscos a longo prazo mais significantes ao redor do mundo,extraindo as perspectivas de especialistas 
e dos tomadores de decisões globais. Nesse tempo, a análise mudou da identificação dos riscos a pensar através das 
interconexões dos riscos e os potenciais efeitos-cascata que resultarão deles”.
Podemos então afirmar que a função do gestor de riscos corporativos é possuir Inteligência em Riscos, levado para 
a alta administração os riscos considerados mais críticos, já com as conexões feitas. 
Com o modelo a seguir entendemos a Inteligência em Riscos em integrar soluções e indicadores, fornecendo para 
os decisores a visão holística dos riscos considerados críticos e as respectivas soluções integradas, com um farol de 
monitoramento de acompanhamento das evoluções. Dessa forma a organização possuirá verdadeiramente condições 
operacionais de se antecipar de forma objetiva a possíveis riscos, trabalhando de forma preventiva e não só de forma 
reativa. A organização ganha com isso velocidade e competitividade, fatores-chave de sucesso em um mundo VUCA! 
villa
Realce
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
20 
A área de GRC como integradora e analista das informações estratégicas de riscos corporativos.
A abrangência da área da Gestão de Riscos Corporativos é muito grande, deixando de ser somente uma abordagem 
financeira e regulamentar – trabalhista, tributária e de investimento. A tendência é que a área de gestão de 
riscos caminhe para fatores de interesse de seus stakeholders, com forte atenção à imagem e à reputação das 
organizações. Por essa razão a amplitude cresceu e acabou abrangendo a organização como um todo, envolvendo as 
médias gerências como responsáveis na gestão de riscos corporativos. Dessa maneira a área de riscos passa atuar 
como uma área de Inteligência em Riscos, ou seja, de interpretação das informações e utilização de ferramentas 
estratégicas. A figura abaixo demonstra esta abrangência nas áreas e processos das organizações, incluindo os 
fornecedores críticos/estratégicos.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
21 
Abrangência da área de Gestão de Riscos Corporativos nas empresas.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
22 
Outro ponto a destacar na nova função do Gerenciamento de Riscos Corporativos e do seu gestor é o foco de atuação, 
que primordialmente é o da prevenção, o da antecipação, mas também, como resposta aos cenários de riscos, tem que 
ter estruturado respostas a emergências, descontinuidade de negócio e de crises. Atualmente o mercado identificou 
a necessidade de uma abordagem integrada à gestão de riscos, envolvendo temas como mercado, estratégia, modelo 
de negócio, segurança cibernética, anticorrupção e reputação corporativa. Essa abordagem demanda compreender 
e responder a interconectividade entre riscos de diferentes naturezas à medida que, e muito impulsionado pela 
tecnologia, os mais variados fatores podem gerar cenários de descontinuidade e de crises, impactando as operações 
e os respectivos resultados das empresas no curto, médio e longo prazo. 
Frente a esse novo contexto, mundo VUCA, torna-se imperioso que as empresas intensifiquem esforços no 
aprimoramento nas estruturas integradas – Inteligência em Riscos –, em que o gestor possa enxergar e trabalhar tanto 
a prevenção como as contingências. Na verdade a função do gestor de riscos é de um “chapéu de dois bicos”: de um 
lado a prevenção e do outro as respostas para as emergências, continuidade de negócio e crises empresariais. Tudo 
isso integrado em um único framework. 
A função da gestão de riscos, vista sob a ótica estratégica, atua no aumento da resiliência empresarial. Nesse 
sentido, a maturidade dessa função interfere diretamente na qualidade e no entendimento global dos riscos, sejam 
eles internos, sejam eles externos, que podem produzir relevantes cenários de descontinuidade e ou de crises. 
O grande passo da gestão de riscos está relacionado à definição e à qualificação de um panorama dos potenciais 
cenários de descontinuidade e de crise, que podem e ou devem serem gerados com base na avaliação geral de riscos 
operacionais, legais e estratégicos, levando em consideração a linguagem comum de riscos e o impacto para as 
operações e a reputação da empresa. Essa base de potenciais cenários de descontinuidade e ou de crises deverão 
orientar a estruturação dos planejamentos das respostas estruturadas e respectivas alternativas. É nesse momento 
que deve se definir, com extrema clareza, o nível de complexidade e dimensão do impacto no contexto (empresa e 
sociedade como um todo).
No quadro a seguir podemos visualizar uma visão holística do processo preventivo e contingencial da função do 
gestor de riscos do século XXI.
villa
Realce
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
23 
Ocorre o evento 
Processos 
Serviços 
Vidas em perigo 
Indisponíveis 
Recuperação 
 
Identi�cação 
Análise 
de Riscos 
 
 Acionamento das respostas Continuidade 
de Negócios 
PREVENÇÃO 
PREMISSA: Saber quais são 
os cenários de riscos!! 
Protocolos de emergências 
 Ações Imediatas 
Ações e 
recursos 
Emergenciais 
 
Avaliação 
de Danos 
 
Procedimentos 
Imediatos 
Procedimentos de 
Continuidade Operacional 
Operacionalização 
da Recuperação 
Retomada 
Operacional 
Ações nas 
causas raízes 
dos Riscos 
Visão holística do processo macro de GRC, incluindo a prevenção, emergência, crise, continuidade e a recuperação dos negócios.
2.3 categOrias de riscOs 
Não há uma fórmula para classifi car riscos corporativos. Não existe uma classifi cação de riscos que seja consensual, 
exaustivo e aplicável a todas as organizações; a classifi cação deve ser desenvolvida de acordo com as características 
de cada organização, contemplando as particularidades da indústria, do mercado e do setor de atuação. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
24 
Por exemplo: os estoques de materiais de consumo são menos relevantes para um banco do que para uma indústria, 
na qual pode representar um dos principais fatores de risco. Analogamente, as variáveis relacionadas ao “risco de 
mercado” são cruciais para um banco e podem não ser tão relevantes para determinada organização manufatureira.
Portanto, dependendo do tipo de segmento que a empresa atua podemos ter as seguintes categorias de riscos: 
2.3.1 riscO de mercadO
O risco de mercado pode ser definido como uma medida numérica da incerteza relacionada aos retornos esperados 
de um investimento, em decorrência de variações em fatores como taxas de juros, taxas de câmbio, preços de ações 
e commodities. As principais subáreas do risco de mercado são: 
a) Risco de Taxas de Juros
 Pode ser definido como o risco de perda no valor econômico de uma carteira, decorrente dos efeitos de mudanças 
adversas das taxas de juros. Podemos citar como exemplos: 1) Eventual perda do valor de mercado de títulos públicos 
(BBCs, brady bonds, etc.) ou privados (corporate eurobonds, etc.); 2) Encarecimento do custo de funding; 3) Queda da 
taxa de reinvestimento.
b) Risco de Taxas de Câmbio
 Pode ser definido como o risco de perdas devido a mudanças adversas nas taxas de câmbio. Dois exemplos: 1) Variação 
nos preços de NTN-Ds, NBC-Es, NBC-Fs, de ativos internacionais negociados em moeda estrangeira, devido à apreciação/
depreciação relativa de moedas; 2) Descasamentos em uma carteira indexada a alguma moeda estrangeira.
c) Risco de Commodities
 Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de commodities. Exemplo: 
Variação nos preços de carteiras constituídaspor ouro, prata, platina, soja, café, boi gordo, cacau, etc.
d) Risco de Ações
 Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de ações. Exemplo: Variação nos 
preços de carteiras constituídas por ações como Petrobras PN, Vale PN, Eletrobras PNB, ADRs de Usiminas PN, etc.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
25 
e) Risco de Liquidez
 Pode ser definido como o risco de perdas devido à incapacidade de se desfazer rapidamente uma posição, ou obter 
“funding”, devido às condições de mercado. Exemplos: 1) Carteiras de eurobonds brasileiros, ações de segunda e terceira 
linhas, alguns contratos futuros negociados na BM&F, etc.; 2) Situações em que não é possível “rolar” dívidas nos mercados 
financeiros; 3) Ajustes de margens que venham a consumir a liquidez da instituição.
f) Risco de Derivativos
 Pode ser definido como o risco de perdas devido ao uso de derivativos (seja para especulação, seja para hedge). Exemplo: 
Variação no valor de posições de contratos de swaps, futuros, a termo, opções, etc.
g) Risco de Hedge
 Pode ser definido como o risco de perdas devido ao uso inapropriado de instrumentos para hedge. Exemplos: 1) Perdas 
por falta de rebalanceamento dinâmico de hedges em resposta a movimentos bruscos no mercado; 2) Hedge subótimo de 
ativos/passivos (opções cambiais, brady bonds, etc.).
h) Risco de Concentração (mercado)
 Pode ser definido como o risco de perdas devido à não diversificação do risco de mercado de carteiras de investimentos. 
Exemplos: Investimentos excessivamente concentrados em poucos indexadores, moedas, ativos, vencimentos, etc.
2.3.2 riscO de créditO
O risco de crédito pode ser definido como uma medida numérica da incerteza relacionada ao recebimento de um valor 
contratado/compromissado, a ser pago por um tomador de um empréstimo, contraparte de um contrato ou emissor 
de um título, descontadas as expectativas de recuperação e realização de garantias. As principais subáreas do risco 
de crédito são: 
a) Risco de Inadimplência
 Pode ser definido como o risco de perda pela incapacidade de pagamento do tomador de um empréstimo, contraparte de 
um contrato ou emissor de um título. Exemplos: 1) Não pagamento de juros e/ou principal de crédito pessoal, empréstimos 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
26 
para pessoa jurídica, cartão de crédito, leasing, etc.; 2) Não pagamento de juros e/ou principal de títulos de renda fixa 
(nacionais/internacionais, públicos/privados) pelo emissor.
b) Risco de Degradação de Crédito
 Pode ser definido como o risco de perdas pela degradação da qualidade creditícia do tomador de um empréstimo, contra-
parte de uma transação ou emissor de um título, levando a uma diminuição no valor de suas obrigações. Exemplo: Perdas 
em títulos soberanos e/ou corporativos pela redução do rating do país emissor.
c) Risco de Degradação das Garantias
 Pode ser definido como o risco de perdas pela degradação da qualidade das garantias oferecidas por um tomador de um 
empréstimo, contraparte de uma transação ou emissor de um título. Exemplos: 1) Empréstimos cujas garantias não mais 
existam; 2) Depreciação no valor das garantias depositadas em bolsas de derivativos.
d) Risco Soberano
 Pode ser definido como o risco de perdas pela incapacidade de um tomador de um empréstimo, contraparte de uma 
transação ou emissor de um título, em honrar seus compromissos em função de restrições impostas por seu país-sede. 
Exemplo: Transações que envolvam transferências internacionais de títulos ou de câmbio.
e) Risco de Financiador
 Pode ser definido como o risco de perdas por inadimplência do financiador de uma transação, potencializada quando o 
contrato não contempla acordo de liquidação por compensação de direitos e obrigações (netting agreement). Exemplo: 
Repurchase transactions que não contemplem o netting de direitos/obrigações (ao contrário dos ISMA Agreements).
f) Risco de Concentração (crédito)
 Pode ser definido como o risco de perdas em decorrência da não diversificação de risco de crédito de investimentos. Exem-
plos: 1) Concentrar empréstimos em poucos setores da economia, classes de ativos, etc.; 2) Possuir parte substancial dos 
passivos de um devedor (por exemplo, um emissor de debêntures).
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
27 
2.3.3 riscO OperaciONal
O risco operacional pode ser definido como uma medida numérica da incerteza dos retornos de uma instituição, caso 
seus sistemas, práticas e medidas de controle não sejam capazes de resistir a falhas humanas, danos à infraestrutura 
de suporte, utilização indevida de modelos matemáticos ou produtos, alterações no ambiente dos negócios, ou a 
situações adversas de mercado. As principais subáreas do risco operacional são: 
a) Risco de Overload
 Pode ser definido como o risco de perdas por sobrecargas nos sistemas elétrico, telefônico, de processamento de dados, 
etc. Exemplos: 1) Sistemas não operacionais em agências bancárias, por acúmulo de informação nos canais de comuni-
cação com a central de atendimento; 2) Linhas telefônicas constantemente ocupadas.
b) Risco de Obsolescência
 Pode ser definido como o risco de perdas pela não substituição frequente dos equipamentos e softwares antigos. Exemplos: 
1) Versões atualizadas de softwares não compatíveis com hardware antigo; 2) Impossibilidade de integrar sistemas com-
putacionais desenvolvidos em versões de softwares diferentes.
c) Risco de Presteza e Confiabilidade
 Pode ser definido como o risco de perdas, pelo fato de informações não poderem ser recebidas, processadas, arma-
zenadas e transmitidas em tempo hábil e de forma confiável. Exemplos: 1) Situações em que informações consolida-
das sobre exposição de um banco não podem ser obtidas em tempo hábil para análise; 2) Impossibilidade de prestar 
informações precisas em determinados horários devido à atualização de bancos de dados ocorrer por processamento 
em batch.
d) Risco de Equipamento
 Pode ser definido como o risco de perdas por falhas nos equipamentos elétricos, de processamento e transmissão de da-
dos telefônicos, de segurança, etc. Exemplos: 1) Redes de micros contaminados por vírus; 2) Discos rígidos danificados; 3) 
Telefonia não operacional por falta de reparos.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
28 
e) Risco de Erro Não Intencional
 Pode ser definido como o risco de perdas em decorrência de equívoco, omissão, distração ou negligência de funcionários. 
Exemplos: 1) Mal atendimento de correntistas (má vontade, falta de informação, etc.); 2) Posicionamento da tesouraria no 
mercado contrário ao especificado pelo Comitê de Investimentos.
f) Risco de Fraudes
 Pode ser definido como o risco de perdas em decorrência de comportamentos fraudulentos (adulteração de controles, 
descumprimento intencional de normas da empresa, desvio de valores, divulgação de informações erradas, etc.). Ex-
emplos: 1) Desvio de dinheiro de agência bancária; 2) Aceitação de “incentivos” de clientes para conceder crédito em 
valores mais elevados.
g) Risco de Qualificação
 Pode ser definido como o risco de perdas pelo fato de funcionários desempenharem tarefas sem qualificação profissional 
apropriada à função. Exemplos: 1) Uso de estratégias de hedge com derivativos, sem conhecimento por parte do operador 
das limitações desta; 2) Cálculo de perdas e lucros em carteiras, sem conhecimento dos mercados; 3) Iniciar operações em 
mercados “sofisticados”, sem contar com equipes (back-office e front-office) devidamente preparadas.
h) Risco de Produtos e Serviços
 Pode ser definido como o risco de perdas em decorrência da venda deprodutos ou prestação de serviços ocorrer de forma 
indevida, ou sem atender às necessidades e demandas de clientes. Exemplos: 1) Envio de cartões de crédito sem consulta 
prévia ao cliente; 2) Recomendar a clientes de perfil conservador o investimento em fundos de derivativos alavancados 
diante de um bom desempenho no passado recente desses mesmos fundos.
i) Risco de Regulamentação
 Pode ser definido como o risco de perdas em decorrência de alterações, impropriedades ou inexistência de normas para 
controles internos ou externos. Exemplos: 1) Alteração de margens de garantia ou de limites de oscilação em bolsas de 
derivativos sem aviso antecipado ao mercado; 2) Front-office responsável pela operação do back-office.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
29 
j) Risco de Modelagem
 Pode ser definido como o risco de perdas pelo desenvolvimento, pela utilização ou interpretação incorreta dos resultados 
fornecidos por modelos, incluindo a utilização de dados incorretos. Exemplos: 1) Utilizar software comprado de terceiros, sem 
conhecimento de suas limitações; 2) Utilizar modelos matemáticos, sem conhecimento de suas hipóteses simplificadoras.
k) Risco de Liquidação Financeira
 Pode ser definido como o risco de perdas em decorrência de falhas nos procedimentos e controles de finalização das 
transações. Exemplos: 1) Envio e/ou recebimento de divisas em praças com diferentes fusos horários, feriados, regras 
operacionais, etc.
l) Risco Sistêmico
 Pode ser definido como o risco de perdas devido a alterações no ambiente operacional. Exemplos: 1) Alteração abrupta de 
limites operacionais em bolsas, levando todas as instituições financeiras a dificuldades; 2) Modificação repentina de base 
de cálculo de tributos corporativos.
m) Risco de Concentração (operacional)
 Pode ser definido como o risco de perdas por depender de poucos produtos, clientes e/ou mercados. Exemplo: Bancos que só 
operem financiando clientes de determinado segmento (por exemplo, setor automotivo, crédito a lojistas, etc.).
n) Risco de Imagem
 Pode ser definido como o risco de perdas em decorrência de alterações da reputação com clientes, concorrentes, órgãos 
governamentais, etc. Exemplo: Boatos sobre a saúde de uma instituição, desencadeando corrida para saques.
o) Risco de Catástrofe
 Pode ser definido como o risco de perdas devido a catástrofes (naturais ou não). Exemplos: 1) Desastres naturais (enchen-
tes) que dificultem a operação diária da instituição ou de áreas críticas como centros de processamento, de telecomuni-
cações, etc. 2) Destruição do patrimônio da instituição por desastres que abalem a estrutura civil de prédios (colisão de 
aviões, caminhões, etc.), incêndios, etc.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
30 
2.3.4 riscO legal | cONFOrmidade
O risco legal pode ser definido como uma medida numérica da incerteza dos retornos de uma instituição, caso seus 
contratos não possam ser legalmente amparados por falta de representatividade por parte de um negociador, por 
documentação insuficiente, insolvência ou ilegalidade. As principais subáreas do risco legal são:
a) Risco de Legislação
 Pode ser definido como o risco de perdas decorrentes de sanções por reguladores e indenizações por danos a terceiros 
por violação da legislação vigente. Exemplos: 1) Multas por não cumprimento de exigibilidades; 2) Indenizações pagas a 
clientes por não cumprimento da legislação; 3) Interdição de projetos, obras, empresas por violação da legislação vigente; 
4) Processo crime para uso administradores por violação.
b) Risco Tributário
 Pode ser definido como o risco de perdas devido à criação ou nova interpretação da incidência de tributos. Exemplos: 1) Criação 
de impostos novos sobre ativos e/ou produtos; 2) Recolhimento de novas contribuições sobre receitas, não mais sobre lucros.
c) Risco de Contrato
 Pode ser definido como o risco de perdas decorrentes de julgamentos desfavoráveis por contratos omissos, malredigidos 
ou sem o devido amparo legal. Exemplos: 1) Pessoa sem poder para assinar contratos representando a instituição; 2) Não 
execução pronta de garantias, requerendo o acionamento do jurídico; 3) Responsabilidades cobertas nos contratos de 
terceirização colocadas de forma pouco objetivas.
2.3.5 riscOs estratégicOs 
Os riscos estratégicos alvejam um ou mais elementos cruciais na concepção do modelo de negócio da empresa, ou 
seja, afeta as atividades primárias da Cadeia de Valor. Em alguns casos podem até acabar com o vínculo da empresa 
com o mercado. Em outros casos, diminuem a proposta de valor que a empresa oferece, que pode ser a base do fluxo 
de receita. Podem também diluir os lucros dos quais dependem. Às vezes destroem a gestão estratégica que ajuda a 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
31 
empresa a monitorar e controlar a concorrência. No pior cenário possível, riscos estratégicos podem ameaçar todos os 
pilares que sustentam os objetivos da empresa. 
No contexto moderno seguindo a citação de Adrian J. Slywotzky, em seu livro Do risco à oportunidade, há sete 
grandes tipos de riscos estratégicos que qualquer empresa deve estar preparada para enfrentar. Embora a empresa 
vá continuar enfrentando outros tipos de riscos, dos tipos geopolítico, regulatório, operacional, estes setes riscos 
estratégicos compreendem a gama de riscos que expõe a concepção do negócio da maioria das empresas. Em outras 
palavras, a gestão de riscos, por conceito, passa também a lidar com a gestão estratégica e o monitoramento contínuo 
dos objetivos empresariais. 
Os sete riscos estratégicos são: 
a) Sua grande iniciativa falha: isso significa nos projetos que são liderados, tais como lançamento de novos produtos, expan-
são do mercado, fusão, entre outros. De acordo com estudos realizados, a grande maioria dos projetos novos possuem uma 
probabilidade real de sucesso em torno de 20%! 
b) Seus clientes abandonam: a empresa foi surpreendida pelos clientes – mudanças repentinas e imprevistas em suas 
preferências, prioridades e gostos? Nesse caso a base da receita poderá ruir rapidamente, pois sem mercado não existe 
empresa.
c) Seu setor chega a uma bifurcação na estrada: quando as mudanças na tecnologia ou concepção do negócio transformam 
um setor, até 80% das empresas incumbentes não sobrevivem à transição.
d) Um concorrente aparentemente invencível aparece: quando a empresa encontrar um forte concorrente, será possível sobre-
viver e prosperar enquanto as outras empresas estão sendo destruídas.
e) Sua marca perde a força: uma grande marca é uma fortaleza de valor – 40% das principais marcas já vivenciaram grandes 
impactos. Isso ocorre quando os gestores da empresa possuem uma visão estreita das marcas, ignorando a integração 
entre marca, produto e concepção do negócio.
f) Seu setor torna-se zona de lucro zero: inúmeros setores padeceram de maior concorrência, maior poder do cliente e com-
pressão de margem, até um ponto em que os lucros ficam praticamente zerados.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
32 
g) Sua empresa para de crescer: quando as vendas atingem estagnação, o impacto é imediato e doloroso, tais como novos 
talentos começam a sair da empresa e ou novas iniciativas são paralisadas. 
Cada um dos riscos listados acima podem, simplesmente, exterminar o negócio da empresa. Isso acontece porque os 
riscos são ou menos desprezados ou ignorados pela gestão, que, ou partem do princípio que a estratégia da empresa 
e os riscos que a ameaçam são responsabilidade única e exclusiva da direção, ou que esses tipos de riscos não irão 
ocorrer em suas empresas. 
2.3.6 riscO de liquidez e/Ouatuarial
Esse tipo de risco é específico a Fundos de Pensão, empresas de Previdência Privada. É decorrente da possibilidade 
de perdas por inadequação dos níveis de contribuição necessárias à manutenção dessas disponibilidade ao longo 
do tempo, da especificação deficiente dos planos de benefícios e seus reflexos nas provisões técnicas exigidas. 
Exemplos: Interpretação indevida de regulamentos ou critérios que subsidiam o cálculo das provisões técnicas; 
especificação inadequada dos planos de benefícios e das premissas atuariais; avaliação atuarial inadequada motivada 
pela inconsistência na base de informações; adoção de premissas e hipóteses que não confirmem, ou que se revelem 
pouco aderentes ao grupo de participantes ou, ainda, do uso de metodologias que se mostrem inadequadas; diferenças 
temporais entre fluxos de caixa gerados pelos ativos e passivos que implicam a falta de recursos para honrar obrigações, 
forçando a transformação de um ativo em caixa. 
A categorização de riscos mais comum, como benchmarking de mercado é: Estratégico, Operacional, Financeiro 
e Legal. Essas quatro categorias devem possuir vasos comunicantes entre elas, visando não ficar com uma visão 
limitada e ou segregada dos riscos. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
33 
2.4 iNtercONectividade eNtre riscOs 
2.4.1 cONceitO de iNtercONectividade
O relatório de Riscos Globais de 2014, do Forum Mundial, salienta como os riscos globais não apenas são interconectados 
mas também possuem impactos sistêmicos. Para gerir os riscos corporativos eficientemente e construir a resiliência aos 
seus impactos, esforços melhores são necessários para entender, medir e prever a evolução das interdependências 
(INTERCONECTIVIDADE) entre os riscos, suplementando as ferramentas tradicionais de gestão de riscos com novos 
conceitos projetados para ambientes incertos. Se os riscos não forem eficazmente abordados e interpretados, os 
prejuízos serão ampliados de forma geométrica e em todas as disciplinas. Podemos citar como exemplo a crise financeira 
de 2007/2008, na qual os impactos políticos, econômicos e sociais foram de longo alcance, de forma sistêmica e de 
uma capilaridade avassaladora. 
A natureza sistêmica dos riscos corporativos pede por uma visão estratégica holística dentro da corporação. Assim como 
sistemas de finanças, supply-chain, saúde e energia, a Internet e o ambiente se tornam mais complexos e interdependências e 
seus níveis de resiliência determinam se eles se tornam o baluarte da estabilidade ou amplificadores de choques em cascata. 
Fortalecer a resiliência requer a superação de desafios de ação coletivos por meio do entendimento dos vasos comunicantes 
entre riscos. Podemos citar o terremoto e tsunami no Japão em 2011, que quebrou toda a cadeia logística das empresas 
automobilísticas ao redor do mundo. Depois do terremoto de 11 de março, as fábricas automobilísticas japonesas deixaram 
de fabrircar mais de 500.000 veículos, e as perdas chegaram a bilhões, segundo especialistas do setor. “A China teria perdido 
no final de abril 25.000 veículos; a Europa, 55.000; e a América do Norte, 68.000”, estima Carlos da Silva, analista da Global 
Insight, contatado pela AFP. A maior montadora do mundo de automóveis, a japonesa Toyota, anunciou redução 50% a 70% de 
sua produção na China até 3 de junho de 2011. Os problemas na cadeia de abastecimento de componentes eletrônicos e 
materiais plásticos custaram à Toyota uma perda produtiva de mais de meio milhão de unidades em todo o mundo até junho 
de 2011. O conceito de “just in time” ficou exposto, sendo revisado em função da interdependência. 
Dessa maneira, não basta mais somente utilizar a Matriz de Riscos, cruzando probabilidade e impacto, pois essa 
avaliação fornece a criticidade dos riscos, dentro de suas disciplinas. É importante, mas não mais só isso! Há 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
34 
necessidade do entendimento da dinâmica entre riscos, ou seja, da motricidade entre eles. Quais riscos possuem força 
e capacidade de influenciar outros riscos? A partir daí podemos enxergar a verdadeira interconectividade entre riscos. 
Sem o estudo da interconectividade, realizando o estudo somente por disciplina ou por categoria de riscos, a empresa 
e seus gestores podem não enxergar os riscos sistêmicos. 
O risco sistêmico (Goldin e Mariathasan, da Princeton University) é o risco de “colapsos em um sistema inteiro, oposto 
ao colapso de partes e componentes individuais”. Os riscos sistêmicos são caracterizados por:
- pontos de ruptura modestos, combinados indiretamente para produzir grandes falhas;
- contágio ou compartilhamento de risco, como uma perda que desencadeia uma reação de outras;
- sistemas sendo incapazes de recuperar o equilíbrio depois de um choque. 
Esse estudo começou na década de 1960 com o cientista Edward Lorenz, cientista do MIT – Massachusetts Institute of 
Technology, que à época conduzia pesquisas sobre previsão do tempo. Descobriu variações imperceptíveis nos valores da 
pressão e temperatura, que combinadas geravam efeitos massivos em questões de dias nas previsões do tempo. É dele a 
famosa pergunta: Pode o bater das asas de uma borboleta no Brasil causar um tornado no Texas? O famoso Efeito Borboleta! 
Portanto, o risco sistêmico está relacionado à sensibilidade de pequenas variações nas condições iniciais de 
um sistema, que se desenvolvem e se combinam, produzindo um enorme efeito no sistema como um todo. Ações 
inconsequentes, desconexas e de pouca importância nas partes de um processo podem combinar e ocasionar impactos 
massivos nos processos das empresas ou no modelo de negócio. 
2.4.2 criticidade e mOtricidade de riscOs 
O Relatório de Riscos Globais de 2016, do Forum Mundial, mais uma vez salienta a importância de elaborar o estudo 
da conexões entre riscos, ou seja, de entender as influências entre riscos. O que um risco influência em outro? Qual é 
a motricidade dos riscos no contexto geral do quadro? 
O que o Relatório sugere, desde 2009, é que não só façamos o estudo da Matriz de Risco de Probabilidade e Impacto 
que identifica a criticidade do risco. (Figure 1)
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
35 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
36 
A Matriz acima só demonstra quais riscos são mais críticos, quais são mais severos, ou seja, a Matriz de Criticidade 
prioriza o tratamento frente a criticidade do seu impacto e probabilidade de seu acontecimento. 
Esse estudo não demonstra a interconectividade entre riscos. O estudo das conexões entre riscos nos dá uma visão 
do risco sistêmico. 
Portanto, podemos concluir que a influência de um risco não crítico pode, às vezes, ser estratégico, dentro de 
um determinado contexto. Dentro dessa ótica é imperioso que o gestor passe então a enxergar a motricidade e as 
conexões entre os riscos. (Figure 2 e Figure 4)
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
37 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
38 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
39 
As matrizes anteriores demonstram as interconectividades entre os riscos, salientando os riscos de maior motricidade, 
maior influência de um risco sobre o outro. 
Nós, da Brasiliano & Associados, trabalhamos com a interconectividade entre riscos já alguns anos, visando entender 
essa dinâmica. Utilizamos para isso a Metodologia trazida da construção de cenáriosprospectivos, a Matriz de Impactos 
Cruzados – MIC. A MIC foi adaptada da metodologia do cenarista francês Michael Godet que tem como base o Teorema 
de Bayes, Probabilidades Condicionantes. 
No nosso Processo de Gestão de Riscos, essa ferramenta será descrita com maior detalhe, no capítulo 12, itém 12.6 
matriz de impactos cruzados, mas de forma geral a técnica de impactos cruzados identifica os riscos considerados 
motrizes e de ligação, ou seja, aqueles que possuem maior influência entre os demais. Ponto importante é a aplicação 
da ferramenta. Não se pode aplicar essa ferramenta em qualquer tipo de estudo, mas sim para estudos de riscos 
estratégicos e/ou riscos críticos entre disciplinas. O objetivo é enxergar quais riscos são os influenciadores. 
Para priorizarmos o tratamento podemos cruzar as matrizes de risco e a matriz de impacto cruzado, tendo como 
resultado uma Matriz de Priorização de Riscos, conforme figura a seguir.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
40 
MOTRIZ
04
05
12
13
*01
*06
*03 *02
LIGAÇÃO
04
05
12
13
*10
*14
*04
*05
*12
*13
*15
DEPENDENTE
04
05
12
13
*08
*09
*07
*11
INDEPENDENTE
1 2 3 4
01 - Manifestação pacífica com bloqueio parcial
02 - Manifestação com atos de vandalismo / 
depredação contra patrimônio público 
03 - Manifestação com atos de vandalismo com 
lançamentos de inflamáveis contra o público local
04 - Manifestação com atos de agressão contra o 
efetivo da PM
05 - Tumulto
06 - Manifestação para contenção do público para o 
local do evento
07 - Atentado terrorista criminoso
08 - Assédio sexual
09 - Arrastão
10 - Briga entre torcidas uniformizadas
11 - Presença de grupos extremistas
12 - Presença de extremista solitário
13 - Crimes comuns (roubo, furto, etc.)
14 - Movimentos de pressão e reivindicatórios
15 - Violência policial
Criticidade dos Riscos
M
ot
ric
id
ad
e 
do
s 
R
is
co
s
Com essa Matriz de Priorização, o gestor consegue visualizar os riscos que são realmente relevantes para a 
organização, pois seleciona, de forma cruzada, os críticos (probabilidade x impactos) versus sistêmicos (motrizes x 
dependentes). Essa ferramenta é inédita em processos de gestão de riscos, pois consegue fazer os gestores cruzarem 
as duas Matrizes e a partir daí entenderem os riscos de maior relevância. Isso faz com que a organização tenha maior 
assertividade nas suas tomadas de decisões. 
41 
3.1 ObjetivOs dO gereNciameNtO de riscOs cOrpOrativOs
A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes 
interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que 
ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às 
partes interessadas. 
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento 
de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as 
oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.
3. A GESTÃO DE RISCOS 
CORPORATIVOS E OS 
OBJETIVOS ESTRATÉGICOS 
DA ORGANIZAÇÃO 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
42 
O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre 
as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos 
com eficácia e eficiência na busca dos objetivos da organização. Os objetivos estratégicos do gerenciamento de riscos 
corporativos, segundo as premissas do COSO II, publicado em 2004, são: 
1. Alinhar o apetite a risco com a estratégia adotada
 Os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas 
relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
2. Fortalecer as decisões em resposta aos riscos
 O gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos 
riscos – como evitar, reduzir, compartilhar e aceitar os riscos.
3. Reduzir as surpresas e prejuízos operacionais
 As organizações adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, 
reduzindo surpresas e custos ou prejuízos associados.
4. Identificar e administrar riscos múltiplos e entre empreendimentos
 Toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos cor-
porativos possibilita uma resposta eficaz a impactos inter-relacionados e, também, respostas integradas aos diversos riscos.
5. Aproveitar oportunidades
 Pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar e aproveitar as 
oportunidades de forma proativa.
6. Otimizar o capital 
 A obtenção de informações adequadas a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das 
necessidades de capital como um todo e aprimorar a alocação desse capital.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
43 
Essas qualidades, inerentes ao gerenciamento de riscos corporativos, ajudam os administradores a atingir as 
metas de desempenho e de lucratividade da organização, e evitam a perda de recursos. O gerenciamento de riscos 
corporativos contribui para assegurar comunicação eficaz e cumprimento de leis e regulamentos, bem como evitar 
danos à reputação da organização e suas consequências. Em suma, o gerenciamento de riscos corporativos ajuda a 
organização a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso.
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo 
representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo 
podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam 
a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou 
a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de elaboração de 
estratégias ou objetivos, formulando planos que visam ao aproveitamento destes.
3.2 deFiNiçãO de gereNciameNtO de riscOs cOrpOrativOs
A gestão de riscos corporativos trata riscos e oportunidades que afetam a criação ou a preservação de valor. O 
processo de gestão de riscos corporativos deve ser efetivado de forma descentralizado, por todos os membros da 
organização. Portanto, uma definição que a Brasiliano utiliza bastante por ser eficaz, é a que está escrita no COSO II: 
“O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, 
diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a 
organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o 
apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.”
Essa definição reflete certos conceitos fundamentais: 
1. é um processo contínuo e que flui pela organização como um todo;
2. é conduzido pelos profissionais em todos os níveis da organização, ou seja, é um processo descentralizado;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
44 
3. é aplicado à definição das estratégias, alinhado com seus objetivos estratégicos;
4. é aplicado em toda a organização, em todos os níveis e unidades, einclui a formação de uma visão de portfólio de todos 
os riscos a que ela está exposta;
5. é formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organização, e para administrar os riscos 
de acordo com seu apetite a risco;
6. é capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva de uma organização do 
cumprimento de seus objetivos, pois seus riscos estão gerenciados;
7. é orientado para a realização de objetivos em uma ou mais categorias distintas, mas dependentes. 
Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e 
outras organizações administram riscos, possibilitando uma base para sua aplicação em organizações, indústrias e 
setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos 
estabelecidos por uma organização específica e fornece parâmetros para definir a eficácia desse gerenciamento de 
riscos. A figura abaixo reflete de forma direta as vantagens do processo de gerenciamento de riscos nas empresas, 
tornando-as mais resilientes. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
45 
Contribuição do gerenciamento de riscos para o comprimento dos objetivos estratégicos.
3.3 realizaçãO de ObjetivOs
Com base na missão ou visão estabelecida por uma organização, a administração estabelece os planos principais, 
seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da organização.
A estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos da organização. O 
processo do COSO II, publicado em 2004, sugere quatro objetivos que a estrutura de Gestão de Riscos Corporativos 
deve contemplar. São eles: 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
46 
1. Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
2. Operações – utilização eficaz e eficiente dos recursos.
3. Comunicação – confiabilidade de relatórios.
4. Conformidade – cumprimento de leis e regulamentos aplicáveis.
Essa classificação possibilita um enfoque nos aspectos distintos do gerenciamento de riscos de uma organização. 
Apesar dos objetivos serem distintos, eles se inter-relacionam, uma vez que determinado objetivo pode ser 
classificado em mais de uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob 
a responsabilidade direta de diferentes executivos. Essa classificação também permite diferenciar o que pode ser 
esperado de cada categoria de objetivos. 
Em razão de os objetivos relacionados com a confiabilidade e relatórios e o cumprimento de leis e regulamentos 
estarem sob controle da organização, pode-se esperar que o gerenciamento de riscos corporativos forneça uma garantia 
razoável em relação ao atendimento desses objetivos. Entretanto, a realização de objetivos estratégicos e operacionais 
está sujeita à ação de eventos externos nem sempre sob o controle da organização; da mesma forma, em relação a 
esses objetivos, o gerenciamento de riscos corporativos é capaz de propiciar uma garantia razoável que a diretoria 
executiva e o conselho de administração, na função de supervisão, serão informados, no momento adequado, o quanto 
a organização está avançando na direção do atendimento dos objetivos.
47 
A economia brasileira tem sido acompanhada por movimentos profundos nas empresas nacionais e com esses 
movimentos demandam e reforçam a criticidade de uma Governança Corporativa efetiva e bem-estruturada, já que em 
alguns casos a falta de requisitos mínimos de Governança Corporativa impede que algumas empresas consigam tirar 
proveito deste momento pelo qual o Brasil e o mundo está passando. Adicionalmente, embora em muitos casos vários 
elementos de uma boa Governança Corporativa estejam presentes nas empresas, nem sempre eles são postos em 
prática da forma adequada. 
Uma das ferramentas adequadas a Governança Corporativa, lançada em 21 de setembro de 2010 pela FERMA 
– Federação das Associações Europeias de Gestão de Riscos e pelo ECIIA – Confederação Europeia do Instituto 
de Auditoria Interna, é a Orientação sobre a 8a Diretriz Jurídica Europeia da Empresa (Art. 41), que recomenda a 
4. A GESTÃO DE RISCOS 
CORPORATIVOS E AS 3 
LINHAS DE DEFESA
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
48 
implementação operacional para monitorar com eficácia a auditoria, controle interno e o sistema de gestão de 
risco. O objetivo do documento foi o de auxiliar a gestão sênior na implementação da gestão de riscos, controle 
interno, compliance e auditoria interna e as relações com a diretoria executiva e conselho. O documento estabelece 
claramente as responsabilidades entre as áreas e suas relações. O conselho é responsável pela fiscalização da 
gestão de riscos da empresa e pelo framework de controle. Todos na empresa desempenham uma função na 
gestão eficaz de riscos, mas a responsabilidade primária para a gestão e o controle dos riscos é delegada ao nível 
de gestão adequado dentro da empresa. Em outras palavras, o processo é descentralizado e o dono do processo 
é o dono do risco. O CEO e o CFO possuem a responsabilidade final para o conselho para a gestão de riscos e o 
framework de controle. Para cumprir essas tarefas eficientemente, eles buscam se assegurar de várias fontes dentro 
da organização. O FERMA e o ECIIA apoiam o modelo das “três linhas de defesa” como um ponto de partida para a 
orientação regulatória futura. O modelo a seguir é o original publicado.
conselho / comitê auditoria 
 
1a Linha Defesa 
 
 
 
 
 
 
 
 
 
 
 
Gestão sênior
2a Linha Defesa 3a Linha Defesa
Gestão de Riscos
Conformidade
Outros
Gestão Operacional
Controles Internos
Auditoria Interna
Gestão de Riscos
Conformidade
Outros
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
49 
Todos nós, cidadãos brasileiros, e, principalmente, profissionais da área de gestão de riscos e auditoria, ficamos 
estarrecidos com os acontecimentos de fraudes no Brasil. Estamos falando da operação Lava Jato, que a cada dia 
consegue mais vitórias em termos de fazer justiça e reduzir o nível de impunidade no Brasil. Ficamos surpresos com a 
facilidade com que os controles foram burlados e com o franco desconhecimento da alta gestão. 
Ficou mais nítido com estas fraudes, que ainda inúmeras empresas, profissionais de riscos e auditoria interna ainda 
não apliquem e pratiquem uma melhor prática chamada 3 Linhas de Defesa. Essa melhor prática ou estratégia de 
atuação da área de gestão de riscos, compliance, controles internos e auditoria foi estruturada para descentralizar o 
procresso de controle, dando aos usuários dos processos operacionais e estratégicos a responsabilidade primária de 
realizar o respectivo controle, com uma supervisão de áreas corporativas e da auditoria interna, de tal forma que haja 
cobertura em todos os níveis da empresa. 
Segundo Marcelo Fridori, em seu artigo, ele escreve as justificativas da construção do Modelo das 3 Linhas de Defesa: 
“Com o crescimento significativo da complexidade no ambiente de negócios, as organizações passaram a necessitar 
de diferentes equipes de especialistas em controle interno, executivos de compliance, especialistas em gerenciamento 
de riscos, auditores internos, entre outros, para gerenciar, em conjunto, de forma efetiva seus principais riscos… 
Deve-se ressaltar, entretanto, que a divisão das atividades relacionadas ao gerenciamento de riscos entre diversos 
departamentos pode levar à ineficácia de algumas das ações promovidas. Assim, passa a ser fortemente recomendável 
que os esforços empreendidos por todossejam devidamente coordenados, de modo a garantir que os processos sejam 
conduzidos de acordo com o que foi planejado. De acordo com o modelo apresentado, o conselho de administração e 
o diretor executivo, em nome da alta administração, são responsáveis pela supervisão e monitoramento dos processos 
de gestão de riscos e, para assumir de forma efetiva essas atribuições, eles necessitam de resultados provenientes 
das várias áreas envolvidas com este assunto. Esse modelo ganhou rapidamente um reconhecimento mundial por 
parte das organizações e das entidades que representam as funções de gerenciamento de riscos e controles e, a 
partir de 2013, passou a ser divulgado também através de uma Declaração de Posicionamento do IIA – The Institute 
of Internal Auditors”.
O modelo das Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento 
de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais. O modelo apresenta um 
novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
50 
riscos, e é aplicável a qualquer organização – não importando seu tamanho ou complexidade. Mesmo em empresas 
em que não exista uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de 3 Linhas de Defesa pode 
melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de riscos. 
No modelo de 3 Linhas de Defesa, o controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as 
diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha 
de defesa e a avaliação independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro 
da estrutura mais ampla de governança da organização. Na figura abaixo podemos visualizar holisticamente o modelo.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
51 
Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse 
modelo, sistemas de gerenciamento de riscos, mas são papéis essenciais. Os órgãos de governança e a alta 
administração são as principais partes interessadas atendidas pelas “linhas” e são as partes em melhor posição 
para ajudar a garantir que o modelo de 3 Linhas de Defesa seja aplicado aos processos de gerenciamento de riscos 
e controle da organização.
Esse modelo reforça de forma incisiva que o dono do processo é o dono do risco e de seus controles. Portanto, 
os riscos corporativos só acontecem quando os donos do processo possuem comprometimento e maturidade de 
praticarem os controles e respectivas metodologias, sugeridas e supervisionas pela segunda linha de defesa. A 
segunda linha de defesa é na verdade o grande guardião do processo, pois incentiva que a primeira linha pratique e ao 
mesmo tempo supervisiona para identificar possíveis falhas. A terceira linha, Auditoria Interna, realiza suas avaliações 
tanto na primeira como na segunda linha de defesa. 
As três linhas deveriam existir em todas as organizações, não importando tamanho ou complexidade. O gerenciamento 
de riscos, normalmente, é mais sólido quando há três linhas de defesa separadas e claramente identificadas, com 
papéis esclarecidos. 
Os riscos corporativos acabam sendo concretizadas quando há falhas de cobertura, principalmente entre a primeira e 
segunda linha de defesa. Os riscos acontecem quando o dono do processo não está praticando o processo de Gestão 
de Riscos e a segunda linha, a supervisora, falha em não identificar o risco e nem reportar e informar a alta gestão. A 
situação piora mais ainda quando a terceira linha não identifica falha na segunda linha de defesa e por consequência 
fica míope para realizar uma auditoria baseada em riscos na primeira linha de defesa.
O processo das 3 Linhas de Defesa reforça o que já escrevi no segundo capítulo, quando citei que a área de Gestão 
de Riscos deveria poder realizar a Inteligência em Riscos Corporativos – IRC. Essa inteligência só poderá ser alcançada 
se a empresa adotar a prática do dono do processo ser dono do risco. O dono do processo ser o responsável em 
realizar a autoavaliação dos riscos e controles. Com esse processo rodando a segunda linha de defesa pode fazer seu 
grande papel estratégico de interpretar e de realizar os estudos de interconectividade entre riscos, entre áreas e entre 
processos. Dessa forma, passa a agregar valor no processo estratégico e operacional. A auditoria interna, por sua vez, 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
52 
utilizará como insumo as informações tanto da segunda linha como da primeira para realizar seus testes de controles, 
Chaves em processos críticos.
Esse é o grande diferencial que as empresas devem possuir para operacionalizar, o dono do processo ser o dono do 
risco, seja qual for a complexidade do processo. Infelizmente, ainda hoje no Brasil há uma grande resistência por parte 
dos usuários, chamados de média gerência. 
A Revista HSM de 2014, número 104, de maio/junho, ressalta em seu artigo intitulado “Eu, gestor de riscos? A 
importância da média gerência estar sensibilizada com esta nova tarefa”. O artigo considera que as médias gerências 
são as guardiães dos seus processos. Escreve: “Os especialistas consideram que a mudança de mentalidade desses 
profissionais é fundamental para um futuro mais seguro”.
É o gerente de linha que instala e monitora procedimentos de controle e segurança. Assim, o modo mais eficaz 
de alcançar melhor gestão de riscos é motivar esses funcionários a prestar atenção suficiente a esse tipo de 
responsabilidade.
Esse passa a ser o grande desafio do gestor de riscos: possuir maturidade e sensibilidade em convencer a empresa 
que a gestão de riscos não pertence à área de Gerenciamento de Riscos, mas sim aos donos do processo.
53 
5.1 cOsO – the cOmmittee OF spONsOriNg 
OrgaNizatiONs OF the treadway cOmmissiON 
O COSO é uma organização privada criada nos Estados Unidos em 1985 para previnir e evitar fraudes nas demonstrações 
contábeis da empresa. Portanto, é uma antiga organização brigando para o quesito prevenção a fraudes; porém, as 
empresas fazem muito pouco para o processo preventivo acontecer. 
O foco do COSO é a implantação de controles internos efetivos, proporcionando uma garantia razoável para prevenir 
fraudes. Em 1985, foi criada nos Estados Unidos a National Commission on Fraudulent Financial Reporting – Comissão 
Nacional sobre Fraudes em Relatórios Financeiros –, iniciativa independente para estudar as causas da ocorrência de 
5. MELHORES PRÁTICAS – 
FRAMEWORKS DE MERCADO
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
54 
fraudes em relatórios financeiros e contábeis. Essa comissão era composta de representantes das principais associações 
de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos.
O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros fundamentados na ética, 
na efetividade dos controles internos e na governança corporativa, além de ser patrocinado por cinco das principais 
associações de classe: 
• AICPA – American Institute of Certified Public Accounts – Instituto Americano de Contadores Públicos Certificados;
• AAA – American Accounts Association – Associação Americana de Contadores;
• FEI – Financial Executive International – Executivos Financeiros Internacionais;
• IIA – The Institute of Internal Auditors – Instituto dos Auditores Internos;
• IMA – Institute ofManagement Accountants – Instituto de Contadores Gerenciais.
O comitê trabalha com independência em relação às suas atividades patrocinadoras. 
5.1.1 cOsO i – cONceitO e a revisãO 2013
Em 1992, o Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO) lançou o seu Controle Interno 
– Framework Integrado. O framework original ganhou uma ampla aceitação e é muito utilizado ao redor do mundo. É 
reconhecido como um framework pioneiro pelo design, pela implementação e pela condução do controle interno e a 
avaliação da eficácia do controle interno.
Nos vinte anos desde a sua criação do framework original, os negócios e os ambientes operacionais mudaram 
dramaticamente, se tornando cada vez mais complexos, movidos tecnológica e globalmente.
Ao mesmo tempo, as partes interessadas estão mais envolvidas, buscando uma transparência e contabilidade 
maiores para a integridade dos sistemas do controle interno que suportam as decisões e a governança da organização.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
55 
O COSO acredita que o Framework de Controles Internos permitirá que as organizações desenvolvam e mantenham 
eficazmente os sistemas de controle interno podem melhorar a probabilidade de conquistar os objetivos da entidade e 
adaptar-se às mudanças nos negócios e nos ambientes operacionais. Ele retém a definição primária do controle interno 
e os seus cinco componentes. O requerimento para considerar os cinco componentes para avaliar a eficácia de um 
sistema de controle interno permanecem imutáveis, fundamentalmente. 
O framework continua a enfatizar a importância do julgamento da gestão no design, na implementação e na condução 
do controle interno, bem como na avaliação da eficácia de um sistema de controle interno.
Ao mesmo tempo, o framework inclui melhorias e esclarecimentos que tencionam facilitar o uso e a aplicação. No 
framework atualizado, esses conceitos são agora princípios, os quais são associados com os cinco componentes, e 
os quais fornecem esclarecimento para o usuário na projeção e na implementação dos sistemas de controle interno e 
para compreender os requerimentos para o controle interno eficaz.
O framework foi melhorado ao expandir a categoria de relatório financeiro de objetivos, para incluir outras formas 
importantes de relatório, como o não financeiro e o relatório interno. Além disso, o framework reflete as considerações 
de muitas mudanças nos negócios e nos ambientes operacionais nas várias décadas passadas, incluindo:
• Espectativas para a fiscalização da Governança
• Globalização dos mercados e das operações
• Mudanças e maiores complexidades dos negócios
• Demandas e complexidades nas leis, regras, regulamentos e normas
• Expectativas para competências e contabilidades
• Uso e dependência de tecnologias em evolução
• Expectativas relacionadas à prevenção e detecção da fraude
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
56 
5.1.2 cONceitO da estrututa de cONtrOle iNterNO – FramewOrk dO cOsO i 
O controle interno auxilia as entidades a conquistarem os objetivos importantes e a sustentarem e melhorarem o 
desempenho. O Controle Interno – Framework Integrado do COSO I permite que as organizações desenvolvam eficaz 
e eficientemente sistemas de controle interno que se adaptem ao negócios e ambientes operacionais mutáveis, 
mitiguem riscos a níveis aceitáveis e apoiem tomadas de decisões razoáveis e a governança da organização. 
Projetar e implementar um sistema eficaz de controle interno pode ser um grande desafio; usar esse sistema eficaz e 
eficientemente todos os dias pode ser intimidador. Novos modelos de negócios rapidamente mutáveis, um uso maior e 
a dependência da tecnologia, requerimentos regulatórios e escrutínio elevados, globalização e outros desafios exigem 
que um sitema de controle interno seja ágil na adaptação às mudanças nos negócios e nos ambientes regulatórios e 
operacionais. 
Um sistema eficaz de controle interno exige mais do que uma aderência rigorosa às políticas e aos procedimentos: 
exige o uso do julgamento. A gestão e a diretoria usam o julgamento para determinar o quanto de controle é o suficiente. 
A gestão e outro pessoal usam o julgamento todos os dias para selecionar, desenvolver e empregar controles por 
meio da entidade. A gestão e os auditores internos, entre outro pessoal, aplicam o julgamento enquanto monitoram e 
avaliam a eficácia do sistema do controle interno. 
O framework auxilia a gestão, os conselhos, a diretoria, as partes interessadas externas e outros a interagir com a 
entidade em seus respectivos deveres com relação ao controle interno, sem ser demasiado prescritivo. 
Para a gestão, os conselhos e diretoria, o framework fornece:
• Formas de aplicar o controle interno a qualquer tipo de entidade, independentemente da indústria ou da estrutura legal, aos 
níveis da entidade, unidade operacional ou função;
• Uma abordagem baseada em princípios que forneça flexibilidade e permite o julgamento na projeção, implementação e 
condução dos princípios do controle interno que possam ser aplicados à entidade, a níveis operacionais e funcionais;
• Requerimentos para um sistema eficaz de controle interno ao considerar como os componentes e princípios estão 
presentes e funcionando, e como os componentes funcionam juntos;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
57 
• Formas de identificar e analisar os riscos, e de desenvolver e administrar respostas adequadas aos riscos dentro de níveis 
aceitáves e com foco maior em medidas antifraude (diga-se que é a primeira estrutura a enfatizar a necessidade de 
gerir o risco de fraude nas organizações);
• Uma oportunidade para expandir a aplicação do controle interno além do relatório financeiro para outras formas de 
relatório, operações e objetivos de concordância;
• Uma oportunidade para eliminar controles ineficazes, redundantes ou ineficientes que forneçam valor mínimo à redução de 
riscos à conquista dos objetivos da entidade. 
Para as partes interessadas externas de uma entidade e outros que interajam com a entidade, a aplicação do 
framework fornece: 
• Maior confiança no discernimento da diretoria dos sistemas de controle interno;
• Maior confiança com relação à conquista dos objetivos;
• Maior confiança na habilidade da organização em identificar, analisar e responder ao risco e às mudanças nos ambientes 
comerciais e operacionais;
• Maior compreensão do requerimento de um sistema eficaz de controle interno;
• Maior compreensão de que, por meio do uso do julgamento, a gestão possa ser capaz de eliminar controles ineficazes, 
redundantes ou ineficientes.
O controle interno não é um processo em série, mas um processo dinâmico e integrado. O framework se aplica a 
todas as entidades: órgãos grandes, medianos, pequenos, lucrativos, não lucrativos e governamentais. Entretanto, 
cada organização pode escolher implementar o controle interno diferentemente. Por exemplo, um sistema menor 
da entidade do controle interno pode ser menos formal e menos estruturado e ainda assim possuir um controle 
interno eficaz.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
58 
5.1.3 deFiNiNdO O cONtrOle iNterNO
O controle interno é definido, segundo os conceitos do COSO I como: um processo efetivado pelo conselho de 
diretores de uma entidade, pela gestão e outro pessoal, designado a fornecer garantia razoável com relação à 
conquista de objetivos relacionados à operações, relatório e concordância. 
Essa definição reflete certos conceitos fundamentais. O controle interno é:
• Voltado para a conquista dos objetivos em uma ou mais categorias – operações, relatórios e compliance;
• Um processoque consiste em tarefas em atividades em andamento – um meio para um fim, não um fim em si;
• Efetivado por pessoas – não meramente sobre políticas e ou manuais de procedimentos, sistemas e formulários, mas sobre 
pessoas e as ações que elas empreendem a todos os níveis de uma organização para afetar o controle interno;
• Capaz de fornecer garantia razoável – mas nenhuma garantia absoluta a uma gestão; 
• Adaptável à estrutura da entidade – flexível na aplicação para a entidade inteira ou para uma subsidiária particular, divisão, 
unidade operacional ou processo comercial. 
Essa definição é intencionalmente ampla. Ela captura os conceitos importantes que são fundamentais como que as 
oganizações designam, implementam e conduzem os controles internos, fornecendo uma base para a aplicação por 
meio das organizações que funcionam em diferentes estruturas, indústrias e regiões geográficas da empresa.
5.1.4 O FramewOrk dO cOsO i 
O Framework do COSO I possui como elementos: 
1. Objetivos 
2. Elementos do Processo 
3. Áreas da empresa que são atingidas pela disseminação dos princípios. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
59 
O Framework do COSO I é um cubo tridimensional, onde há o cruzamento dos objetivos com o processo e os níves da empresa.
5.1.5 ObjetivOs
O Framework fornece três categorias de objetivos, as quais permitem que as organizações se foquem em diferentes 
aspectos de controle interno: 
• Objetivos das Operações — Esses pertencem à eficácia e à eficiência das operações da entidade, incluindo os objetivos de 
desempenho operacional e da garantia dos ativos contra o prejuízo;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
60 
• Relatório dos Objetivos — Esses pertencem aos relatórios financeiros internos e externos e não financeiros, e podem 
abranger a confiança, a durabilidade, a transparência ou outros termos como estabelecidos pelos reguladores, organismos 
de normalização reconhecidos ou políticas da entidade;
• Objetivos de compliance — Esses pertencem à aderência às leis e aos regulamentos aos quais a entidade é sujeita.
5.1.6 cOmpONeNtes dO cONtrOle iNterNO
O controle interno consiste de cinco componentes integrados.
5.1.6.1 Ambiente de Controle
O ambiente de controle é o conjunto de normas, processos e estruturas que fornecem a base para desempenhar 
o controle por meio da organização. O conselho de diretores e a gestão sênior estabelecem o mote com relação à 
importância do controle interno, incluindo as normas esperadas de conduta. A gestão reforça as espectativas nos 
vários níveis da organização. O ambiente de controle compreende a integridade e os valores éticos da organização; 
os parâmetros que permitem que o conselho de diretores empreendam as suas responsabilidades de fiscalização 
de governança; a estrutura organizacional e o emprego de autoridade e responsabilidade; o processo para atrair, 
desenvolver e reter os indivíduos competentes; e o rigor acerca das medidas de desempenho, incentivo e recompensas 
para mover a contabilidade pelo desempenho. O ambiente de controle resultante possui um impacto persistente sobre 
o sistema total de controle interno. 
5.1.6.2 AvAliAção de risCos
Cada entidade confronta uma variedade de riscos de fontes internas e externas. A avaliação de riscos envolve um 
processo dinâmico e iterativo para identificar e avaliar os riscos para conquistar os objetivos. O riscos para a conquista 
desses objetivos por meio da entidade são considerados relativos às tolerâncias de riscos estabelecidos. Portanto, a 
avaliação de riscos forma a base para determinar como esses riscos serão gerenciados.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
61 
Uma precondição à avaliação de riscos é o estabelecimento de objetivos, ligados a diferentes níveis da entidade. A 
gestão especifica os objetivos dentro de categorias que se relacionam às operações, aos relatórios e à conformidade 
com clareza o suficiente para ser capaz de identificar e analisar os riscos desses objetivos. A gestão também 
considera a adequação dos objetivos para a entidade. A avaliação de riscos também exige que a gestão considere o 
impacto de possíveis mudanças no ambiente externo e dentro de seu próprio modelo comercial que possa tornar o 
controle interno ineficaz. 
5.1.6.3 AtividAdes de Controle
As atividades de controle são as ações estabelecidas por meio das políticas e dos procedimentos que ajudam a 
assegurar as diretrizes da gestão para diminuir a probabiidade e mitigar os riscos para que a conquista dos objetivos 
seja desempenhada. As atividades de controle são desempenhadas em todos os níveis da entidade, em vários estágios 
dentro dos processos comerciais e por meio do ambiente tecnológico. Elas podem ser preventivas ou detectivas em 
natureza e podem abranger uma gama de atividades manuais ou automáticas, como autorizações e aprovações, 
verificações, reconciliações e revisões de desempenho comerciais. A segregação de tarefas é normalmente construída 
na seleção e no desenvolvimento das atividades de controle. Onde a segregação de tarefas não for prática, a gestão 
seleciona e desenvolve atividades de controle alternativas.
5.1.6.4 informAção e ComuniCAção
A informação é necessária para que a entidade desempenhe as responsabilidades de controle interno para apoiar 
a conquista de seus objetivos. A gestão obtém ou gera e usa a informação relevante e de qualidade de ambas as 
fontes internas e externas para apoiar o funcionamento de outros componentes do controle interno. A comunicação 
é um processo contínuo e interativo de fornecimento, compartilhamento e obtenção de informação necessária. A 
comunicação interna é a forma pela qual a informação é disseminada e flui por meio da organização. Ela permite que 
o pessoal receba uma mensagem clara da gestão sênior que controla as responsabilidades e que deve ser levados a 
sério. A comunicação externa é dupla: permite a comunicação de entrada de informação externa relevante e fornece 
informação a partes externas em resposta a requerimentos e expectativas.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
62 
5.1.6.5 monitorAmento de AtividAdes
As avaliações em andamento, separadas ou alguma combinação das duas são utilizadas para garantir se cada um dos 
cinco componentes do controle interno, incluindo os controles para efetivar os princípios dentro de cada componente, 
estão presentes e funcionando. As avaliações em andamento, construídas nos processos comerciais a diferentes 
níveis da entidade, fornecem uma informação em tempo hábil. Avaliações separadas, conduzidas periodicamente, 
variarão em escopo e frequência, dependendo da avaliação dos riscos, da eficácia de avaliações em andamento e 
outras considerações da gestão. As descobertas são avaliadas contra os critérios estabelecidos pelos reguladores, 
órgãos legisladores reconhecidos ou a gestão e o conselho de diretores, e as deficiências são comunicadas à gestão 
e ao conselho de diretores conforme o adequado. 
5.1.7 relaçãO de ObjetivOs e cOmpONeNtes
Uma relação direta existe entre os objetivos – os quais são o que uma entidade luta para conseguir –, os componentes 
– os quais representam o que é exigido para conquistar os objetivos e a estrutura organizacional da entidade (as 
unidades operacionais, as entidades legais e outros).
• As três categorias de objetivos – operações, relatórios e compliance – são representados pelas colunas. 
• Os cinco componentes são representados pelas fileiras (linhas).
• A estrutura organizacional de uma entidade é representada pela terceira dimensão. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
da
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
63 
MonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramentoMonitoramento
Atividades de Monitoramento
informação e Comunicação
Atividade de Controle
Avaliação de Risco
Ambiente de Controle
Ope
rac
iona
l
Div
ulg
açã
o
Con
form
ida
de
Objetivos da Organização
Todas as unidades
de negócios
Cinco elementos-chave da
gestão de controle interno
5.1.8 cOmpONeNtes e priNcípiOs
O framework COSO I estabelece dezessete princípios que representam os conceitos fundamentais associados a cada 
componente. Por esses princípios serem extraídos diretamente dos componentes, uma enpresa pode conseguir um 
controle interno efi caz ao aplicar todos os princípios. Todos os princípios se aplicam às operações, aos relatórios e aos 
objetivos de conformidade. Os princípios apoiando os componentes do controle interno são listados a seguir.
5.1.8.1 Ambiente de Controle
1. A organização demonstra um compromisso com a integridade e os valores éticos.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
64 
2. O conselho de diretores demonstra independência da gestão e exercita a fiscalização do desenvolvimento e desempenho 
do controle interno.
3. A gestão estabelece, com a fiscalização do conselho, estruturas, linhas de relatório e autoridades e responsabilidades 
adequadas na conquista dos objetivos.
4. A organização demonstra um comprometimento para atrair, desenvolver e reter indivíduos competentes adequados aos objetivos.
5. A organização mantém os indivíduos responsáveis pelas suas responsabilidades de controle interno na conquista dos objetivos.
5.1.8.2 AvAliAção de risCos
6. A organização especifica objetivos com clareza o suficiente para permitir a identificação e a avaliação dos riscos relaciona-
dos aos objetivos.
7. A organização identifica os riscos para a conquista dos seus objetivos por meio da entidade e analisa os riscos como uma 
base para determinar como os riscos devem ser administrados.
8. A organização considera o potencial para a fraude na avaliação dos riscos para conseguir os objetivos (o Princípio 8 ressalta a im-
portância de a empresa gerenciar o risco de fraude, sendo a única estrutura de controle que descreve especificamente a questão 
do risco de fraude. Portanto, os gestores de riscos e auditores devem abrir uma disciplina específica de Risco de Fraude)
9. A organização identifica e avalia as mudanças que poderiam impactar significantemente o sistema do controle interno.
5.1.8.3 AtividAdes de Controle
10. A organização seleciona e desenvolve atividades de controle que contribuem à mitigação de riscos para a conquista dos 
objetivos a níveis aceitáveis.
11. A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a conquista de objetivos.
12. A organização emprega atividades de controle por meio de políticas que estabeleçam o que é esperado e procedimentos 
que coloquem as políticas em ação.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
65 
5.1.8.4 informAção e ComuniCAção
13. A organização obtém ou gera e usa informação relevante e de qualidade para sustentar o funcionamento do controle interno.
14. A organização comunica internamente a informação, incluindo objetivos e responsabilidades pelo controle interno, 
necessários para apoiar o funcionamento do controle interno.
15. A organização se comunica com as partes externas com relação às questões afetando o funcionamento do controle interno.
5.1.8.5 AtividAdes de monitorAmento 
16. A organização seleciona, desenvolve e desempenha avaliações em andamento/e ou separadas para se certificarem se os 
componentes do controle interno estão presentes e funcionando.
17. A organização avalia e comunica as deficiências do controle interno em tempo hábil às partes responsáveis por tomarem 
medidas corretivas, incluindo a gestão sênior e o conselho de diretores, conforme o adequado.
A utilização do framework de forma integrada proporciona para a empresa uma estrutura de controle interno eficaz, 
mitigando de forma direta tanto riscos oriundos de erros e displicência como com a intenção de praticar desvios de 
conduta – a fraude.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
66 
5.2 cOsO ii erm – eNterprise risk maNagemeNt 
5.2.1 cOmpONeNtes dO gereNciameNtO de riscOs – metOdOlOgia cOsO – erm 
O COSO lançou em 2004 uma estrutura mais ampla, com um espectro mais estratégico. Essa estrutura foi concebida 
para suportar o gerenciamento de riscos com uma visão corporativa, abrangendo toda e qualquer categoria de riscos. 
O gerenciamento de riscos corporativos é constituído de oito componentes inter-relacionados, segundo o processo 
COSO – ERM (Enterprise Risk Management). São eles: 
- Ambiente Interno: o ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são 
identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade 
e os valores éticos, além do ambiente em que esses estão.
- Fixação de Objetivos: os objetivos devem existir antes que a administração possa identificar os eventos em potencial que 
poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um 
processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organi-
zação e sejam compatíveis com o seu apetite a riscos.
- Identificação de Eventos: os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organi-
zação devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os 
processos de estabelecimento de estratégias da administração ou de seus objetivos.
- Avaliação de Riscos: os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para de-
terminar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e 
residuais.
- Resposta a Risco: a administração escolhe as respostas aos riscos – evitando, aceitando, reduzindo ou compartilhando –, 
desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
67 
- Atividades de Controle: políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas 
aos riscos sejam executadas com eficácia. 
- Informações e Comunicações: as informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo 
que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, 
fluindo em todos níveis da organização.
- Monitoramento: a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O 
monitoramento é realizado por meio de atividades gerenciais contínuas ou avaliações independentes, ou de ambas as formas.
A rigor, o gerenciamento de riscos corporativos não é um processo em série pelo qual um componente afeta apenas o 
próximo. É um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os outros.
Visão Tridimensional da Metodologia COSO - ERM
IN
TE
LI
G
ÊN
C
IAE
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
68 
5.2.2. relaciONameNtO eNtre ObjetivOs e Os cOmpONeNtes da metOdOlOgia cOsO – erm
Existe um relacionamento direto entre os objetivos, que uma organização empenha-se em alcançar, e os componentes 
do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance. Esse 
relacionamento é apresentado em uma matriz tridimensional em forma de cubo.
As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão representadas 
nas colunas verticais. Os oito componentes, nas linhas horizontais e as unidades de uma organização, na terceira 
dimensão. Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos 
de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos 
subconjuntos.
5.3 isO 31000
5.3.1 cONtextO
Durante os anos de 2007 e 2008 uma série de questões de riscos – desde a crise de liquidez nos mercados financeiros 
até as preocupações emergentes sobre terrorismo, clima, disponibilidade de alimentos, infraestrutura e energia – focou 
a atenção global na fragilidade da sistêmica dos processos estratégicos das nações e consequentemente do mundo. 
Uma conscientização do risco e gerenciamento de risco é cada vez mais vista como um pré-requisito para controle 
efetivo tanto no setor privado como público. 
Dentro desse contexto é que no segundo semestre de 2009 foi lançada oficialmente a ISO 31000, que possui como 
desafio integrar os diferentes conceitos da Gestão de Riscos Corporativos. A norma foi desenvolvida por uma comissão 
especial da ISO (International Organization for Standardization) e teve sua numeração definida como ISO 31000. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
69 
A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamentações e frameworks publicados anteriormente 
e que de alguma forma estão relacionados com a gestão de riscos. A origem da norma, que pode ser aplicada por 
empresas ou indivíduos e fornece diretrizes para implementação de gestão de riscos em organizações de qualquer tipo, 
tamanho ou área de atuação, vem da necessidade de as corporações lidarem com as incertezas que podem afetar os 
seus objetivos. Esses objetivos podem estar relacionados com várias atividades da organização, desde as iniciativas 
estratégicas até as atividades operacionais, processos ou projetos. Assim, a norma pode ser aplicada aos vários tipos 
de riscos ligados aos diferentes setores da organização, tais como financeiro, saúde e meio ambiente, tecnologia 
da informação, segurança empresarial, seguros, e de projetos, entre outros, incluindo a visão moderna de que risco 
também é oportunidade.
A ISO 31000 surge também para integrar as diversas metodologias e terminologias, pois hoje ainda há falta de 
consenso em relação à terminologia e aos conceitos utilizados para a gestão de riscos. 
O resultado mais comum dessa equação é que a gestão de riscos acaba sendo tratada de forma isolada, fazendo 
com que vários gestores (saúde, meio ambiente, segurança de TI e empresarial, legal, financeiro, seguros, entre outros) 
trabalhem em ilhas departamentais, o que ocasiona a utilização de terminologias, sistemas, critérios e conceitos 
diferentes para cada uma das áreas da empresa. Isso quer dizer que cada departamento não possui o denominado 
impacto cruzado, não enxerga o impacto do risco que está estudando em outras áreas e ou processos. 
A ISO 31000 possui processo consistente e uma estrutura abrangente para ajudar a assegurar que o risco será 
gerenciado de forma eficaz, eficiente e coerentemente. Por essa razão a abordagem é genérica fornecendo os princípios 
e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de 
qualquer escopo e contexto. 
A ISO 31000 descreve as possibilidades que a gestão de riscos promove nas empresas: 
- aumentar a probabilidade de atingir os objetivos;
- encorajar uma gestão proativa;
- estar atento para a necessidade de identificar e tratar os riscos em toda a organização;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
70 
- melhorar a identificação de oportunidades e ameaças; 
- atender às normas internacionais e requisitos e regulamentos pertinentes;
- melhorar o reporte das informações financeiras;
- melhorar a governança;
- melhorar a confiança das partes interessadas;
- estabelecer uma base confiável para a tomada de decisão e o planejamento;
- melhorar os controles;
- alocar e utilizar eficazmente os recursos para o tratamento dos riscos;
- melhorar a eficácia e a eficiência operacional;
- melhorar o desempenho em saúde e segurança, bem como proteção ao meio ambiente;
- melhorar a prevenção de perdas e a gestão de incidentes;
- minimizar perdas;
- melhorar a aprendizagem organizacional; e 
- aumentar a resiliência da organização. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
71 
5.3.2 OrgaNizaçãO da NOrma
5.3.2.1 orgAnizAção
A norma possui a seguinte organização: 
Introdução
1. Escopo
2. Termos e Definições
3. Princípios
4. Estrutura
5. Processo
6. Anexos: A – Atributos de uma gestão de riscos avançada 
5.3.2.2 estruturA
O sucesso da gestão de riscos depende da estrutura de gestão que fornece os fundamentos e os arranjos que irão 
incorporá-la por meio de toda a organização, em todos os níveis. A estrutura descreve os componentes necessários da 
estrutura gerenciar riscos e a forma como eles se inter-relacionam. O diagrama a seguir foi retirado da ISO 31000, no 
qual explica a estrutura necessária para fazer o processo de gestão de riscos corporativos nas empresas. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
72 
Mandato e Comprometimento (4.2)
Concepção da Estrutura para Gerenciar Risco (4.3)
Entendimento da organização e seu contexto (4.3.1)
Estabelecimento da política de gestão de riscos (4.3.2)
Responsabilização (4.3.3)
Integração nos processos organizacionais (4.3.4)
Recursos (4.3.5)
Estabelecimento de mecanismo de comunicação e reporte internos (4.3.6)
Estabelecimento de mecanismo de comunicação e reporte externos (4.3.7)
Melhoria Contínua da Estrutura (4.6)
Implementação da Gestão de Riscos (4.4)
Implementação da estrutura para gerenciar riscos (4.4.1)
Implementação do processo de gestão de riscos (4.4.2)
Monitoramento e Análise Crítica da Estrutura (4.5)
Relacionamento entre os componentes da estrututa para gerenciar riscos
5.3.2.3 ProCesso
O processo de Gestão de Riscos da ISO 31000 foi elaborado para ser: 
- parte integrante da gestão;
- incorporado na cultura e nas práticas, e 
- adaptado aos processos de negócio da organização. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
73 
Ele compreende as seguintes atividades: 
Processo de Gestão de Riscos
Genericamente, o processo estruturado sugerido possui sete fases claramente identificadas, sendo um processo 
retroalimentativo, ou seja, segue os princípios do ciclo da qualidade PDCA: Plan – Do – Check – Action. 
A fase de comunicação e consulta abrange todas elas e é inter-relacionada. Abrange tanto a comunicação interna 
como a externa, assegurando que os responsáveis e as partes interessadas compreendam os fundamentos sobre os 
quais as decisões são tomadas e as respectivas razões. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
74 
A fase do estabelecimento do contexto é entender os fatorese as variáveis externas, incluindo os fatores-chave, as 
tendências e as relações com as partes interessadas externas e suas percepções de valores. Já no contexto interno 
é entender seus objetivos estratégicos, a cultura, os processos, a estrutura e a estratégia. No contexto estratégico 
se estabelece o processo de gestão de riscos com sua estrutura, seus critérios e os métodos que a organização 
deverá utilizar. Define-se metas e objetivos além de responsabilidades e o apetite ao risco que a organização quer 
possuir.
A fase da identificação de riscos, no processo de avaliação de riscos, é a listagem dos riscos que o processo, o 
departamento e a empresa possui com as respectivas fontes de riscos. A identificação deve ser crítica, pois um risco 
que não é identificado nessa fase não será incluído em análises posteriores. Fica claro que essa é a fase estratégica, 
pois é nela que se entende os fatores de riscos, os fatores facilitadores da existência do risco na empresa. 
A fase de análise de riscos desenvolve a compreensão dos riscos. Com a compreensão dos riscos é que a empresa 
poderá tomar decisão sobre seu tratamento. Nessa fase, estima-se a Probabilidade e Consequência do risco na 
empresa. A análise envolve a apreciação das causas e as fontes de risco, suas consequências positivas e negativas, e 
a probabilidade de que essas consequências possam ocorrer. A norma não especifica critérios e métodos, sendo que 
a organização é que deve escolher, tendo em vista as características do negócio. 
A fase da avaliação de riscos é para auxiliar na tomada de decisões com base nos resultados da análise de riscos, 
sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento. A avaliação de riscos 
envolve comparar o nível de risco encontrado durante a análise de riscos. Deve-se utilizar uma Matriz de Riscos como 
ferramenta de gestão. 
A fase de Tratamento de Riscos envolve um processo cíclico composto por: 
- a avaliação do tratamento já realizado;
- a decisão se os níveis de risco residual são toleráveis;
- se não forem toleráveis, a definição e implementação de um novo tratamento;
- a avaliação e eficácia desse tratamento. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
75 
As opções de tratamento são as universais: 
- a ação de evitar o risco;
- a tomada ou aumento do risco – se o risco for positivo;
- a remoção da fonte de riscos;
- a alteração da probabilidade;
- a alteração das consequências;
- o compartilhamento do risco; e
- a retenção do risco por uma decisão consistente e bem-embasada.
A última fase – monitoramento e análise crítica – é a fase da checagem ou das vigilâncias regulares. Podem ser 
regulares – periódicas – ou acontecerem em resposta a um fato específico. Deve haver uma definição clara e direta das 
responsabilidades de quem vai realizar o monitoramento e a análise crítica. 
5.3.2.4 registros do ProCesso de gestão de risCos 
As atividades de gestão de riscos devem ser rastreáveis, ou seja, deve haver registros, pois estes fornecem os 
fundamentos para melhoria dos métodos e ferramentas, bem como de todo o processo. 
5.3.2.5 ConClusão
O grande desafio no desenvolvimento da ISO 31000 estava em estabelecer uma linguagem comum, bem como padronizar 
as melhores práticas e abordagens para que as organizações possam implementar a gestão de riscos em seus processos.  
Por se tratar de uma proposta de convergência alinhada com a visão integrada de ERM (Enterprise Risk Management), 
a ISO 31000 não concorre com outras orientações já existentes, fornecendo orientações e alinhamento com outros 
conjuntos de regras específicos.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
76 
5.4 isO 31010
5.4.1 iNtrOduçãO 
A Norma ISO 31010 Gestão de riscos – Técnicas para o processo de avaliação de riscos pertence à família da ISO 
31000, foi publicada em 2010 e destina-se a refletir as boas práticas atuais na seleção e utilização das técnicas para 
o processo de avaliação de riscos. Ela não se refere a novos conceitos em evolução que não tenham atingido um nível 
satisfatório de consenso profissional.
Essa Norma é geral por natureza, de forma que pode dar orientações para muitas indústrias e tipos de sistemas. 
Pode haver normas mais específicas em vigor dentro dessas indústrias que estabelecem metodologias preferidas e 
níveis de avaliação para aplicações específicas. Se essas normas estiverem em harmonia com a Norma 31010, as 
normas específicas geralmente serão suficientes.
5.4.2 escOpO da NOrma 
Essa Norma é uma norma de apoio à ISO 31000 e fornece orientações sobre a seleção e aplicação de técnicas 
sistemáticas para o processo de avaliação de riscos. O processo de avaliação de riscos conduzido de acordo com essa 
Norma contribui para outras atividades de gestão de riscos.
A aplicação de uma série de técnicas é introduzida, com referências específicas a outras normas nas quais o conceito 
e a aplicação de técnicas são descritos mais detalhadamente. 
Essa Norma não se destina à certificação, uso regulatório ou contratual, e não fornece critérios específicos para 
identificar a necessidade de análise de riscos, nem especifica o tipo de método de análise de riscos que é requerido 
para uma aplicação específica.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
77 
A Norma 31010 não se refere a todas as técnicas, e a omissão de uma técnica nessa Norma não significa que ela 
não é válida. O fato de um método ser aplicável a uma determinada circunstância particular não significa que esse 
método seja necessariamente aplicado.
5.4.3 cONceitO dO prOcessO de avaliaçãO de riscOs 
Segue o processo descrito na ISO 31000, com o mesmo framework. 
5.4.4 seleçãO de técNicas para O prOcessO de avaliaçãO de riscOs
5.4.4.1 generAlidAdes
Esta Seção descreve como as técnicas para o processo de avaliação de riscos podem ser selecionadas. Os anexos 
da norma listam e explicam em detalhes uma gama de ferramentas e técnicas que podem ser utilizadas para realizar 
um processo de avaliação de riscos ou auxiliar no processo de avaliação de riscos. Neste capítulo, iremos apenas listar 
as ferramentas e citar seu emprego. Algumas vezes pode ser necessário empregar mais de um método de avaliação.
5.4.4.2 seleção de téCniCAs
O processo de avaliação de riscos pode ser conduzido em vários graus de profundidade e detalhe e utilizando um ou 
muitos métodos que vão do simples ao complexo. Convém que a forma de avaliação e seu resultado sejam compatíveis 
com os critérios de risco, desenvolvidos como parte do estabelecimento do contexto. Em termos gerais, convém que 
as técnicas apropriadas apresentem as seguintes características:
- convém que sejam justificáveis e apropriadas à situação ou organização em questão;
- convém que proporcionem resultados de uma forma que aumente o entendimento da natureza do risco e de como ele pode 
ser tratado;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
78 
- convém que sejam capazes de utilizar uma forma que seja rastreável, repetível e verificável.
Convém que as razões para a escolha das técnicas sejam dadas com relação à pertinência e adequação. Ao integrar 
os resultados de diferentes estudos, convém que as técnicas utilizadas e os resultados sejam comparáveis.
Uma vez que a decisão tenha sido tomada para realizar um processo de avaliação de riscos e os objetivos e o escopo 
tenham sido definidos, convém que as técnicas sejam selecionadas com base em fatores aplicáveis, tais como:
- os objetivos do estudo. Os objetivos do processo de avaliação de riscos terão uma influência direta sobre as técnicas utilizadas. 
Por exemplo, se um estudo comparativoentre as diferentes opções está sendo realizado, pode ser aceitável utilizar 
modelos menos detalhados de consequência para partes do sistema não afetadas pela diferença;
- as necessidades dos tomadores de decisão. Em alguns casos, um alto nível de detalhe é necessário para tomar uma boa 
decisão, em outros um entendimento mais geral é suficiente;
- o tipo e a gama de riscos que estão sendo analisados;
- a magnitude potencial das consequências. Convém que a decisão sobre a profundidade em que o processo de avaliação 
de riscos é conduzido reflita a percepção inicial das consequências (embora isso possa ter que ser modificado uma vez que 
uma avaliação preliminar foi concluída);
- o grau de especialização, recursos humanos e outros recursos necessários. Um método simples e bem-feito pode fornecer 
melhores resultados do que um procedimento mais sofisticado e malfeito, contanto que atenda aos objetivos e o escopo do 
processo de avaliação. Normalmente, convém que o esforço aplicado ao processo de avaliação seja compatível com o nível 
potencial de risco que está sendo analisado;
- a disponibilidade de informações e dados. Algumas técnicas requerem mais informações e dados do que outras;
- a necessidade de modificação/atualização do processo de avaliação de riscos. O processo de avaliação pode necessitar 
ser modificado/atualizado no futuro e algumas técnicas são mais ajustáveis do que outras a esse respeito;
- quaisquer requisitos regulamentares e contratuais.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
79 
Vários fatores influenciam a seleção de uma abordagem ao processo de avaliação de riscos, tais como a 
disponibilidade de recursos, a natureza e o grau de incerteza nos dados e informações disponíveis, bem como a 
complexidade da aplicação.
5.4.4.3 disPonibilidAde de reCursos
Os recursos e as capacidades que podem afetar a seleção de técnicas do processo de avaliação de riscos incluem:
- as habilidades, a experiência, a capacidade e a competência da equipe do processo de avaliação de riscos;
- as restrições de tempo e outros recursos dentro da organização;
- o orçamento disponível, se recursos externos forem requeridos.
5.4.4.4 A nAturezA e o grAu de inCertezA
A natureza e o grau de incerteza requerem um entendimento da qualidade, quantidade e integridade das informações 
disponíveis sobre o risco em consideração. Isso inclui quão disponíveis e suficientes são as informações sobre o risco, 
suas fontes e causas, e suas consequências para o atendimento dos objetivos. A incerteza pode ser proveniente da 
qualidade pobre dos dados ou a falta de dados essenciais e confiáveis. Para ilustrar, os métodos de coleta de dados podem 
se modificar, a forma que as organizações utilizam tais métodos pode ser alterada ou a organização pode simplesmente 
não ter implementado um método de coleta eficaz para coleta de dados sobre o risco identificado.
A incerteza também pode ser inerente aos contextos externo e interno da organização. Os dados disponíveis nem 
sempre fornecem uma base confiável para a previsão do futuro. Para tipos singulares de riscos, os dados históricos 
podem não estar disponíveis ou pode haver diferentes interpretações de dados disponíveis por diferentes partes 
interessadas. Os encarregados do processo de avaliação de riscos precisam entender o tipo e a natureza da incerteza 
e interpretar suas implicações para a confiabilidade dos resultados do processo de avaliação de riscos. Convém que 
isso seja sempre comunicado aos tomadores de decisão.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
80 
5.4.4.5 ComPlexidAde
Os riscos podem ser complexos em si mesmos, como, por exemplo, em sistemas complexos que precisam ter seus 
riscos avaliados em todo o sistema ao invés de tratar cada componente separadamente e ignorando as interações. 
Em outros casos, tratar um risco individual pode ter implicações em outros locais e pode impactar outras atividades. 
Os impactos resultantes e as dependências do risco necessitam ser entendidos para assegurar que na gestão de um 
determinado risco uma situação intolerável não seja criada em outros locais. Entender a complexidade de um risco 
individual ou de um portfólio de riscos de uma organização é crucial para a seleção do método adequado ou técnicas 
para o processo de avaliação de riscos.
5.4.4.6 APliCAção do ProCesso de AvAliAção de risCos durAnte As fAses do CiClo de vidA 
Muitas atividades, projetos e produtos podem ser considerados como tendo um ciclo de vida que se inicia a partir do 
conceito e definição inicial, passa pela realização e vai até o encerramento final que poderá incluir a desmontagem e 
descarte do equipamento.
O processo de avaliação de riscos pode ser aplicado em todos os estágios do ciclo de vida e é normalmente aplicado 
muitas vezes com diferentes níveis de detalhe para auxiliar nas decisões que precisam ser tomadas em cada fase.
As fases dos ciclos de vida têm necessidades diferentes e requerem diferentes técnicas. Por exemplo, durante a fase 
de conceito e definição, quando uma oportunidade é identificada, o processo de avaliação de riscos pode ser utilizado 
para decidir se se quer continuar ou não.
Quando diversas opções estiverem disponíveis, o processo de avaliação de riscos pode ser utilizado para avaliar 
conceitos alternativos a fim de auxiliar na decisão sobre quais proporcionam o melhor equilíbrio de riscos.
Durante a fase de projeto e desenvolvimento, o processo de avaliação de riscos contribui para:
- assegurar que os riscos do sistema sejam toleráveis,
- o processo de refinamento do projeto,
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
81 
- os estudos de eficácia do custo,
- identificação dos riscos que impactam as fases subsequentes do ciclo de vida.
Conforme a atividade progride, o processo de avaliação de riscos pode ser utilizado para fornecer informações que 
auxiliem no desenvolvimento de procedimentos para condições normais e de emergência.
5.4.4.7 tiPos de téCniCAs do ProCesso de AvAliAção de risCos
As técnicas do processo de avaliação de riscos podem ser classificadas de várias formas para auxiliar no entendimento 
de seus pontos fortes e fracos relativos. A tabela no Anexo A correlacionam algumas técnicas potenciais e suas 
categorias para fins ilustrativos.
A seguir a tabela da descrição da técnica com sua respectiva aplicação.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
82 
tabela a1 – seleção de ferramentas e técnicas para avaliação de riscos
processo de avaliação de riscos
Ferramentas e técnicas
Identificação 
de riscos
análise de riscos avaliação 
de riscoconsequência probabilidade nível de risco
1
Análise de modos de falhas e 
efeito (IEC 68012)
AA NA NA NA NA
2
Análise crítica de modos de 
falhas e efeito (IEC 68012)
AA AA AA AA AA
3
Análise de árvore de falhas 
(IEC 61025)
A NA AA A A
4
Estudos de perigo e 
probabilidade (HAZOP)
AA AA A A A
5
Manutenção centrada em 
confiabilidade (IEC 60300-3-11)
AA AA AA AA AA
6 Análise de Markov (IEC 61665) A AA NA NA NA
7
Análise de confiabilidade 
humana
AA AA AA AA A
8
Análise preliminar de perigos 
(APP)
AA NA NA NA NA
9
Análise de árvore de eventos 
(ETA)
A AA A A NA
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
83 
tabela a1 – seleção de ferramentas e técnicas para avaliação de riscos
processo de avaliação de riscos
Ferramentas e técnicas
Identificação 
de riscos
análise de riscos avaliação 
de riscoconsequência probabilidade nível de risco
10 Brainstorming AA NA NA NA NA
11
Entrevistas estruturadas ou 
semiestruturadas
AA NA NA NA NA
12 Técnicade Delphi AA NA NA NA NA
13 Checklist AA NA NA NA NA
14
Matriz de probabilidade / 
consequência
AA AA AA AA A
15
Análise de camadas de 
proteção (LOPA)
Aw AA A A NA
16
Técnica estruturada de What If? 
(SWIFT)
AA AA AA AA AA
17 Análise de árvore de decisões NA AA AA A A
18 Análise de gravata borboleta NA A AA AA A
19 Simulação de Monte Carlo NA NA NA NA AA
20 Análise causa raiz (RCA) NA AA AA AA AA
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
84 
tabela a1 – seleção de ferramentas e técnicas para avaliação de riscos
processo de avaliação de riscos
Ferramentas e técnicas
Identificação 
de riscos
análise de riscos avaliação 
de riscoconsequência probabilidade nível de risco
21
Análise de perigos e pontos 
críticos de controle (HACCP)
AA AA NA NA AA
22 Avaliação de riscos ambientais AA AA AA AA AA
23 Análises de cenários AA AA A A A
24
Análise de impacto nos 
negócios (BIA)
A AA A A A
25
Análise de causa e 
consequência
A AA AA A A
26 Análise de causa e efeito AA AA NA NA NA
27 Análise de circuitos ocultos A NA NA NA NA
28
Estatística Bayesiana e redes 
Bayes
NA AA NA NA AA
A tabela acima mostra a aplicação das técnicas em cada etapa do processo de avaliação de riscos, definida como Altamente Aplicável – AA, Aplicável – A ou Não Aplicável – NA.
85 
6.1 iNtrOduçãO 
Todas as melhores práticas descritas no capítulo anterior sugerem de forma direta que os gestores devem avaliar o 
apetite a risco da organização ao analisarem as estratégias, definindo os objetivos a elas relacionados e desenvolverem 
mecanismos para gerenciar os respectivos riscos. Nesse caso específico a gestão de riscos torna-se uma função 
estratégica, pois ajuda a empresa a criar valor em suas operações. Para isso tem que assumir certos riscos. Isso é 
parte inerente de qualquer tipo de negócio. 
Para obter os resultados desejados, as empresas modernas, no mundo VUCA, necessitam gerenciar seus riscos, e 
para poderem fazer com eficácia devem possuir um processo estruturado, com metodologia e critérios estabelecidos, 
devem possuir um sistema de gerenciamento de riscos corporativos. 
6. CONCEITO DE RISCO 
APETITE AO RISCO 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
86 
Um ponto relevante da engrenagem do sistema de gerenciamento de riscos corporativos que deve estar definido e 
implementado em toda a empresa é a fixação do seu apetite aos riscos. Então podemos perguntar: o que é Apetite 
ao Risco? 
Apetite ao risco é a quantidade de risco que a empresa deseja assumir para conseguir atingir seus objetivos. Ou 
podemos dizer também que apetite ao risco é a quantidade de riscos, no sentido mais amplo, que uma organização 
está disposta a aceitar em sua busca para agregar valor. O apetite ao risco reflete toda a filosofia administrativa de 
uma organização e, por sua vez, influencia a cultura e o estilo operacional desta. 
A fixação do apetite ao risco permite determinar na empresa o binômio risco x benefício, controlar e manter os riscos 
em níveis desejados. Para tanto, a fim de possibilitar a concretização de geração de valor nas organizações, estas 
devem fazer um balanço entre riscos x oportunidades x apetite ao risco, e, servir de guia para a tomada de decisões, 
alocação de recursos e a definição do alinhamento de toda empresa para a busca dos objetivos fixados, permitindo 
fazer um monitoramento das ações, resultados e dos níveis de riscos associados. 
Muitas organizações consideram esse apetite de forma qualitativa, categorizando-o como elevado, moderado ou baixo, 
enquanto outras organizações adotam uma abordagem quantitativa que reflete e equilibra as metas de crescimento, 
retorno e risco. Uma organização dotada de um maior apetite ao risco poderá desejar alocar grande parcela de seu capital 
para áreas de alto risco como mercados recém-emergentes. Por sua vez, uma organização com um reduzido apetite a 
risco poderá limitar seu risco de curto prazo investindo apenas em mercados maduros e mais estáveis. 
O apetite ao risco está diretamente relacionado à estratégia da organização e é levado em conta na ocasião de definir 
as estratégias, visto que estas expõem a organização a diferentes riscos. O gerenciamento destes ajuda a administração 
a selecionar uma estratégia capaz de alinhar a criação de valor com o apetite a risco.
O processo de fixação do apetite ao risco é específico para cada empresa, tendo em vista que não existe um valor ou 
uma fórmula mágica prefixada que determina o respectivo apetite. A responsabilidade dessa definição é do Conselho 
de Administração da Empresa, sugerido pela Diretoria Executiva, por meio do seu Presidente. Temos que levar em conta 
que a natureza dos riscos, do ambiente de negócios, o ambiente interno da organização, as estratégias e os objetivos 
de negócio, são organismos vivos que podem e devem ser revistos sempre, pois estão em constantes mutação. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
87 
6.2 tOlerâNcia e capacidade aO riscO
Na determinação do apetite ao risco temos que possuir outras duas métricas que são a tolerância e a capacidade 
da empresa. Desse modo, enquanto o apetite é o nível de risco que a empresa quer aceitar, aquele com que se sente 
cômoda, aquele onde os gestores podem aceitar e trabalhar com tranquilidade. Já a tolerância é o desvio do nível 
do apetite ao risco. Por sua vez, a capacidade de assumir riscos, será o nível máximo de risco que a organização 
pode suportar na perseguição aos seus objetivos. Assim a tolerância ao risco servirá como um alerta para evitar que 
a empresa chegue ao nível estabelecido por sua capacidade, algo que colocaria em perigo a continuidade de seus 
negócios. O gráfico abaixo demonstra os três níveis e suas explicações. 
Fonte: La Fábrica de Pensamiento Instituto de Auditores Internos de España
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
88 
Outro exemplo que podemos dar é na própria Matriz de Riscos, com métricas qualitativas. Na Matriz de Riscos 
abaixo, a empresa possui a Política de Riscos como apetite os quadrantes laranjas (quadrantes com os números 1), 
tendo os gestores que fazer Planos de Ações. A empresa não aceita e não Tolera (Tolerância) riscos nos quadrantes 
vermelhos. Porém, os riscos plotados nos quadrantes com os números dois (2) são considerados no nível de 
Tolerância e os riscos plotados nos quadrantes com o número três (3) a Capacidade máxima. 
P
ro
b
a
b
il
id
a
d
e
5
EL
EV
AD
A
1 1 2 3 3
4
M
U
IT
O
 
AL
TA 1 1 2 3
3 AL
TA 1 2 2
2
M
ÉD
IA 1 2
1
B
AI
XA 1 1
MUITO LEVE LEVE MODERADO SEVERO MASSIVO
1 2 3 4 5
Impacto
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
89 
O que isso significa na realidade? Que os riscos nos quadrantes vermelhos não são tolerados nessa empresa. Os 
gestores devem fazer um esforço para que esses riscos não fiquem nos quadrantes vermelhos. A diferença entre a 
Tolerância e a Capacidade é o nível de alerta para a criticidade, priorização e alocação de recursos, visando diminuir 
as possibilidades de concretização e respectivos impactos. 
A grande importância de se ter as métricas – qualitativas e ou quantitativas de apetite, tolerância e capacidade 
ao risco – definidas é que com essas definições claras e objetivas a organização está protegida de um gerente geral 
e ou diretor por exemplo ultrapassar o limite imposto. Essas definições deverão constar na Política de Gestão de 
Riscos da organização, aprovada pelo Conselho e/ou Presidente da Empresa, evitando, dessa forma, quaisquer tipos 
de questionamento. 
90 
Todas as melhores práticas citadas no capítulo5 sugerem, de forma enfática, que a empresa deve realizar duas 
avaliações de riscos em seus processos corporativos. São elas a avaliação de riscos inerentes e residuais. Para 
isso temos também que entender o conceito de apetite ao risco, pois este será o principal balizador das respostas 
aos riscos. 
risCo inerente
Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar 
para alterar a probabilidade ou o impacto dos eventos. É o risco associado ao negócio e existe independentemente de 
qualquer ação tomada para sua redução.
7. CONCEITO DE RISCO 
RISCO INERENTE E 
RISCO RESIDUAL 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
91 
Avaliar o risco inerente significa avaliar a probabilidade e impacto da ocorrência de um risco, desconsiderando-se a 
estrutura de controles atual. Portanto, avaliamos os riscos sem levar em consideração seus controles preventivos ou 
contingenciais. 
risCo residuAl
Risco residual é aquele que ainda permanece após a resposta da administração. É o risco remanescente após a 
implementação de atividades de controle que visam reduzir sua probabilidade e/ou impacto.
A avaliação de riscos é aplicada primeiramente aos riscos inerentes. Após a implantação de controles e ou sua 
avaliação em termos de eficácia, o gestor passará a considerar se seus riscos residuais estão dentro do apetite ao 
risco da empresa. Se estiver dentro do apetite ao risco, o gestor irá apenas monitorar, se estiver fora do apetite ao 
risco, terá que implantar, desenhar novos controles, até que o residual do risco esteja dentro do respectivo apetite. 
No gráfico a seguir temos uma representação do risco inerente e residual. 
Outro conceito importante é que a diferença entre o risco inerente com o risco residual gera o resultado da eficácia 
dos controles. Para o risco de fraude e aplicação de uma auditoria baseada em risco, esse processo implementado é 
de suma importância. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
92 
Exposição Residual: exposição
ao risco após tomar as medidas
julgadas adequadas - Redutor
do nível de risco
Risco Residual
Em função do nível de risco residual
e de seu apetite ao risco, o gestor 
poderá sugerir novos controles para
reduzir a exposição residual e
alinhar com o apetite estabelecido. 
Redução de risco inerente
em função do nível de
controle existente
Atuante
Intermediário
Insu�ciente
Redutor de nível de risco
,
93 
8.1 deFiNiçãO de cONtrOle iNterNO 
O controle interno é definido, segundo o COSO I, como sendo: 
 um processo efetivado pelo conselho de diretores de uma entidade, pela gestão e outro pessoal, designado a fornecer 
garantia razoável com relação à conquista de objetivos relacionados a operações, relatório e concordância. Essa definição 
reflete certos conceitos fundamentais. O controle interno é:
 • voltado para a conquista dos objetivos em uma ou mais categorias – operações, relatórios e cooperação
 • um processo consistindo de tarefas em atividades em andamento – um meio para um fim, não um fim em si
8. CONTROLES INTERNOS E 
A GESTÃO DE RISCOS 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
94 
 • efetivado por pessoas – não merame sobre manuais de política e procedimento, sistemas e formulários, mas sobre 
pessoas e as ações que elas empreendem a todos os níveis de uma organização para afetar o controle interno 
 • capaz de fornecer garantia razoável – mas nenhuma garantia absoluta a uma gestão sênior da entidade e um conselho 
de diretores
 • adaptável à estrutura da entidade – flexível na aplicação para a entidade inteira ou para uma subsidiária particular, 
divisão, unidade operacional ou processo comercial
Essa definição é intencionalmente ampla. Ela captura os conceitos importantes que são fundamentais em relação a 
como as organizações designam, implementam e conduzem os controles internos, fornecendo uma base para a aplicação 
por meio das organizações que funcionam em diferentes estruturas, indústrias e regiões geográficas da entidade.
8.2 iNtegraçãO dO cONtrOle 
iNterNO cOm a gestãO de riscOs
O processo de gestão de riscos deve estabelecer os requerimentos para um sistema eficaz de controle interno. Um 
sistema eficaz fornece garantia razoável com relação à conquista dos objetivos da organização. Um sistema eficaz de 
controle interno reduz, a um nível aceitável, o risco de não conseguir o objetivo da organização. Ele requer que:
• os princípios relevantes do processo de gestão de riscos esteja presente e funcionando. “Presente” se refere à determi-
nação de que os componentes estejam implementados para conquistar os objetivos especificados. “Funcionando” se 
refere à determinação de que os princípios relevantes continuem a existir nas operações e nos processos. 
• os princípios do processo de gestão de riscos funcionam juntos e de uma forma integrada. “Funcionar juntos” se refere à 
determinação de que todos os princípios reduzam, a um nível aceitável, o risco de não conquistar os objetivos. Os compo-
nentes do processo de gestão de riscos são interconectados, particularmente na forma pelas quais os princípios interagem 
dentro e por meio deles.  
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
95 
 quando um sistema de controle interno é determinado como sendo eficaz, a gestão sênior e o conselho de diretores pos-
suem uma garantia razoável, relativa à aplicação dentro da estrutura da entidade, de que a organização:
• conquista operações eficazes e eficientes quando os eventos externos são considerados improváveis de possuírem impacto 
significante sobre a conquista dos objetivos ou onde a organização possa predizer razoavelmente a natureza e a duração 
dos eventos externos e mitigar o impacto a um nível aceitável.
• compreender a extensão a qual as operações são administradas eficazmente e eficientemente quando os eventos externos 
possam ter um impacto significante sobre a conquista dos objetivos ou onde a organização possa predizer razoavelmente a 
natureza e a duração dos eventos externos e mitigar o impacto a um nível aceitável.
• prepara relatórios em conformidade com as regras, regulamentos e normas aplicáveis ou com os objetivos de relatório 
especificados da entidade 
• concorda com as leis, as regras, os regulamentos e as normas externas aplicáveis 
O processo de gestão de riscos da empresa deve realizar, de forma contínua, o julgamento na projeção, implementação 
e condução do controle interno e na avaliação de sua eficácia. O uso do julgamento, dentro das fronteiras estabelecidas 
pelas leis, regras, regulamentos e normas, melhora a habilidade da gestão de tomar decisões melhores acerca do 
controle interno, mas sem garantir resultados perfeitos. 
O processo de gestão de riscos da organização tem que reconhecer, fazendo parte da boa prática de mercado, que 
embora o controle interno forneça garantia razoável de conquistar os objetivos, as limitações existem. O controle interno 
não pode prevenir o mal julgamento ou as más decisões, ou os eventos externos que podem fazer uma organização 
falhar em conquistar os seus objetivos operacionais. Em outras palavras, mesmo um sistema eficaz de controle interno 
pode experimentar uma falha. As limitações podem resultar de: 
• adequação de objetivos estabelecidos como uma precondição ao controle interno;
• realidade de que o julgamento humano na tomada de decisão pode ser defeituoso e sujeito a preconceito;
• rupturas que possam acontecer por falhas humanas, como erros simples;
• habilidade da gestão em substituir o controle interno;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Isc
o
s
 c
o
r
p
o
r
at
Iv
o
s
96 
• habilidade da gestão, outro pessoal, e/ou terceiros em lograr os controles por meio do conluio;
• eventos externos além do controle da organização.
Essas limitações impedem o conselho e a gestão de possuir uma garantia absoluta da conquista dos objetivos da 
entidade – isto é, o controle interno fornece garantia razoável, mas não absoluta. Não bastasse essas limitações 
inerentes, a gestão deve estar ciente delas quando selecionar, desenvolver e empregar controles que minimizem, à 
extensão prática, essas limitações.
Isso é muito importante, pois não existe sistema e processo considerado infalível. A empresa e seus gestores devem 
estar cientes que risco zero nunca vai existir, a não ser que a organização não faça ou pratique a operação no seu 
mercado. A inerência do risco sempre irá existir. 
97 
O processo de Gestão de Riscos Corporativos, Método Brasiliano – Avançado, possui o framework adaptado da ISO 
31000, porém todo o seu conteúdo, o como fazer com métricas e ferramentas, possui os fundamentos integrados do 
COSO I e II e da ISO 31000, utilizando ferramentas e técnicas da ISO 31010. 
Optamos por um framework integrado tendo em vista nossa experiência de 28 anos no mercado, em identificar que as 
três estruturas (COSO I, II e ISO 31000) possuem suas características próprias, mas juntas consideramos imbatíveis 
em termos de abrangência e cobertura para todas as disciplinas de riscos. 
A “cara” do framework foi adaptado da ISO 31000 porque o processo de comunicação e consulta é muito mais profundo 
e abrangente, possuindo uma filosofia de sensibilização e capilarização em toda a organização e seus usuários, por meio de 
programas de endomarketing, além, é claro, de dar também relevância com os relatórios para todas as partes interessadas. 
9. FASES DO PROCESSO DE 
GESTÃO DE RISCOS 
CORPORATIVOS – 
MÉTODO BRASILIANO
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
98 
Nosso processo possui sete fases, conforme descrito abaixo: 
• Comunicação e Consulta
• Contexto Estratégico
• Identificação de Riscos
• Análise e Avaliação de Riscos – Inerente
• Análise e Avaliação de Riscos – Residual
• Respostas aos Riscos
• Monitoramento e Análise Crítica
Na proxima página, o framework com os principais elementos do Processo de Gestão de Riscos Corporativos, Método 
Brasiliano – Avançado.
Ressaltamos o emprego da realização da análise do risco inerente, sem levar em consideração os controles e/ou 
sistemas de segurança, e depois a realização da análise do risco residual. 
Nessa fase análise do risco residual há necessidade de fazer uma avaliação da eficácia dos controles existentes e 
operacionalizados para identificar se houve redução da inerência do risco. A ISO 31000 não é enfática nesse quesito, 
sendo que os COSO I e II sempre reforçaram a importância da realização das duas avaliações (inerente e residual). 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
99 
Processo de Gestão e Análise de Riscos - Método Brasiliano
100 
10.1 impOrtâNcia da cOmuNicaçãO 
A comunicação e consulta são importantes aspectos a serem considerados em cada fase do processo de gestão e 
análise de riscos corporativos.
É importante desenvolver um plano de comunicação com as partes envolvidas internas e externas, logo no primeiro 
estágio do processo. 
A comunicação envolve diálogo entre as partes envolvidas, tendo como foco a consulta e não somente a comunicação 
de via única. 
10. COMUNICAÇÃO 
E CONSULTA
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
101 
A comunicação interna e externa eficaz é importante para assegurar que os responsáveis pela implementação 
da gestão de riscos e os investidores compreendam as bases sobre as quais as decisões são tomadas, e porque 
determinadas ações são necessárias.
A percepção do risco pode variar em função de diferentes hipóteses, conceitos e necessidades, e de questões e 
interesses das partes envolvidas, por estarem relacionados ao risco ou aos assuntos em discussão. 
As partes envolvidas tendem a julgar a aceitabilidade de um risco baseadas em sua própria percepção do risco. 
Uma vez que as partes envolvidas podem ter um impacto significativo nas decisões tomadas, é importante que sua 
percepção do risco, bem como sua percepção dos benefícios, seja identificada e documentada, e as razões subjacentes, 
compreendidas e abordadas.
10.2 cONceitO de eNdOmarketiNg
Endomarketing é um conceito que objetiva fortalecer as relações internas da empresa. O endomarketing consiste 
em realizar ações de marketing voltadas para seu público interno, com a finalidade de promover a integração entre 
os variados departamentos da organização, visando compartilhar, no caso da gestão e análise de riscos corporativos, 
a importância do processo de gerenciamento de riscos e que o dono do processo é o dono do risco. O programa de 
endomarketing tem de vender o conceito que a primeira linha de defesa é a dona do risco, sem o engajamento da 
primeira linha de defesa, a empresa fica extremamente vulnerável. A campanha terá que passar esse primeiro conceito 
e depois a segunda linha de defesa, a área de gestão de riscos, compliance e controles internos, realizar palestras e 
treinamentos na metodologia com os critérios definidos em seu processo estruturado de gestão de riscos.
Como um dos objetivos do endomarketing é a integração, em que o público interno irá melhor interagir, cumprindo 
com os objetivos da gestão e análise de riscos corporativos com maior facilidade. O ferramental primordial é o 
treinamento e a divulgação. O treinamento interno motiva e valoriza as variadas funções dos colaboradores, visando 
conquistar a confiança e maximizar a produtividade. Já a divulgação faz com que todos os resultados e as metas 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
102 
do processo de gestão e análise de riscos estejam sendo circulados, reforçando os critérios e a metodologia do 
processo de GR, bem como interage todos os funcionários, fazendo com que haja um sentimento de time, de equipe. 
Todos se sentem comprometidos.
10.3 eNdOmarketiNg especíFicO para gestãO de riscOs 
O profissional de gestão de riscos, auditoria e de segurança necessitam entender e saber utilizar os recursos que 
possuem, para poder sobressair e destacar o processo, reforçando as medidas preventivas e proativas. 
O endomarketing na gestão de riscos é um trabalho de conscientização dos riscos e de seus controles e sistemas. 
É um grande desafio para o departamento de marketing e recursos humanos implementar com a gestão de riscos um 
programa eficiente e prático. 
O grande desafio é saber vender que o processo de gestão e análise de riscos corporativos será útil para todos 
os usuários, pois terão condições de possuir uma visão de antecipação aos possíveis problemas. Com essa visão 
os colaboradores passam a prospectar cenários de riscos, agindo de forma proativa e não somente reagindo aos 
problemas. Há a necessidade da implementação do endormarketing para que possa ser compreendido e haja uma 
forte colaboração por parte do seu público interno. 
O endomarketing na gestão e análise de riscos possui três premissas básicas:
1. o público-alvo de sua campanha são todos os colaboradores da organização, considerados como clientes internos. Como 
todo “cliente”, este só pode ser conquistado e retido com um serviço de qualidade;
2. o cliente interno como o externo possui expectativas e estas devem ser superadas, portanto, a gestão de riscos tem de 
compreender a expectativa e a cultura dos colaboradores para realizar um ajuste fino no programa de divulgação; 
3. a excelência da operacionalizaçãodo processo de gestão e análise de riscos corporativos significa envolver os colabora-
dores e comprometê-los com os objetivos do GR.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
103 
Essas três premissas trazem como consequência direta o entendimento por parte dos colaboradores do que é a 
Gestão e Análise de Riscos e sua função. O endomarketing passará a estimular o GR nos seguintes aspectos: 
• conscientização da importância na prevenção dos sistemas e processos existentes; 
• orientação para o público interno em respeitar normas e procedimentos. 
A Gestão de Riscos de Fraudes deve planejar o processo de comunicação como parte integrante da sua Política. 
O processo de endomarketing deve ser realizado em conjunto com os departamentos de Recursos Humanos e 
marketing, pois necessita conhecimento e informação específicos do público interno, informações essas que o RH 
já deve possuir.
Deve-se ter em mente que o treinamento é a principal alavanca do processo de endomarketing. O treinamento precisa 
ser percebido como momento ótimo para o envolvimento do colaborador, para valorizá-lo como pessoa e comprometê-
lo com os objetivos da empresa. O treinamento sempre é um investimento com retorno garantido em termos de 
qualidade, excelência e dedicação. 
A empresa que não puder se vender para seu público interno tampouco venderá para o externo. E isso é muito 
perigoso em uma época de competitividade agressiva e grande turbulência, como a que estamos vivendo.
Um programa de endomarketing transmite confiança e credibilidade, ao mesmo tempo em que os valores 
compartilhados pela cultura organizacional irão com certeza incentivar a postura proativa em vez da reativa, 
assumindo, dessa forma, um papel cada vez mais criativo, sugerindo soluções viáveis e lutando para que toda a 
organização possa cumprir seus objetivos. 
10.4 Fases dO prOgrama de cOmuNicaçãO 
A seguir, um framework com as fases de um programa completo de comunicação, que a área de gestão de riscos 
deve operacionalizar. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
104 
DIAGNÓSTICO
Avaliação do ambiente interno
Per�l do público-alvo – Funcionário
Imagem da Segurança
Expectativas e Aspirações
DESENHO DO PROGRAMA
Estratégias de Comunicação
Objetivos Especí�cos
Ferramentas Necessárias
FASES DE IMPLANTAÇÃO
Exploratória Piloto
CONTROLE E AVALIAÇÃO
Medição dos Objetivos
Comparação
1
2
3
4
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
105 
10.5 exemplO de um prOgrama de cOmuNicaçãO 
1. objetivo
Tem como objetivo principal informar e conscientizar os empregados sobre a sua importância e engajá-los no processo de gestão de 
riscos da BRASUCA, colaborando e contribuindo com informações corretas, e participando ativamente do desenvolvimento do processo.
2. PúbliCo-Alvo
Aplica-se a todos os empregados da Gerência de Riscos Corporativos e Comunicação Corporativa da BRASUCA. 
3. doCumentos referenCiAdos 
• P 01.258 – Política de Gestão de Riscos Corporativos.
• PR 01.05 – Processo de Gestão de Riscos Corporativos.
4. definições
• Comunicação e consulta: processo contínuo e interativo que uma organização conduz para fornecer, compartilhar ou obter 
informações e se envolver no diálogo com as partes interessadas e outros, com relação a gerenciar riscos.
• Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
5. desCrição dA metodologiA
5.1. visão Geral da comunicação corporativa sobre a Gestão de riscos
O processo de comunicação de risco está primeiramente fundamentado na estrututura de controle da ISO 31000, 
baseado nos príncipios da Comunicação e Consulta e dirigido às fases do framework a seguir.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
106 
5.2 comunicação e consulta
A Comunicação e a Consulta são as formas de estabelecer contato e relacionamento com os públicos de 
interesse da BRASUCA, internamente com os empregados e demais colaboradores contratados, e externamente, 
com os stakeholders como: clientes, fornecedores, parceiros, entidades, associações, ONGs, governo, imprensa, 
comunidades, entre outros.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
107 
A Comunicação deve acompanhar todo o processo de levantamento de informações e análise de riscos. Ela é 
extremamente estratégica, porque tem a função precípua de informar e sensibilizar cada um dos envolvidos no processo, 
para que o programa alcance os melhores resultados.
A Consulta faz parte da comunicação com a função de realizar o levantamento de informações a partir do encontro 
com os funcionários e representantes da empresa envolvidos no processo de desenvolvimento do Gerenciamento 
de Riscos. 
Ela tem como finalidade obter informações referentes a existência, natureza, forma, probabilidade, impacto, avaliação, 
aceitabilidade, tratamento ou outros aspectos da gestão de riscos.
As informações colhidas por meio da Consulta embasam e orientam as partes no processo de tomada de decisão ou 
de definição da direção a respeito de uma questão específica. 
A Comunicação e a Consulta são extremamente importantes porque combinadas promovem a compreensão e a 
colaboração necessária para o conhecimento da realidade da empresa, seus riscos e suas necessidades, permitindo 
que a equipe de desenvolvimento, os auditores, os consultores e os profissionais da BRASUCA construam um programa 
consistente e eficaz.
5.3 Identificação e estabelecimento do contexto
Paralelamente à campanha de lançamento, a equipe de Comunicação deverá fazer o estudo do ambiente interno e 
externo para a elaboração dos materiais das políticas de comunicação e prevenção de riscos.
Essa ação terá como finalidade identificar os elementos, as características e suas variáveis dos dois públicos 
simultaneamente. Deverá identificar todos os fatores que estejam associados e impliquem o controle e o gerenciamento 
dos riscos existentes, a fim de estabelecer o escopo e os critérios de gestão.
5.3.1 Contexto Interno 
No contexto interno o processo de comunicação deverá considerar o estudo administrativo, político e estratégico do 
ambiente como, por exemplo, identificar e analisar:
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
108 
• Missão, visão e valores;
• Políticas administrativas, de recursos humanos, sociais e ambientais;
• Filosofias de negócios;
• Cultura organizacional.
Além disso, deve levantar também as políticas de comunicação corporativa e interna, a partir de seus planos, 
programas, projetos, meios e veículos.
A análise do contexto interno deve incluir especificamente também:
• Governança, estrutura organizacional, funções e responsabilidades;
• Políticas, objetivos e estratégias implementadas para atingi-los;
• Capacidades compreendidas em termos de recursos e conhecimento (por exemplo: capital, tempo, pessoas, processos, 
sistemas e tecnologias);
• Percepções e valores de cada área e setores internos;
• Sistema de informação, fluxos de informação e processos de tomada de decisão (tanto formais quanto informais);
• Níveis e práticas de relacionamentos internos entre áreas e setores e suas percepções e seus valores;
• Normas, diretrizes e modelos adotados pela organização para processos e procedimentos;
• Modelos, formas e níveis de abrangência e extensão das relações contratuais.
Todas as informações levantadas e os materiais coletados deverão ser analisados sob o ponto de vista de sua 
utilização para a criação das políticas de Gestão e de Comunicação de Riscos.
5.3.2 ContextoExterno 
As ações de comunicação para o público externo devem ser definidas previamente e de acordo com as políticas de 
comunicação da empresa e dos procedimentos orientados por sua cultura organizacional.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
109 
A campanha deve ter como objetivos:
• Informar os principais públicos de relacionamento com a empresa sobre o gerenciamento de riscos.
• Orientar e conscientizar os representantes dos públicos externos sobre a importância do gerenciamento de riscos.
• Posicionar a BRASUCA no mercado e fortalecer sua imagem corporativa
A campanha deve adotar como estratégia, a abertura de canais de comunicação diretos com os principais públicos 
de interesse e ser orientada para cada um desses públicos, de acordo com suas características, seus interesses e 
suas necessidades.
Os canais de comunicação que devem ser abertos são:
• Assessoria de imprensa
• Relacionamento direto com:
 – Clientes
 – Fornecedores
 – Entidades e Associações
 – Comunidades – ONGs 
• Relações Governamentais
• Órgãos Reguladores
5.4 o processo de comunicação
Para alcançar os resultados, o processo de comunicação deve permear todo o plano de desenvolvimento de análise de 
riscos até a fase de instalação do programa e permanecer ativo após seu desenvolvimento. Ele é de tal modo estratégico, que 
sem a comunicação não poderá existir o processo de gerenciamento de riscos, uma vez que se não houver sensibilização, 
não haverá a participação necessária e desejada para o desenvolvimento adequado e pleno gerenciamento de riscos.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
110 
As ações do Plano de Comunicação e Consulta servirão para orientar todos os empregados e equipes e conscientizá-
los da importância do processo em relação ao nível de informação que devem absorver e o que devem fornecer aos 
gestores de risco durante o processo de criação e implantação das políticas. Além disso, deve servir para mantê-los 
envolvidos direta e posteriormente, para que possam agir corretamente diante de qualquer tipo de ocorrência, seja 
um indício, seja uma crise ou uma emergência. 
Para a alta administração e a área de Gestão de Riscos Corporativos, o programa de comunicação deve conter todo o 
direcionamento para as áreas de negócios da BRASUCA e deve ser entendido e implantado por inteiro, pois seu conteúdo 
deve contemplar a orientação estratégica do processo de gerenciamento de riscos e da Comunicação de Crises. 
Para as demais áreas e empregados, ele deve conter os mecanismos para envolver os funcionários numa ação 
conjunta que alimentará os grupos que estarão administrando o processo. 
Para o público externo, ele deve estar preparado para mantê-los bem-informados e harmonizados a fim de que 
o processo caminhe de modo a receber a compreensão desses públicos e, eventualmente, a contribuição que for 
esperada deles nos objetivos do programa.
5.4.1 O Plano de Comunicação
O plano de comunicação deve ser estruturado para ser implantado com o público interno e externo e deve ter os 
seguintes objetivos:
PúBLICO INTERNO
• Orientar e conscientizar o empregado sobre a importância do programa;
• Envolver e comprometer o empregado no processo.
PúBLICO EXTERNO
• Informar os principais públicos de relacionamento com a empresa sobre o plano de riscos.
• Orientar e conscientizar os representantes dos públicos externos sobre a importância dos riscos.
• Posicionar a empresa no mercado e fortalecer sua imagem corporativa.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
111 
O plano de comunicação deve ter três níveis de atuação e desenvolvimento: 
• Implantação e acompanhamento do programa de riscos. 
• Criação do manual de comunicação de crise.
• Acompanhamento do processo de implantação da Política de Gestão de Riscos.
O procedimento para implantação dos três níveis deve ser feito a partir da criação de uma Campanha de Comunicação, 
que terá como ações:
• Lançamento do programa;
• Divulgação dos processos e passos de implantação;
• Estudo do ambiente interno;
• Estudo do ambiente externo;
• Criação dos meios de comunicação;
• Implantação dos meios e processos de informação.
5.4.2 Campanha de Comunicação
5.4.2.1 Lançamento e Desenvolvimento da Campanha
A BRASUCA fará primeiro o lançamento interno da campanha, já que se trata de público estratégico e prioritário, uma 
vez que ele é agente de integração e colaboração no processo.
A campanha utilizará os recursos existentes de comunicação interna e também criará outros que forem necessários 
e adequados para transmitirem a mensagem do programa. 
Os principais meios e veículos de comunicação a serem utilizados são:
• Intranet, infos eletrônicas, blogs, twitters, vídeocast e podcasts; 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
112 
• E-mails, e-mails marketing, filmes e vídeos ilustrativos e educativos; 
• Fôlderes, banners, cartazes, jornal interno, revista e jornal mural. 
A campanha deve ser dirigida a todos os empregados, prestadores de serviço, parceiros da BRASUCA e desenvolver 
a disseminação das informações de forma geral, vertical e horizontal. 
5.4.3 Redes de Comunicação
Além da campanha por meio dos veículos, que disseminará todas as informações, a equipe de comunicação 
deverá também desenvolver processos de relacionamento com a implantação de redes de comunicação, preparando 
empregados de departamentos para serem agentes de comunicação, propagadores e coletores de informações, a fim 
de levarem as informações às equipes e aos colegas de trabalho e também trazerem feedback para o comando da 
equipe e do programa.
5.4.4 Grupos de Comunicação
Do mesmo modo que as redes, os grupos funcionam para serem articuladores das informações, agindo de maneira 
organizada em grupos de discussão e debates em torno dos temas que envolvem o programa. Os integrantes do 
grupo, após as reuniões temáticas, passam a ter a função de disseminadores das informações em suas áreas e 
equipes de trabalho.
Essa atividade é de extrema importância para o desenvolvimento do programa e seus objetivos, porque tem a 
característica de disseminar as informações em todo o ambiente da BRASUCA e estimular os demais empregados à 
participação efetiva no programa.
Já as ações específicas, que fazem parte do processo de consulta, deverão tratar objetivamente os temas do 
programa e terem como meta levantar com detalhes as informações pesquisadas pelos consultores para alimentar 
o programa de gestão de riscos. Para que alcancem os resultados desejados e de maneira rápida, essas ações 
devem ser desenvolvidas e dirigidas aos grupos definidos como estratégicos, que atuarão diretamente no processo de 
levantamento de informações e consulta. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
113 
Para essas ações específicas, a equipe de comunicação deve desenvolver atividades com os grupos selecionados, 
como encontros, seminários e workshops. Essas atividades têm a finalidade de envolver o empregado e fazê-lo vivenciar 
os temas que estão sendo tratados. 
5.4.5 Seminários 
Alguns assuntos e casos deverão ser discutidos em maior profundidade. Para isso devem ser criados e organizados 
seminários temáticos, que devem ir desde as filosofias e os princípios organizacionais como visão, missão e valores e 
políticas e diretrizes organizacionais permeando os temas desenvolvidos pelo programa de gestão de riscos.
5.4.6 Workshops
Outros assuntos técnicos que precisam ser compreendidos em profundidade com seus respectivos procedimentos 
devem ser tema e objeto de workshops dirigidos a chefias,técnicos, gerentes e diretores.
As Redes e os Grupos de Comunicação, os Seminários e Workshops deverão ter como objetivo transferir informações 
orientadas para que sejam discutidas em profundidade e analisadas de acordo com a experiência de cada integrante, 
a fim de que passem a fazer parte da rotina de cada um de seus participantes. 
Assim, de modo geral, devem ser considerados os seguintes aspectos:
• Além das orientações gerais comuns, cada empregado deve conhecer profundamente as orientações específicas de sua 
área, dos grupos de risco e dos seus riscos específicos. 
• Devem conhecer também os procedimentos e as medidas gerais e as diferenças entre planos de emergência, contingência 
e comunicação e suas ações específicas por grupo e tipo de risco.
5.5 plano de comunicação – continuidade do processo
5.5.1 Campanha Dirigida
O processo de comunicação deve ser contínuo, mesmo após o período de levantamento de informações, ou seja, 
de comunicação e consulta. Para isso, a empresa deve criar uma campanha dirigida com os temas propostos pelo 
Processo de Gestão de Riscos. Essa campanha deve ser desenvolvida com os seguintes processos:
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
114 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
115 
5.5.2 Campanha de Comportamento
A campanha será estruturada para ser desenvolvida em três conceitos 
VALORES
Deve ser o primeiro conceito a ser discutido com todos os empregados para que eles entrem e façam uma imersão 
do ambiente cultural da BRASUCA. As conclusões e os resultados do debate deverão ser divulgados da mesma forma 
e por meio dos mesmos mecanismos de comunicação da campanha de Comunicação e Consulta.
COMPORTAMENTOS ORGANIZACIONAIS
A segunda fase será aplicada com a realização de encontros e seminários semanais com grupos de 30 funcionários 
e terão como temas a serem conhecidos e debatidos os tópicos definidos pela Política de Gestão de Riscos.
• BIA – Business Impact Analysis – Matriz de Processos – Resumos dos Processos;
• Identificação de Riscos no Processo – Fluxograma Riscos no Processo – Diagrama do C&E;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
116 
• Swot – Análise de Risco – Matriz Vulnerabilidade – Nível de Risco – Priorização das Ações;
• Matriz de Priorização – Matriz de Responsabilidade – Plano de Ação;
• Risco Assumido – Monitoramento do Risco. 
Com a análise desses temas permeando os seminários, os grupos terão oportunidade de avaliar os comportamentos 
organizacionais e compreender as atitudes praticadas à luz da cultura e políticas organizacionais.
PROTEçãO
O debate entre os grupos deverá caminhar para a análise ponderada dos melhores comportamentos que, baseados nos 
critérios da Gestão de Riscos, levarão a empresa, a partir das atitudes individuais e de grupos, assegurar um ambiente 
de permanente controle dos riscos e, em função disso, altamente protegida contra os riscos corporativos existentes.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
117 
ETAPAS DO PROGRAMA:
ANáLISE DO AMBIENTE
• Avaliar como e quanto às equipes estão preparadas e receptivas para assimilar os novos conceitos.
• Trabalhar os conceitos organizacionais segmentados nas pessoas e suas percepções sobre riscos.
PREPARAçãO DO AMBIENTE
• Trabalho com os líderes formais e naturais
• Promover a aceitação natural das pessoas 
• Fomentar a discussão sobre os temas 
CAMPANHA DE COMUNICAçãO
• Iniciar a campanha com divulgação de teasers baseados na construção do processo.
• Despertar a curiosidade das pessoas sobre o tema.
• O teaser será seguido de campanha com peças como: cartazes, banners, terminal de consulta, intranet, volantes explicativos, 
matérias no jornal interno, vídeos.
Durante os primeiros dias, a coordenação da campanha deverá criar “Quiz” sobre os temas a serem abordados e 
disponibilizados nos meios de comunicação interna. 
TREINAMENTO LÍDERES
Durante o período de lançamento da campanha, realizar encontro de toda liderança estratégica.
Essa atividade tem como finalidade alinhar o conhecimento da liderança sobre a Gestão de Riscos, pois as lideranças 
integrantes desse grupo serão responsáveis pela execução das atividades seguintes. O encontro terá como formato:
• Abordagem conceitual e estratégica 
• Abordagem técnica e prática 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
118 
Esse trabalho existe também para ressaltar a importância do Líder no processo, como também para prepará-los para 
o relacionamento e para serem multiplicadores dos princípios e tópicos da Gestão de Riscos. 
IMERSãO E SENSIBILIZAçãO
Os líderes realizam reuniões e encontros com suas equipes e tratam de temas divulgados pela campanha interna, 
informando que serão organizados encontros para aprofundamento dos temas e assuntos da Gestão de Riscos. 
ENCONTROS E SEMINáRIOS
Os líderes serão responsáveis por realizarem encontros/seminários com suas equipes. Os encontros serão em 
número suficiente para alcançar todo o grupo liderado. Dessa forma, toda a empresa será envolvida e participará do 
processo de discussão. Os encontros deverão ter abordagem conceitual, estratégica e prática e serem realizados com 
ações de envolvimento com dinâmicas e vivências, analogias e cases. Basicamente desenvolverá o estudo dos valores 
e da cultura organizacional, os comportamentos e os princípios da Gestão de Riscos. O conceito-chave dos encontros 
deverá ser o mesmo do conceito geral: 
 Conhecimento, Comportamento e Proteção
CENTRAL DE INFORMAçõES
Durante todo o período de realização da campanha, a área de comunicação da BRASUCA, além de participar 
das atividades, deverá fazer o devido acompanhamento do processo e criar as condições necessárias para que 
os grupos e todos os funcionários recebam regularmente informações sobre o programa e possam também se 
manifestar e buscar esclarecimentos sobre tudo o que está acontecendo, como informações sobre o programa, 
atividades, participação, etc.
Para isso, a área de comunicação deverá montar uma Central de Informações, que terá como objetivo coordenar o 
desenvolvimento das ações de comunicação e fazer o controle de todo o processo. A Central de Informações deverá 
servir como um canal permanente de disseminação e recepção de informações.
A Central de Informações será coordenada e gerenciada pela área de comunicação da empresa e orientada e supervisionada 
por um comitê formado por representantes das demais áreas, com prioridade para as áreas de Auditoria e Administração. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
119 
A Central de Informações funcionará por meio da coordenação de um profissional que será o coordenador de 
comunicação do programa e dos grupos e redes de comunicação. Ele deverá fazer atendimento pessoal e por meio 
um canal direto como telefone (ramal fixo e celular) e-mail e virtual pela intranet da empresa. Desse modo, qualquer 
funcionário que desejar se comunicar para esclarecer ou tirar dúvidas a respeito do processo ou ainda encaminhar 
sugestões ou críticas, poderá fazê-lo por meio desses canais.
GRUPO DE ATUAçãO PERMANENTE 
O grupo de atuação permanente tem como objetivo observar, avaliar e manter o processo implantado da Gestão de 
Riscos presente na mente das pessoas e entre os grupos e departamentos. Ele estará a postos sempre que uma 
determinada necessidade surgir em qualquer área ou departamento da BRASUCA. Sempre que houver qualquer tipo de 
necessidade ou ocorrência, o grupo deverá: 
• Orientar os colaboradores e contratados sobreos procedimentos a serem observados e mantidos.
• Manter os funcionários da BRASUCA informados sobre o status da situação geral.
• Acionar os meios internos, por área, para avaliar e tomar a decisão necessária quando for necessário. 
O grupo de atuação deverá ser formatado da seguinte maneira: 
• Cada área deverá indicar um membro que fará parte do grupo.
• O grupo deverá se reunir mensalmente para avaliar as condições de cada área e trocar informações sobre os fatos e acon-
tecimentos, em especial, sobre a manutenção de tudo o que foi discutido durante a fase de comunicação dos riscos.
5.6 recomendações Finais sobre a Implantação da Filosofia e plano de comunicação
Em linhas gerais, o processo que deverá ser seguido no momento do lançamento da campanha, seja o da “Comunicação 
e Consulta”, seja o da “Comunicação Dirigida”, deve levar em conta as seguintes fases:
• Definir o tema geral da campanha e a estrutura para a necessidade do momento.
• Preparar o cronograma de atividade e as fases de avaliação e revisão.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
120 
• Preparar as peças definidas para o lançamento – criação e produção.
O teaser deve ser divulgado alguns dias antes do lançamento da campanha. Nesse momento, os grupos de comunicação 
iniciam seu trabalho de relacionamento com os demais funcionários visando estimular as discussões sobre o que foi 
divulgado na forma do teaser. 
O grupo deve manter esse clima por uns dois ou três dias. Durante esse período, a equipe de comunicação deve 
soltar um e-mail ou colocar uma informação adicional nos meios de comunicação internos para estimular a curiosidade. 
No dia do lançamento, a empresa deve amanhecer com os cartazes e banners todos colocados e inicia-se a campanha 
com informações mais detalhadas do tipo como e o que é a campanha, seus objetivos, atividades, etc.
Nesse dia pode-se fazer um evento – café da manhã, almoço, um grande encontro ou encontros menores por áreas, 
por exemplo. Os veículos como blog, jornal e quadro mural vão sendo utilizados com informações que vão alimentando 
as atividades e os debates sobre os temas definidos no roteiro do programa.
Os grupos de comunicação começam a fazer as reuniões, outras ações vão sendo implementadas de acordo com a 
evolução do programa. 
As avaliações e as correções de rumo devem ser realizadas periodicamente, pelo menos a cada semana.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
121 
5.6.1 Timeline de Implantação da Campanha (Exemplo)
122 
11.1 geNeralidades 
Ao estabelecer o contexto, a organização articula seus objetivos e defi ne os parâmetros externos e internos a 
serem levados em consideração ao gerenciar riscos, e estabelece o escopo e os critérios de risco para o restante 
do processo. 
Portanto, temos três contextos a serem defi nidos e alinhados: 
- O Contexto Empresarial – Interno;
- O Contexto Externo – Cenários;
11. CONTEXTO 
ESTRATÉGICO
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
123 
- O Contexto de Gestão de Riscos: Política e processo de gestão de risco;
- Identificação dos processos críticos.
11.2 cONtextO empresarial – ambieNte iNterNO 
A primeira etapa diz respeito à compreensão dos objetivos estratégicos e organizacionais da empresa, compreendendo sua 
cadeia de valor e respectivos Fatores Críticos de Sucesso. É importante que a área de gestão de riscos esteja alinhada com os 
objetivos estratégicos da empresa, seguindo as premissas da ISO 31000 e do COSO II, entendendo suas políticas, objetivos, 
missão, valores e estratégias implementadas na organização. Com base na missão estabelecida, a administração planeja 
objetivos principais, seleciona as estratégias e estabelece outros planos a serem adotados por toda a organização, alinhados 
com a estratégia e a ela vinculados. Embora muitos objetivos sejam específicos a uma determinada organização, alguns 
deles são amplamente compartilhados. Por exemplo, os objetivos comuns a praticamente todas as entidades são alcançar e 
manter uma reputação favorável tanto no segmento empresarial quanto com seus clientes, fornecer informações confiáveis às 
partes interessadas e operar em conformidade com as leis e a regulamentação. A área de gerenciamento de riscos deve estar 
alinhada com todas essas premissas estratégicas da organização, por esta razão do entendimento estratégico da empresa. 
A ISO 31000 descreve sobre o ambiente interno das empresas o seguinte: “O contexto interno é algo dentro da 
organização que pode influenciar a maneira pela qual uma organização gerenciará os riscos. Convém que ele seja 
estabelecido, porque: 
a. a gestão de riscos ocorre no contexto dos objetivos da organização; 
b. convém que os objetivos e os critérios de um determinado projeto, processo ou atividade sejam considerados tendo como 
base os objetivos da organização como um todo; e 
c. algumas organizações deixam de reconhecer oportunidades para atingir seus objetivos estratégicos, de projeto ou de negó-
cios, o que afeta o comprometimento, a credibilidade, a confiança e o valor organizacional. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
124 
É necessário compreender o contexto interno. Isso pode incluir, mas não está limitado: 
- à governança, estrutura organizacional, funções e responsabilidades; 
- às políticas, objetivos e estratégias implementadas para atingi–los; 
- às capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, 
sistemas e tecnologias); 
- aos sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais); 
- às relações com as partes interessadas internas, e suas percepções e valores. 
- às normas, diretrizes e modelos adotados pela organização; e 
- à forma e extensão das relações contratuais.
Para isso sugerimos que o gestor disponha de um checklist com o objetivo de melhor identificar as variáveis que 
compõem o contexto empresarial. A seguir, uma sugestão genérica, a título de exemplo: 
1. A Empresa atua em qual segmento? Quais são os seus produtos e/ou serviços?
2. Atualmente, qual é a posição que da Empresa ocupa no ranking de seu segmento de atuação?
3. Quais são os concorrentes diretos da Empresa? E os indiretos?
4. Quais são os fornecedores-chave para a Empresa?
5. Quais são os objetivos estratégicos de médio prazo? 
6. A Empresa dispõe de Código de Conduta ou outras políticas relativas às práticas de negócio (valores éticos)?
7 Os colaboradores conhecem e entendem a(s) política(s) existentes na Empresa?
8. A Empresa pratica alguma política de incentivo para atingir suas metas? Ex.: Bônus para colaboradores.
9. Há algum meio de monitoramento que tenha por finalidade verificar a efetiva prática da(s) política(s) existente(s) na Empresa?
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
125 
10. Atualmente, qual é a estrutura organizacional da Empresa? (Organograma).
11. O Organograma geral atende às necessidades de negócio da Empresa? Caso não, qual a necessidade que julga 
necessária e por quê?
12. Considerando a estrutura organizacional apresentada quais são as áreas consideradas como “áreas-chave” e respectivas 
atividades críticas em termos de faturamento?
13. A Estrutura Organizacional da Empresa é descentralizada, semi-integrada ou de sistema integrado?
14. A seguir figura ilustrativa do entendimento do contexto interno e externo:
Contexto Externo e Interno
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
126 
11.3 cONtextO exterNO – ceNáriOsO contexto externo é o ambiente externo no qual estão inseridas as variáveis incontroláveis. Entender o contexto 
externo é importante para entender quais são as variáveis que podem dificultar ou expor os objetivos estratégicos da 
organização e entender as interconectividades entre as variáveis incontroláveis. 
O contexto externo pode incluir, apesar não está limitado a: 
- os ambientes cultural, social, político, legal, regulamentar, financeiro, tecnológico, econômico, natural e competitivo, quer 
seja internacional, quer seja nacional, regional ou local; 
- os fatores–chave e as tendências que tenham impacto sobre os objetivos da organização; e 
- as relações com as partes interessadas externas e suas percepções e valores. 
Podemos exemplificar os componentes do contexto externo: 
- Localização física da empresa: posição geográfica da instalação (rios, estradas, elevação, condições climáticas, etc.);
- Configuração socioeconômica da área em que a empresa está instalada (população vizinha, status social, área urbana/
rural, instalações policiais);
- Situação político-financeira do país (legislação pertinente, identificação e análise dos órgãos que legitimam, planos 
governamentais e política econômica e financeira).
A gestão de Riscos poderá buscar a informação dessas variáveis, de maneira direta ou indireta, por meio de duas 
fontes:
- Fontes Primárias: são as fornecidas no ambiente da empresa (troca de informações).
- Fontes Secundárias: fornecidas pelos órgãos governamentais (colaboração integrada).
O nível de detalhamento e profundidade dependerá da necessidade e da influência do impacto sobre a empresa.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
127 
A natureza do ambiente muda com muita rapidez, levando a alterações políticas e sociais. Essa rapidez exige da 
empresa capacidade impressionante de resposta e adaptação. Como exemplo de problemas ambientais externos, 
podemos citar:
- Há previsões de recessão econômica no país, o que aumentará o desemprego. Qual será a influência desse fato sobre a 
empresa? Aumentam as possibilidades de saque, furto, roubo, mudança de relacionamento? A empresa está preparada 
para receber esse impacto?
- As condições climáticas podem afetar a empresa? Ela está preparada para reagir a uma inundação? Existe plano de 
emergência com essa finalidade?
- Uma guerra pode ocorrer proximamente no Oriente Médio? Qual o impacto na minha empresa, uma multinacional, que 
apoia a intervenção militar? Há possibilidade de sabotagem ou ameaça de bomba? 
Essas indagações devem ser analisadas e seu impacto para a empresa projetado. A gestão de riscos abrange toda 
a conjuntura ambiental, devendo avaliar todos os seus ângulos.
Nessa fase pode-se empregar a ferramenta de construção de cenários utilizando a Matriz de Impactos Cruzados para 
entender a motricidade das variáveis externas nos objetivos estratégicos. 
11.4 cONtextO da gestãO de riscOs 
11.4.1 iNtrOduçãO
O contexto da gestão de riscos diz respeito à estrutura organizacional da área, ou seja, como a empresa pretende 
gerenciar seus riscos, quais serão os critérios e metodologias a serem utilizadas. Isso tudo deve estar formalizado nos 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
128 
documentos: Política de Gestão de Riscos, que fornece as diretrizes estratégicas, e Processo de Gestão de Riscos, que 
fornece a metodologia com todos os critérios, descrevendo com detalhe como realiza a gestão de riscos. 
A ISO 31000 descreve que o contexto do processo de gestão de riscos irá variar de acordo com as necessidades de 
cada organização. Ele pode envolver, apesar de não estar limitado a: 
- a definição das metas e objetivos das atividades de gestão de riscos; 
- a definição das responsabilidades pelo processo e dentro da gestão de riscos; 
- a definição do escopo, bem como da profundidade e da amplitude das atividades da gestão de riscos a serem realizadas, 
englobando inclusões e exclusões específicas; 
- a definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e localização; 
- a definição das relações entre um projeto, processo ou atividade específicos e outros projetos, processos ou atividades da 
organização; 
- a definição das metodologias de avaliação de riscos; 
- a definição da forma como são avaliados o desempenho e a eficácia na gestão dos riscos; 
- a identificação e a especificação das decisões que têm que ser tomadas; e 
- a identificação, a definição ou a elaboração dos estudos necessários, de sua extensão e objetivos, e dos recursos requeri-
dos para tais estudos. A atenção para esses e outros fatores pertinentes pode ajudar a assegurar que a abordagem ado-
tada para a gestão de riscos é apropriada às circunstâncias, à organização e aos riscos que afetam a realização de seus 
objetivos.
11.4.2 critériOs de riscO 
Convém que a organização defina os critérios a serem utilizados para avaliar a significância do risco. Os critérios devem 
ser definidos no início de qualquer processo de gestão de riscos e devem ser analisados criticamente de forma contínua. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
129 
O processo a ser escolhido depende das características da empresa, não se limitando, especificamente, a nenhuma 
métrica e ou metodologia. A ISO 31000 cita os seguintes aspectos: 
- a natureza e os tipos de causas e de consequências que podem ocorrer e como elas serão medidas; 
- como a probabilidade será definida; 
- a evolução no tempo da probabilidade e/ou consequência(s); 
- como o nível de risco deve ser determinado; 
- os pontos de vista das partes interessadas; 
- o nível em que o risco se torna aceitável ou tolerável, e se convém que combinações de múltiplos riscos sejam levadas em 
consideração e, em caso afirmativo, como e quais combinações convêm que sejam consideradas.
O ideal é a definição clara e objetiva por meio de um documento estruturado, que deve ser a Política de Gestão de 
Riscos. Na experiência da Brasiliano & Associados, sugerimos que a empresa tenha dois documentos: 
- uma política que contém as diretrizes da diretoria e ou conselho, já determinando quem é o dono dos riscos e a estrutura 
apropriada (modelo no item 11.4);
- um processo descrito com detalhe sobre a metodologia a ser utilizada pela empresa, contendo os seguintes tópicos: 
 1. Objetivos
 2. Definições e Conceitos dos termos a serem utilizados
 3. Descrição do Processo de Gestão e Análise de Riscos
 3.1 Identificação dos Riscos – Ferramenta
 3.2 Análise e Avaliação dos de Riscos Inerentes – Critérios de Probabilidade e Impacto, Matriz e Nível de Riscos
 3.3 Análise e Avaliação dos Riscos Residuais – Avaliação dos Controles, Critérios de Probabilidade e Impacto, 
Matriz e Nível de Riscos
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
130 
 4. Respostas aos Riscos 
 5. Priorização das ações
 6. Monitoramento e Auditoria
 7. Anexos – Dicionários de Riscos – Conceituação dos riscos que a empresa irá utilizar
11.5 mOdelO de pOlítica de gestãO de riscOs 
PolÍtiCA de gestão de risCos CorPorAtivos
i. objetivo.
Estabelecer princípios e diretrizes-chave que pautam a atuação da BRASUCA nas questões de Riscos Corporativos.
II. CAmPo de APliCAção.
Esse procedimento aplica-se a todas as unidades de negócio e áreas corporativas da BRASUCA.
III. resPonsAbilidAdes e AutoridAdes.
Os responsáveis envolvidos na gestão de riscos corporativos são:
1. Diretores BRASUCA;
2. Comitê de Gestão de Riscos;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
131 
3. Gerência de Riscos Corporativos /Gestão da Qualidade;
4. Gestores da BRASUCA / Gerentes;
5. Auditoria Interna;
6. Facilitadores das Análises de Riscos Corporativos;
7. Funcionários / Colaboradores.
1. diretores BrasUca
• Analisar e decidir sobre o(s) risco(s) a ser(em) assumido(s) pela BRASUCA;
• Inserir os itens de monitoramento previstos neste documento nas Reuniões de Performance das áreas sob sua gestão;
• Indicar participantes para compor o Comitê de Riscos, a fim de acompanhar e apoiar o Processo de Gestão de Riscos 
Corporativos, evitando possíveis conflitos de interesse na BRASUCA;
• Garantir o cumprimento dos Planos de Ação das áreas sob sua responsabilidade, tomando providências quanto ao não 
cumprimento das ações dentro do prazo previsto;
• Disponibilizar recursos necessários para o Sistema de Gestão de Riscos Corporativos;
• Apoiar e incentivar o compromisso com o Processo de Gestão de Riscos Corporativos;
• Participar das reuniões análises críticas anuais das Análises de Riscos das unidades sob a sua responsabilidade, bem 
como verificar o cumprimento das recomendações / sugestões efetuadas.
2. comitê de Gestão de riscos
• Acompanhar a gestão integrada de riscos, validando e revisando periodicamente a matriz de riscos da BRASUCA, assim 
como a estrutura de controles internos capazes de minimizar a ocorrência de riscos;
• Dar apoio às ações para o tratamento dos riscos, alocando recursos para tal fim e reportando-os à Diretoria Executiva e 
aos Conselhos de Administração e Fiscal;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
132 
• Avaliar o desempenho dos indicadores de riscos, de modo a alinhá-los aos objetivos estratégicos da empresa;
• Prover o alinhamento de assuntos estratégicos e operacionais no processo de gestão integrada de riscos;
• Reportar à Diretoria e Conselhos de Administração e Fiscal os resultados do processo de gerenciamento dos riscos;
• Revisar a Política de Gestão de Riscos.
3. Gerência de riscos corporativos / Gestão da Qualidade
• Apoiar o Comitê de Riscos;
• Implementar e gerenciar o Sistema de Gestão de Riscos Corporativos, assegurando a execução dos processos de forma eficaz;
• Assessorar e orientar as áreas da BRASUCA, visando à divulgação e a aplicação das práticas do Processo de Gestão de 
Riscos Corporativos em todas as suas unidades;
• Manter permanente diálogo com todas as unidades da BRASUCA, apoiando a melhoria contínua do Processo de Gestão de 
Riscos Corporativos;
• Assegurar que as estruturas de controle e gestão de riscos funcionem efetivamente;
• Avaliar o estado atual da gestão de riscos, fornecendo uma visão que auxilie a administração a identificar atuais e futuros 
riscos e oportunidades associadas;
• Analisar a performance de gerenciamento de riscos determinada pela BRASUCA;
• Verificar se o tratamento dos riscos e o nível organizacional tratado pela BRASUCA estão adequadamente endereçados;
• Aprimorar a eficiência na gestão de riscos;
• Direcionar a priorização dos riscos considerando a possibilidade de retorno, promovendo a alocação de recursos para o 
tratamento de riscos associados ao aumento do valor agregado aos acionistas;
• Fornecer conhecimento e habilidades técnicas para o tratamento de riscos-chave;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
133 
• Participar no desenho e na definição de controles internos, bem como dar suporte na condução e na interpretação de 
avaliações dos riscos; 
• Reportar as ações preventivas e contingenciais;
• Investigar as alegações de impropriedades cometidas pelos empregados, ou contra a Empresa. 
Esse papel diferencia a Gerência de Riscos Corporativos, uma vez que ela não tem responsabilidade de estabelecer 
e dirigir as operações do negócio e o seu foco primário é monitorar e aprimorar a eficácia das atividades de gestão dos 
riscos na BRASUCA.
4. Gestores da BrasUca / Gerentes 
• Gerir, implementar e manter atualizada a Análise de Riscos nas áreas e nos contratos sob sua responsabilidade nos termos 
deste documento;
• Validar as Análises de Riscos e o plano de ação referente, das áreas sob sua responsabilidade;
• Repassar para o Diretor responsável pela área o(s) Risco(s) que não puder(em) ser eliminado(s) ou reduzido(s), para a 
análise de Assumir o(s) Risco(s);
• Indicar facilitador responsável pelas Análises de Riscos das áreas sob sua responsabilidade;
• Manter seu pessoal capacitado na realização das Análises de Riscos e cientes dos critérios de criticidade/significância e 
priorização dos cenários avaliados;
• Coordenar as análises críticas anuais das Análises de Riscos da unidade sob a sua responsabilidade, bem como verificar o 
cumprimento das recomendações / sugestões efetuadas;
• Garantir o cumprimento das ações estabelecidas em plano de ação dentro dos prazos programados, das áreas sob sua 
responsabilidade;
• Inserir os itens de monitoramento do Processo de Gestão de Riscos Corporativos nas suas Reuniões de Performance com 
equipe e Diretoria;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
134 
• Assegurar à Diretoria os recursos necessários (financeiros, humanos, materiais e de sistema) para propiciar o gerenciamen-
to efetivo dos riscos identificados nas áreas e nos contratos sob sua responsabilidade;
• Atender e seguir as diretrizes e procedimentos da BRASUCA relacionadas à contratação e à gestão de fornecedores e contratadas.
• Os gestores da BRASUCA são responsáveis pela detecção e prevenção de fraude. Qualquer membro do time gerencial deve 
estar alerta para qualquer indicação de irregularidade dentro de sua área de responsabilidade. Em adição, tem a respon-
sabilidade de reportar imediatamente os atos suspeitos para o Gestor de Riscos Corporativos, não devendo tentar conduzir 
pessoalmente investigações, entrevistas ou interrogatórios.
O não cumprimento das ações previstas no Plano de Ação dentro do prazo estabelecido será informada ao Diretor 
responsável da área para as devidas providências, a fim de decidir sobre Evitar, Assumir ou Reduzir o(s) Risco(s) a níveis 
aceitáveis.
5. auditoria Interna da BrasUca
• Auditar os controles visando avaliar o funcionamento efetivo por meio de testes por amostragem dos riscos nos processos, 
fraude, físicos, patrimoniais, ambientais, de informações, saúde e segurança do trabalho;
• Auditar os atendimentos legais os quais serão identificados no processo de Gestão de Riscos Corporativos.
6. Facilitadores de análise de riscos corporativos
• Compartilhar ao seu gestor da BRASUCA mudanças ou propostas de mudanças na organização, em suas atividades ou materiais;
• Compartilhar ao seu gestor da BRASUCA as modificações no Processo de Gestão de Riscos Corporativos, incluindo mudan-
ças temporárias, bem como seus impactos nas operações, nos processos e nas atividades;
• Comunicar e treinar a unidade na análises de riscos, das áreas sob sua responsabilidade; 
• Acompanhar a implementação das ações previstas no plano de ação oriundas das análises de riscos, das áreas sob sua 
responsabilidade;
• Inserir os itens de monitoramento nas Reuniões de Performance da equipe e com o gestor BRASUCA;
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
135 
• Informar nas suas Reuniões de Performance, ou quando necessário, ao gestor BRASUCA (das áreas sob sua responsabi-
lidade) sobre as ações não cumpridas ou cumpridas em atraso do(s) Plano(s) de ação, assim como pontos que possam 
comprometer o Processo de Gestão de Riscos Corporativos;
• Apresentar os resultados das análises de riscos e o plano de ação ao gestor BRASUCA da área para sua BRASUCA ação;
• Atualizar as análises de riscos, das áreas sob sua responsabilidade, sempre que necessário;
• Conduzir as análises de riscos da unidade nos termosdeste documento;
• Controlar toda a documentação relativa às análises de riscos da unidade ou área.
7. Funcionários / colaboradores
• Conhecer as análises de riscos da sua unidade de trabalho;
• Cumprir as ações, sob sua responsabilidade, previstas no Plano de Ação dentro do prazo estabelecido; 
• Participar dos programas e das campanhas da BRASUCA relacionadas ao tema;
• Comunicar qualquer desvio ou ação de melhoria que possa existir nas análises de riscos.
Todos os funcionários têm a responsabilidade de relatar possíveis suspeitas ou informações a eles fornecidas sobre 
a possibilidade de atividades fraudulentas ou corruptas por parte de qualquer executivo, funcionário, fornecedor ou 
qualquer outra parte associada à BRASUCA. Qualquer pessoa que possui embasamento razoável para acreditar que 
atos fraudulentos ou corruptos tenham ocorrido tem a responsabilidade de reportar imediatamente os atos suspeitos 
e não deve tentar conduzir pessoalmente investigações, entrevistas ou interrogatórios.
Iv. ConsiderAções gerAis.
Documentos referenciados:
• ABNT ISO GUIA 73:2009 – Gestão de Riscos – Vocabulário.
• ABNT NBR ISO 31.000:2009 – Gestão de Riscos – Princípios e Diretrizes.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
136 
• ABNT NBR ISO 31.010:2012 – Gestão de Riscos – Técnicas para o Processo de Avaliação de Riscos.
v. termos e definições.
Funcionários / colaboradores: todos aqueles que possuem vínculo empregatício com a BRASUCA.
Facilitadores: representantes das áreas indicados pelos gestores, responsáveis pelas Análises de Riscos de suas 
áreas.
Gestores: ocupantes de cargo de liderança, tais como Gerentes, Coordenadores e Supervisores que tenham equipes 
sob sua gestão.
vi. desCrição do ProCesso.
1. princípios
A Política de Gestão de Riscos Corporativos da BRASUCA possui um processo de Gestão e Análise de Riscos e está 
baseado em práticas nacionais e internacionais, utilizando o conceito de gestão retroalimentativa, ciclo do PDCA com 
monitoramento do sistema de gestão por indicadores e verificação por análise crítica, gerando melhoria contínua. 
Esse processo deve ser conduzido pelos gestores da BRASUCA e seus respectivos colaboradores, aplicado no 
estabelecimento de estratégias formuladas para identificar, em todas as áreas, eventos em potencial, capazes de 
afetar tanto os objetivos estratégicos como os operacionais, e administrar os riscos para mantê-los compatíveis com 
o apetite definido, e possibilitar garantia razoável do cumprimento dos objetivos da Empresa.
2. compromissos
Por meio dessa Política de Gestão de Riscos Corporativos a BRASUCA, estabelece como compromissos:
• Proporcionar um ambiente saudável e seguro às pessoas, ao patrimônio e às suas operações; 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
137 
• Atender aos requisitos dos produtos e serviços, mitigar os riscos com impactos significativos aos processos, ao meio am-
biente, bem como os perigos e os riscos no trabalho, patrimônio, riscos de fraude e informações, atendendo à legislação e 
outros requisitos subscritos que se relacionem à operação;
• Prevenir a poluição do ar, da água e do solo, e destinar adequadamente seus resíduos;
• Promover a melhoria contínua do desempenho do Sistema de Gestão de Riscos Corporativos; 
• Garantir a interação entre os envolvidos disponibilizando informação por meio de eficazes canais de comunicação;
• Obrigações em cumprir as leis e regulamentos locais, nacionais e internacionais, normas e políticas interna, aplicáveis aos 
seus negócios;
• Treinar, conscientizar e desenvolver a competência em gestão de riscos dos empregados;
• Incentivar a aplicação de tecnologias na melhoria contínua dos aspectos de riscos nas suas instalações e operações; e
• Fornecer condições para que a Gerência de Riscos Corporativos possa contribuir com a BRASUCA de forma a alcançar com 
sucesso sua missão e atingir sua visão.
A Política de Gestão de Riscos Corporativos ajuda os gestores a tratar com eficácia as incertezas, mitigando riscos, 
a fim de melhorar a capacidade de alcançar os objetivos da BRASUCA. O reconhecimento dos riscos em processos, 
fraude, patrimoniais, ambientais, de informações, pessoais, trabalho e de atendimentos legais, fator inerente no 
processo decisório, requer que a administração analise as informações em relação aos ambientes interno e externo, 
utilize seus recursos, bem como ajuste as atividades frente aos riscos levantados e analisados.
3. processo de Gestão de riscos
O Processo de Gestão de Riscos Corporativos da BRASUCA possui como base o framework da Norma ISO 31000 – 
Gestão de Riscos. 
A BRASUCA não admite riscos no quadrante vermelho e nível de risco no nível 3 e 4, são considerados como inaceitáveis 
devendo possuir ações para tratamento por parte dos gestores. Caso não ocorra a resposta ao risco dentro do prazo 
estimado para tratamento deste, a pendência existente será encaminhada ao Diretor da área para providências.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
138 
3.1. Risco Assumido 
O risco é assumido quando o Diretor da área responsável pelo processo ou atividade decide o assumir, tendo em 
vista relação custo–benefício ou por questões estratégicas. No entanto, é contra a Política de Riscos BRASUCA a 
possibilidade de assumir riscos no quadrante vermelho e nível de risco 3 e 4.
3.2. Revisão do Processo de Gestão de Riscos 
As áreas da BRASUCA devem revisar seus riscos, por meio do Processo de Gestão de Riscos Corporativos descritos 
nessa política, sempre que necessário ou em um período máximo de doze meses, com o objetivo de monitorar os riscos 
e os fatores de riscos do ambiente interno e externo.
A implementação do plano de ação da área será monitorada quinzenalmente pela área de Gestão de Riscos Corporativos.
4. Fraude e Corrupção
A BRASUCA tem tolerância zero à prática e à ocultação de atos fraudulentos ou ilegais. Alegações de tais atos serão 
investigados até sua conclusão lógica, incluindo ações legais, processos criminais e ações disciplinares onde houver garantia.
A equipe da Gestão de Riscos Corporativos tratará com confidencialidade toda informação recebida e protegerá 
a reputação dos questionados, restringindo o acesso a toda informação relacionada às alegações e à investigação 
somente àqueles que legitimamente necessitam ter conhecimento. Onde uma investigação concluir que a ocorrência 
de um ato fraudulento é provável, o Gerente de Gestão de Riscos Corporativos informará ao gestor superior da natureza 
a possível extensão das atividades.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
139 
vii. registro dA oPerAção.
Identificação armazenamento proteção recuperação
tempo de 
retenção
descarte
Software
viii. HistóriCo dAs revisões.
data da revisão 
anterior
data da revisão 
atual
elaborador alterações
26/11/14 26/05/15
Brasiliano & Associados 
/ Gestão da Qualidade
Emissão 
inicial
11.6 ideNtiFicaçãO e deFiNiçãO de prOcessOs, atividades Ou áreas criticas 
11.6.1 iNtrOduçãO
O BIA - Business Impact Analysis, ou Análise de Impacto no Negócio é uma ferramenta que possibilita avaliar processos, 
áreas ou atividades e inseri-los dentro de uma escala de criticidades visualizada por meio de uma Matriz. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
140 
O objetivo de realizar o BIA em primeiro lugar é o gestor enxergar qual é o processo/atividade/área considerada 
crítica ou estratégica para a empresa e montar o seu plano de implantação ou de priorização para começar a gestão 
de riscos. Essa ferramenta vale para toda e qualquer tipo de disciplina de riscos,segurança corporativa, por exemplo, 
passa a enxergar qual área dentro da empresa a segurança tem que colocar maior foco de atuação. Em termos de 
processos, os gestores de cada departamento passam a visualizar quais processos são considerados estratégicos 
para o negócio. Dessa maneira, podem colocar maior foco, dar maior atenção, alocar maiores recursos na diminuição e 
mitigação dos riscos. É uma ferramenta que veio da área de tecnologia da informação (TI), com o objetivo de identificar 
quais sistemas deveriam ter prioridade em termos de backup, prioridade para entrar em funcionamento, entre outros. A 
ISO 31010 – Técnicas e Ferramentas de Análise e Avaliação de Riscos selecionou o BIA para ser empregado na seleção 
de consequências/impacto. O BIA tradicionalmente na área de TI é empregado com dois critérios, o do impacto e do 
tempo de retorno da operação (quanto tempo a empresa aguenta ficar sem o sistema?). Com base nesses critérios 
temos condições de elaborar uma escala de criticidade de sistemas. 
Os processos críticos e ou áreas críticas de uma empresa são aquelas que impactam diretamente a cadeia de 
valor, se deixarem de funcionar. Ou seja vai impactar a proposta de valor que a empresa está propondo para o 
mercado. Estes processos alicerçam a vantagem competitiva da corporação. Portanto a visão que o gestor tem 
que ter é a estratégica, focada nas atividades primárias e nas atividades secundárias que suportam as primárias. 
O ponto crucial é pensar que a Cadeia de Valor da empresa é o conjunto de atividades desempenhada de 
forma única e distinta, diferente daquelas desempenhada pelos concorrentes. A essência da estratégia e da 
vantagem competitiva se situa nos processos críticos, na decisão de executar atividades diferentes daquelas da 
concorrência. A empresa adequa a cadeia de valor a sua proposta de valor. Portanto é muito estratégico para o 
gestor de riscos saber quais são os processos críticos da organização, pois estes devem estar alinhados com os 
objetivos estratégicos, elevando a Gestão de Riscos para o nível da alta gestão corporativa. Abaixo o modelo da 
cadeia de Valor de Michael Porter.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
141 
Cadeia de Valor das atividades Integradas que são desempenhadas de forma diferente do concorrente, 
fazendo com que a empresa possua uma real Vantagem Competitiva.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
142 
A Brasiliano & Associados aproveitou os dois macrocritérios (impacto e tempo), já mundialmente utilizados pelo 
BIA, e implementou dentro de cada macrocritério outros parâmetros com o objetivo de montar uma matriz em três 
níveis. 
Como resultado temos uma escala de processos/atividades/áreas considerados estratégicos e ou críticos para o 
negócio, podendo o gestor de cada área e o próprio gestor de riscos saber quais processos devem ser monitorados de 
forma mais constante. 
Portanto, o BIA é uma ferramenta estratégica e holística no processo de gestão de riscos, pois direciona cada gestor, 
como se fosse uma bússola, para pilotar, monitorar os processos realmente essenciais
11.6.2 critériOs dO bia
Para a análise de Impacto no Negócio são utilizados dois critérios de avaliação:
a. Impacto no Negócio: Qual impacto na empresa, que a inatividade de um determinado processo ou determinada área 
provocam? Vejam que a pergunta sempre está voltada para a empresa, nunca para o departamento ou a gerência. O im-
pacto tem que ser medido com o foco nos objetivos estratégicos da empresa. Para a avaliação do Impacto no Negócio 
são utilizados 4 subcritérios sendo eles: Imagem, Financeiro, Legal e Operacional.
b. Tempo de Tolerância: Tempo de tolerância é o tempo máximo que um processo, atividade ou área estudada podem ficar 
paralisados sem comprometer de forma significativa as operações da empresa. 
• Avaliação do Impacto no Negócio: Para avaliar o impacto no negócio da empresa, os gestores deverão utilizar 
um peso diferenciado para cada subcritério, tendo em vista o nível de importância no contexto da empresa. 
Segue abaixo os quatro subcritérios com os respectivos pesos, sendo apenas uma sugestão:
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
143 
Critérios de Impacto
Cada subcritério de impacto possui os seguintes critérios para pontuação. Estes critérios nas tabelas podem mudar, 
de acordo com as características de cada empresa. A seguir: 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
144 
Imagem pontuação
Repercussão prolongada ou não na mídia internacional: Possível boicote aos 
serviços, manifestações de massa. Preocupação pública/da mídia/política 
nacional e internacional. Restrição ou revogação de uma ou múltiplas licenças 
de funcionamento. Também tende a mobilizar grupos de ação. Atenção para 
reações de sindicatos de trabalhadores e de rede sociais e possíveis greves de 
funcionários. Impacto sobre o preço das ações/avaliação de crédito. Viabilidade 
financeira ameaçada. Repercussão internacional no ambiente organizacional.
05
Repercussão nacional: Preocupação pública/da mídia/política nacional. 
Repercussões com autoridades governamentais e representantes de nível nacional 
e/ou regional; possibilidade de medidas restritivas à organização. Restrição 
ou revogação de uma ou múltiplas licenças de funcionamento. Também tende 
a mobilizar grupos de ação. Atenção para possíveis reações de sindicatos de 
trabalhadores e de redes sociais. Repercussão nacional no ambiente organizacional.
04
Repercussão regional: Preocupação pública/da mídia/política dentro do estado. 
Pode haver envolvimento adverso de grupos de ação e/ou do governo local. 
Atenção para possíveis reações de sindicatos de trabalhadores e de redes sociais. 
Repercussão local no ambiente organizacional.
03
Repercussão local: Envolve algum interesse público local do munícipio e/ou alguma 
atenção política local e/ou mídia local, com possíveis aspectos adversos para as 
operações. Repercussão limitada no ambiente organizacional.
02
Sem repercussão: Situações nas quais não há o conhecimento do público, mas 
não existe interesse público. A ocorrência não ultrapassa os limites internos da 
organização e/ou de suas unidades.
01
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
145 
Financeiro pontuação
Massivo: Acima de R$ 300.000,00 05
Crítica: De R$ 150.000,00 a R$ 300.000,00 04
Grave: De R$ 100.000,00 a R$ 150.000,00 03
Moderada: De R$ 50.000,00 a R$ 100.000,00 02
Leve: Até R$ 50.000,00 01
operacional pontuação
Massivo: Impacta outros processos muito fortemente. 05
Severo: Impacta outros processos de forma direta. 04
Moderado: Impacta levemente outros processos. 03
Leve: Impacta somente o próprio processo. 02
Insignificante: Não impacta nada. 01
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
146 
Legal pontuação
Massivo: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo descumprimento nos procedimentos 
ou legislação e ainda em que não há argumentos e provas para inibir a aplicação 
de multas ou pagamentos indenizações, havendo também possibilidade da 
suspensão das atividades da empresa, prisão de empregados. Uma ou múltiplas 
ações judiciais e multas de valor alto. Ação judicial muito séria incluindo ações 
populares. Encerramento legal das operações.
05
Crítica: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo descumprimento dos procedimentos 
ou legislação e ainda em que não há argumentose provas para inibir a aplicação 
de multas ou pagamentos de indenizações.
04
Graves: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo pequenas falhas nos procedimentos 
ou legislação e ainda em que há argumentos e provas para inibir parcialmente a 
aplicação de multas ou pagamentos indenizações.
03
Moderada: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, porém há argumentos e provas contundentes 
para inibir a aplicação de multas ou pagamento de indenizações.
02
Leve: Questões legais sem qualquer impacto. 01
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
147 
determinação do nível de Impacto: O Nível de Impacto é o resultado da média ponderada dos quatro critérios de 
impacto (multiplicação do peso versus a nota dividido pela soma dos pesos), conforme demonstrado abaixo:
O resultado do nível de impacto é a tabela abaixo.
Grau de Impacto escala nível de Impacto
4,51 – 5,00 5 Massivo
3,51 – 4,50 4 Severo
2,51 – 3,50 3 Moderado
1,51 – 2,50 2 Leve
1,00 – 1,50 1 Muito leve
avaliação do tempo de tolerância: Como parte da avaliação do impacto, temos que estimar por quanto tempo o 
processo, a atividade ou a área analisada pode ficar indisponível (“fora do ar”). O importante é avaliar o tempo necessário 
para que o processo volte a ser operacional, mesmo que em condições precárias. Esta escala poderá variar, de acordo 
com as caracteristicas do negócio. A escala de valoração para a tolerância de tempo, como sugestão, é a seguinte:
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
148 
tempo em horas pontuação
até 4 horas 6
Até 1 Dia – 24 horas 5
Até 2 Dias – 48 horas 4
Até 5 Dias – 120 horas 3
Até 10 Dias – 240 horas 2
Mais de 10 Dias – mais de 240 horas 1
11.6.3 matriz de prOcessOs críticOs – bia – busiNess impact aNalysis
O resultado do cruzamento do nível de impacto com o nível de avaliação da tolerância ao tempo é uma matriz, que 
define o nível de criticidade de cada processo/atividade/área, o que determina a escala Crítico, Moderado e Leve. Com 
base nessa matriz o gestor pode determinar a prioridade de implantação, monitoração e alocação de recursos, para a 
gestão de riscos. Temos então três níveis de classificação: 
crÍtIcos (Hot) moderados (Warm) Leves (coLd)
Prioritário: Não pode parar, é 
primordial para as operações 
da empresa e deve possuir 
uma atenção especial dos 
gestores.
Segunda prioridade: 
Possui um nível médio de 
importância para a empresa, 
devendo cada gestor ter 
um senso de urgência no 
tratamento. 
Terceira prioridade: Pode ser 
considerado como suporte 
para processos, atividades 
ou áreas consideradas 
críticas e moderadas. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
149 
Matriz do BIA
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
150 
11.6.4 exemplO de bia de prOcessOs 
n0 macroprocesso processo
relevância do Impacto tolerância de tempo status
Imagem Financeiro Legislação operacional nota média ponderada do impacto nível de impacto nível de tolerância crítico / moderado / Leve
4 3 2 2 11 - - - -
1 Administrativo Contas a Receber 4 5 1 4 41,0 3,73 Severo 5 Crítico
2 Administrativo Contas a Pagar 3 1 3 1 23,0 2,09 Leve 1 Leve
3 Administrativo Recursos Humanos 3 1 2 3 25,0 2,27 Leve 2 Leve
4 Administrativo Marketing 4 2 1 3 30,0 2,73 Moderado 1 Moderado
5 Estoque
Recebimento de 
Materias
4 3 2 4 37,0 3,36 Moderado 3 Moderado
6 Estoque Saída de Materias 5 4 2 5 46,0 4,18 Severo 4 Crítico
7 Vendas
Venda de Produtos/
Serviços
4 4 2 5 42,0 3,82 Severo 6 Crítico
8 Compras
Compra de 
Matéria-prima
4 3 2 4 37,0 3,36 Moderado 4 Moderado
9 Compras
Compra de 
Materiais de 
Escritório
1 1 1 2 13,0 1,18 Muito Leve 1 Leve
10 Operacional
Serviços de 
Mecânica
5 5 1 5 47,0 4,27 Severo 6 Crítico
Identificação dos Processos Críticos
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
151 
Matriz do BIA - Resultado
Nesse exemplo temos processos listados, sendo que quatro foram considerados críticos, três moderados e três 
leves. A priorização da implantação do processo de gestão de riscos e o respectivo monitoramento fica sendo para 
os processos de contas a receber, saída de materiais, vendas de produtos e serviços de mecânica. Nesses quatro 
processos não poderá ter riscos no quadrante vermelho, pois em caso de concretização o impacto será massivo e/ou 
severo. Dessa forma, o gestor – dono do risco (primeira linha de defesa) terá que operacionalizar o processo de gestão 
de riscos e a área de gestão de riscos (segunda linha de defesa) realizará o monitoramento e a auditoria verificará se 
o processo está rodando. Assim, o ciclo fica abrangente e a empresa, protegida.
LEGENDA
cor Quadrante processo
1 Crítico Contas a Receber
6 Crítico Saída de Materias
7 Crítico Venda de Produtos/Serviços
10 Crítico Serviços de Mecânica
4 Moderado Marketing
5 Moderado Recebimento de Materias
8 Moderado Compra de Matéria-Prima
2 Leve Contas a Pagar
3 Leve Recursos Humanos
9 Muito Leve Compra de Materiais de Escritório
152 
12.1 aNálise situaciONal FluxOgrama dO prOcessO: mapear a cONdiçãO de seguraNça 
dO ambieNte em estudO, ideNtiFicar Os cONtrOles e cOmpreeNder O históricO
A identifi cação dos riscos possui seis subfases, todas interligadas e interdependentes, com o objetivo de identifi car 
as principais causas dos riscos versus os processos críticos de cada área.
12.1.1 iNtrOduçãO 
Para possuir uma visão holística e bem-acurada dos riscos e de seus fatores de riscos há a necessidade de realizar 
uma avaliação das condições que estaremos realizando o estudo. Isso signifi ca que pode ser desde um processo, ou 
12. IDENTIFICAÇÃO 
DOS RISCOS 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
153 
um conjunto de processos, ou os processos de um departamento ou até mesmo as condições de controle e segurança 
da empresa. 
A visão holística e bem-acurada dos riscos e de seus fatores de riscos pede que se realize:
a. uma avaliação das condições de segurança do processo ou da área, sendo assim, o gestor deve percorrer o processo, 
com o objetivo de identificar pontos fortes e fracos, que sirvam de fatores para mitigar ou potencializar a concretização 
dos riscos. A visão para identificar fragilidades (pontos fracos) deve ser, sempre, pensando como “burlar” os controles 
existentes. Nessa fase é necessário evidenciar as fragilidades;
b. mapear histórico de ocorrências (caso exista);
c. identificar controles na área.
Os dados para a análise situacional devem ser extraídos a partir de visitas “in loco” na empresa e no percorrer dos 
processos, por meio de entrevistas com gestores, análise de plantas baixas, estudo de normas existentes, seguindo 
os testes:
a. teste de compreensão: permite conhecer o funcionamento dos processos e áreas existentes na empresa, bem como o fluxo 
operacional da unidade.
b. teste de observância: Permite verificar a ação dos processos, controles, normas e sistemas integrados aplicados e utiliza-
dos na empresa. 
Esse estudo das condições deve responder a pelo menos duas perguntas: 
1. O que pode acontecer? Lista de riscos.
2. Como e porque pode acontecer? Causas e Cenários de Riscos.
Podemos utilizar como referência a ferramenta: 2W 1H – What? Why? How?
O processo de conhecer as condições é um diagnóstico que deve responder a pergunta básica: “Qual a situação real da 
empresa, processos e ou departamentos quanto aos seus aspectos de controle e segurança, frente à sua políticade gestão 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
154 
de riscos e aos seus objetivos estratégicos?”. Essa análise deve ser efetuada da forma mais realista possível, pois qualquer 
distorção prejudicará todo o resto do processo de desenvolvimento e implantação de medidas preventivas e mitigatórias. 
Qualquer empresa é inserida em um contexto, em que uma multiplicidade de variáveis e forças pode provocar mudanças 
ou abalar as estruturas organizacionais. Esse contexto, que poderemos chamar de ambiente, varia constantemente e 
deve ser encarado tanto sob o ponto de vista interno como externo.
Sob o ponto de vista da gestão de riscos e da segurança, a variação permanente do ambiente cria oportunidades ou 
ameaças à empresa. O diagnóstico corresponde a uma análise, ou uma fotografia, e possui duas premissas básicas 
que devem ser consideradas:
a. o ambiente em que a empresa está inserida e suas múltiplas variáveis.
b. o ambiente proporciona simultaneamente oportunidades que devem ser usufruídas e as ameaças que devem ser evitadas.
A análise do ambiente interno e externo deve ser integrada e contínua. A empresa deve ter pleno conhecimento de 
seus pontos fortes e fracos para enfrentar as diversas situações, sejam contingenciais, sejam de rotina.
12.1.2 aNálise das variáveis exterNas 
A análise das variáveis externas tem por finalidade estudar a relação existente entre a empresa e seu ambiente, 
em termos de oportunidades e ameaças. Esse estudo já deve ter sido realizado frente aos objetivos estratégicos da 
empresa, no Contexto Estratégico. 
12.1.3 aNálise das variáveis iNterNas
A análise das variáveis internas do processo e ou da empresa tem por finalidade evidenciar as qualidades e as 
deficiências de processos, controles e sistemas que a corporação possui. A visão para a realização desse diagnóstico 
deve ser conjuntural, abrangendo todos os segmentos da organização.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
155 
Quando se inicia o diagnóstico, deve-se ter definido: quais são os processos a serem estudados e quais controles e 
sistemas estão operacionalizados. Sem esses dois parâmetros é difícil avaliar os pontos fortes e fracos de um sistema 
ou processo. Listamos abaixo, a título de exemplo, os itens básicos a serem analisados: 
 1) Cultura dos Funcionários, 2) Turno de Trabalho dos Funcionários, 3) Finalidade da Empresa, 4) Relação Funcionário-
-Empresa, 5) Áreas Físicas, 6) Serviços Contratados, 7) Experiência Anterior, 8) Indenização, 9) Barreira Perimetral,10) 
Segurança de Edifícios, 11) Sistema de Iluminação, 12) Controle de Chaves, 13) Controles, 14) Proteção a Incêndios, 
l5) Corpo de Segurança, 16) Sistemas Integrados, 17) Planos Formalizados Existentes: Segurança, Emergência e de 
Continuidade de Negócios
Listamos outro checklist na área de processos, a título de exemplo:
1. A Empresa aplica algum meio de conciliação das informações das áreas-chave?
2. A Empresa dispõe de unidades de negócio localizadas fora de sua Sede? Elas são convenientemente monitoradas quanto 
a produção, resultados, ambiente, meios, controles, etc.? Como?
3. A Empresa dispõe de estoque para peças e/ou produtos acabados?
4. Quais são os tipos de controles utilizados pelas áreas-chave em suas atividades críticas? (Relatórios, planilhas, etc).
5. A Alta Administração dá a devida atenção aos seus considerados controles internos?
6. Há uma clara estrutura dos papéis e responsabilidades individuais dos colaboradores no contexto da Empresa? (Descrição 
de cargos e o que cada um contempla.)
7. As equipes das áreas estão bem-dimensionadas, considerando, inclusive, os recursos necessários para a boa execução de 
suas atividades?
8. Os colaboradores possuem pleno conhecimento de suas atividades (importância, o que fazem, por que fazem)?
9. A Empresa possui programa de Reciclagem/Treinamentos Esporádicos para com seus colaboradores?
10. Caso sim, qual é a frequência?
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
156 
11. Quais são as ferramentas tecnológicas disponíveis para a execução das atividades da Empresa? 
12. Os recursos de TI atuais atendem às necessidades de execução e controle das atividades/operações da Empresa?
13. Existe um plano de treinamento específico para o usuário dos sistemas de informação? 
14. Existe um plano de instrução de negócios/recuperação de desastre formalizado?
15. Os sistemas dos aplicativos utilizados atendem às necessidades do processo envolvido?
16. Os sistemas dos aplicativos utilizados são vulneráveis a acessos e alterações de dados?
17. Existem procedimentos formalizados para garantir a segurança da informação?
18. São realizados backups periódicos para as atividades/informações críticas do processo?
19. As informações críticas transmitidas interna ou externamente são criptografadas durante o processo?
20. Existe um responsável de segurança de informação a nível executivo?
21. Existem sistemas e controles específicos para captura de dados relativos a eventos de segurança, incluindo todas as fontes 
válidas, por exemplo, nomes de usuários? 
22. Existem procedimentos periódicos de análise desses dados e eventos?
12.2.4 FOrmas de realizar um diagNósticO
A melhor maneira de realizar um diagnóstico é colher as informações em campo, ou seja, olhar o que realmente está 
acontecendo. Há três maneiras de realizar a busca dessas informações:
a. entrevistas 
 as entrevistas, geralmente nos níveis institucional, intermediário e operacional, têm por objetivo conhecer como pensam 
tanto as pessoas que operam, como os usuários do processo.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
157 
b. verificação de documentos
 a verificação de documentos, tais como planos e normas, tem por meta conhecer o que preconizam as condutas e qual é a 
política de riscos da empresa.
c. trabalho de campo
 o trabalho de campo tem por finalidade comparar se o que está escrito e falado, e o que realmente acontece. 
 o ideal é que o diagnóstico possa ser realizado a partir desses três métodos, para garantir uma noção clara e específica 
das reais condições.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
158 
Exemplo de análise situacional voltada para segurança corporativa:
Área descritivo
Segurança Portaria – Guarita
Segurança Segurança – Perimetral
Segurança Ambiente Interno
Segurança Prédio Administrativo
Segurança CD – Galpão
Segurança Docas
Segurança áreas Técnicas
Segurança Central de Segurança
no controle
C1 Grades
C2 Concertinas
no Falha
F1 Sistema de Escoamento de água
F2 Proximidade com morros
F3 Vegetação fechada
F4 Ausência de Cerca Elétrica
F5 Ausência de CFTV no Perímetro
F6
Ausência de Monitoramento da Cabine 
Primária
F7
Proximidade da Cabine Primária com a via 
Pública
F29 Consumo de álcool e Drogas
Análise Situacional – Segurança
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
159 
Exemplo de análise situacional voltada para processos:
Área atividade / descritivo da Área
Cliente Atendimento na loja?
Cliente Sim: acessar a loja para realização do serviço
Vendas
Acessar o sistema e verificar o cadastro do 
cliente
Vendas Possui cadastro?
Vendas Não: realizar o cadastro do cliente no sistema
Vendas Sim: abrir ordem de serviço?
Vendas Informar valores de serviços ao cliente
Vendas Necessário negociar valor?
Vendas
Sim: aplicar valor de desconto 
parametrizado no sistema
Vendas Desconto aceito?
Vendas Sim: imprimir ordem de serviço
Vendas
Não: aplicar desconto de gerente com 
senha individual
VendasDesconto aceito?
Vendas Sim: imprimir ordem de serviço
Vendas Não: aplicar desconto fora da alçada sistema
no controle
C1
Senha e contra senha do gerente regional 
para desconto
no Fator de risco
F3
Conluio entre gerente regional e gerente 
do dia
F7
Ausência das análises de concessões de 
descontos
Análise Situacional – Processo
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
160 
Para complemento da análise situacional é utilizado o desenho do fluxograma do processo, permitindo representar 
graficamente um fluxo de informações de um processo, percorrendo todas as áreas e atividades. 
Após a elaboração do fluxograma do processo, é possivel identificar os gaps e controles existentes para cada 
atividade, melhorando o entendimento das falhas que podem existir em cada atividade.
Exemplo de fluxograma:
Fluxograma do Processo
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
161 
12.2 listagem, deFiNiçãO e classiFicaçãO dOs riscOs
A listagem deve ser realizada por meio de reuniões do tipo brainstorming, levantando tanto os riscos conhecidos 
como os desconhecidos. Os riscos desconhecidos são aqueles que nunca aconteceram no contexto da empresa, 
porém são riscos exequíveis, ou seja, poderão ocorrer. 
téCniCA do brAinstorming
 A equipe deverá possuir um líder, visando direcionar os assuntos. Não deve haver censura e nem hierarquia em 
reuniões desse tipo, visando não inibir a criatividade dos componentes da equipe. Algumas regras são importantes e 
devem ser seguidas: 
1. Expor as ideias com o máximo de espontaneidade, sem exercer autocensura.
2. Todas as ideias são interessantes, mesmo que pareçam “ideias loucas”. São essas, às vezes, as que contêm “algo de novo” 
e com valor.
3. Nenhuma ideia pode ser contestada ou debatida durante o “brainstorming”.
4. Quando um participante tiver uma ideia a apresentar, sugerida por outra já exposta por alguém, terá prioridade sobre os demais.
5. Importante é a quantidade das ideias apresentadas. 
Em geral, pela nossa experiência, o número de reuniões pode chegar a três, desde que os participantes da equipe 
façam suas lições de casa. Estudar as questões relativas aos riscos corporativos de suas empresas. A duração de 
cada reunião de “brainstorming” deve ser no máximo de uma hora e trinta minutos. Além desse tempo, ficam ineficazes, 
sem rendimento. 
Ao final das reuniões, deverá haver um consenso, por parte da equipe multidisciplinar, nos riscos levantados. Após 
a listagem, os riscos devem ser definidos e após classificados, devem aderir ao negócio da empresa.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
162 
A classificação auxilia a organização a ter visão do portfólio dos riscos, na medida em que agrupa-os de acordo 
com suas principais causas. Cabe destacar que a classificação está relacionada à origem/natureza do risco e 
não ao seu impacto. 
As categorias são divididas nos seguintes itens:
• Estratégicos: Os riscos estratégicos estão associados à tomada de decisão, tanto da diretoria executiva como do conselho, 
e podem gerar perda substancial para a empresa. Exemplos: diminuição de demanda do mercado por produtos e serviços 
da empresa; uma grande iniciativa falha, clientes abandonam a marca, um concorrente surge de forma agressiva, a marca 
perde força, o setor torna-se zona de lucro zero, entre outros.
• Operacionais: Os riscos operacionais estão associados à possibilidade de ocorrência de perdas (de produção, ativos, 
clientes, receitas) resultantes de falhas, deficiências ou inadequação de processos internos, pessoas e sistemas, 
assim como de eventos externos como catástrofes naturais, fraudes, greves e atos terroristas. Os riscos operacionais 
geralmente acarretam redução, degradação ou interrupção, total ou parcial, das atividades, com impacto negativo na 
reputação, além da potencial geração de passivos contratuais, regulatórios e ambientais. Exemplos: falhas em aspectos 
lógicos do processamento eletrônico de dados e de telecomunicações, inadequação de aspectos físicos da estrutura 
logística e tecnológica, atos realizados intencionalmente ou não, que possam prejudicar o funcionamento e/ou causar 
impacto financeiro, overload de sistemas e estruturas, obsolescência, erro não intencional, fraudes, entre outros.
• Legal/Conformidade: Relacionadas inobservância de dispositivos legais ou regulamentares, à mudança na legislação ou, ain-
da, ao descumprimento de contrato. Exemplos: ações ajuizadas pela empresa ou contra ela, inadequação formal de contrato, 
a interpretação de suas cláusulas e sua conformidade com legislação pertinente, interpretação indevida da legislação, código 
de ética e outros regimentos internos, entre outros.
• Financeiro: Relacionadas com a gestão e controle ineficazes dos meios financeiros da organização e com efeitos dos 
fatores externos. Exemplo, disponibilidade de crédito, taxas de câmbio, movimento das taxas de juros e outro tipo de 
orientações do mercado.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
163 
Exemplo de listagem de riscos para Segurança:
riscos descrições classificação
Vandalismo
É a ação motivada pela hostilidade contra 
a propriedade ou destruição intencional de 
bens e depredação do patrimônio
Operacional
Furto de veículos
O risco está relacionado ao próprio veículo 
dentro do estacionamento 
Operacional
Furto de pertences 
pessoais
Risco está relacionado a subtração de 
pertences pessoais em locais como 
administração ou áreas comuns devido à 
ausência de monitoramento de imagens
Operacional
Sabotagem na cabine 
primária
Risco está relacionado ao desligamento ou 
deixar sistemas inoperantes com intenção de 
prejudicar a operação fabril
Operacional
Desvio de mercadoria
Risco está relacionado ao desvio de 
mercadoria a fim de obter vantagem de 
forma ilícita
Operacional
Roubo de carga
Risco está relacionado a ação de meliantes 
armados para roubo de carga
Operacional
Listagem de Riscos – Segurança
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
164 
Exemplo de listagem de riscos para Processo:
riscos descrições classificação
Concessão indevida 
de desconto
Risco relacionado à liberação de descontos 
para clientes que não atendam ou não 
possuam perfil adequado para o desconto ou 
por erros nas análises realizadas pelo setor 
administrativo da empresa
Operacional
Venda sem estoque 
físico
Risco relacionado à efetivação de uma 
venda sem estoque possuir o equipamento 
fisicamente
Operacional
Favorecimento de 
clientes
Risco relacionado a efetuar venda a clientes 
que não possuam nome regular nos órgãos 
de proteção
Operacional
Análise financeira 
equivocada
Risco relacionado à realização de análise 
financeira incorreta decorrente da falta de 
informação sobre particularidade do cliente
Operacional
Não ser cumprido o 
prazo de entrega de 
mercadoria para o 
cliente
Não comprimento do calendário de entrega 
para o cliente, ocasionando protesto e 
insatisfação do cliente
Operacional
Listagem de Riscos – Processo
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
165 
12.3 ideNtiFicaçãO dOs FatOres de riscOs
Os fatores de riscos são na realidade a origem e/ou causa de cada evento identificado em cada processo ou área. 
Para compreender o risco e a soma de todos os fatores identificados, existe a necessidade de dissecar o evento ou 
ameaça. O Diagrama de Causa e Efeito (diagrama de Ishikawa ou Espinha de Peixe) é utilizada para o entendimento 
dos fatores que influenciam a concretização de cada risco.
Essa técnica é uma anotação simplespara identificar fatores que causam o evento analisado. Em 1953, o Professor 
Karou Ishikawa, da Universidade de Tóquio, Japão, sintetizou as opiniões dos engenheiros de uma fábrica na forma 
de um diagrama de causa e efeito, enquanto eles discutiam problemas de qualidade. O diagrama bem-detalhado 
apresenta a forma de uma espinha de peixe. 
Para compreender o risco e o cenário no qual ele está inserido, é importante considerar os diversos fatores que 
impactam os processos e as áreas da empresa. Nesse contexto, foi adaptado o diagrama de causa e efeito da 
qualidade para a área de Gestão de Riscos, conforme macrocausas abaixo:
• Processo: Influência da existência de processos, políticas, normas e procedimentos para a materialização do risco.
• Pessoas: Influência do nível da equipe envolvida, considerando-se perfil e qualificação, para a materialização do risco, bem 
como do nível de relacionamento dos colaboradores e da empresa.
• Tecnologia: Influência dos sistemas de informação utilizados pela empresa para a materialização do risco.
• Infraestrutura: Influência da existência de recursos físicos e sistemas eletrônicos para a materialização do risco.
• Ambiente Externo: Influência das variáveis externas incontroláveis para a materialização do risco.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
166 
 Exemplo de diagrama de causa e efeito:
Macrocausas
Ressaltamos que para cada riscos identificado existe a necessidade da elaboração de um diagrama de causa e 
efeito específico. Se estivermos estudando 10 riscos em um determinado processo ou área, teremos que elaborar 10 
diagramas de causa e efeito.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
167 
Exemplo: Roubo de Carga
Pessoal
Ausência de treinamento 
do efetivo de segurança
ProcessoInfraestrutura
Ausência de grades 
roubo de carga
Ausência de normas e 
procedimentos de rotina
Ausência de política 
de segurança
Ausência do botão 
de pânico
Ausência de CFTV 
no perímetro
Vegetação fechada
Ausência de central 
de segurança
Ausência de sensor de 
porta de emergência
Ausência de CFTV no 
entorno do galpão
Alto índice de criminalidade
Crime organizado
Receptação
Ambiente ExternoTecnologia
Diagrama de Causa e Efeito – Segurança
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
168 
Exemplo: Favorecimento de Clientes
Pessoal
Ausência de treinamentos 
periódicos
ProcessoInfraestrutura
Favorecimento 
de clientes
Ausência das análises de 
concessões de descontos
Ausência de controle 
sistêmico
Conluio entre gerente 
regional e gerente da loja
Ambiente ExternoTecnologia
Ausência de bloqueio 
sistêmico para o cliente 
com restrição de crédito
Ausência de comprovação 
do cliente x solicitante
Diagrama de Causa e Efeito – Processo
12.4 ideNtiFicaçãO da mOtricidade - swOt
Após a identificação dos vários fatores de riscos, é necessário enxergar estrategicamente quais são os fatores comuns a 
todos os riscos e quais são os mais motrizes, ou seja, quais são os que podem de fato potencializar os riscos analisados.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
169 
Para identificar a criticidade dos fatores de riscos utilizamos a Matriz SWOT, conhecida para identificar os pontos 
fracos, fortes, oportunidades e ameaças do contexto empresarial. A ferramenta é a Matriz SWOT – FOFA, que 
em inglês significa Strengths – Weaknesses – Opportunities – Threats, e em português – Força – Oportunidade – 
Fraqueza – Ameaça.
A avaliação das Forças e Fraquezas diz respeito às condições dos nossos controles e nível de operacionalização, são 
processos sobre os quais a empresa possui domínio de ação e decisão. São os chamados Fatores de Riscos Internos 
ou variáveis internas, podendo ser negativas (Fraquezas) ou positivas (Forças). Os fatores de riscos considerados 
incontroláveis dizem respeito à ambiência externa, podendo ser negativas (Ameaças) ou positivas (Oportunidades). 
Para identificar a motricidade dos fatores de riscos são utilizados dois critérios de avaliação: Magnitude e Importância.
magnitude significa o tamanho ou grandeza que a variável ou evento possui perante o contexto empresarial. Caso 
aconteça, positiva ou negativamente, o quanto ela vai influenciar no contexto como um todo. A magnitude é ranqueada, 
utilizando-se uma pontuação, que varia de -3 a 3, dentro do seguinte parâmetro: 
• 3 (alto);
• 2 (médio);
• 1 (baixo) para cada elemento positivo (força ou oportunidade); e 
• -1 (baixo);
• -2 (médio);
• -3 (alto) para cada variável negativa (fraqueza e ameaça).
Como parâmetro para avaliar a magnitude nas células de fraqueza e ameaça, é levado em consideração o número de 
vezes que as variáveis aparecem no diagrama de causa e efeito. 
Caso um fator de risco apareça 5 (cinco) vezes em 6 (seis) riscos identificados, significa que essa variável possui 
“alta” magnitude.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
170 
Importância significa a prioridade que essa variável deve possuir perante o contexto do empresarial. É uma nota 
subjetiva com base na experiência do gestor e da equipe que está avaliando o cenário. Para análise da importância, 
utilizamos 3 níveis de pontuação:
• 3 (muita importância);
• 2 (média importância);
• 1 (pouca importância).
Para criar um ranking dos itens em cada célula da Matriz, multiplicamos a avaliação da magnitude e da importância. 
Os fatores de riscos com maior pontuação negativa são considerados motrizes, pois podem influenciar diretamente os 
riscos identificados. 
 
Matriz SWOT/FOFA
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
171 
A Matriz SWOT/FOFA demonstra o conjunto de fatores de riscos (Fraquezas e Ameaças), e seus pontos fortes e 
oportunidades. Com essa fotografia, o gestor enxergará seus pontos de maior fragilidade. Se formos observar sob o 
ponto de vista das fraquezas e ameaças contidas na Matriz, podemos afirmar que a Matriz SWOT é um resumo de todos 
os diagramas de causa e efeito, sem repetir os fatores já listados.
Ponto importante na Matriz SWOT/FOFA é que as fraquezas são oriundas dos diagramas de causa e efeito, são os 
resumos dos fatores de riscos que cada área possui. As ameaças são as variáveis incontroláveis do ambiente externo, 
também oriundas do diagrama de causa e efeito. As variáveis negativas (fraquezas e ameaças) da Matriz SWOT/FOFA 
são o resumo dos vários diagramas de causa e efeito, sendo a base para a elaboração do Plano de Ação. A Matriz é 
uma ferramenta de gestão, que possibilita fácil interpretação das principais deficiências e quais são as possibilidades 
de reversão da situação existente. 
A Matriz SWOT/FOFA adaptada para a gestão de riscos permite visualizar o todo, enquanto que o diagrama de causa 
e efeito visualiza somente o risco analisado.
Exemplo – Segurança:
Fraquezas
Item magnitude Importância total
Ausência de central de segurança -3 3 -9
Ausência de CFTV em pontos estratégicos -3 3 -9
Ausência de endomarketing -3 3 -9
Ausência de normas e procedimentos -3 3 -9
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
172 
Fraquezas
Item magnitude Importância total
Ausência de operador de monitoramento -3 3 -9
Ausência de pesquisa de satisfação dos colaboradores -3 3 -9
Ausência de política de segurança -3 3 -9
Ausência de processo de ronda -3 3 -9
Ausência de responsável pelo CFTV -3 3 -9
Ausência de análise vídeo inteligente -3 3 -9
Ausência de vigilante em pontos/processos específicos -3 3 -9
Baixaqualidade de iluminação -3 3 -9
Baixa qualidade das imagens -3 3 -9
Consumo de álcool e entorpecente -3 3 -9
Insatisfação de colaboradores e terceiros -3 3 -9
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
173 
Fraquezas
Item magnitude Importância total
Portas/portões abertos -3 3 -9
Janelas frágeis -2 3 -6
Ausência de controle de acesso -1 3 -3
Ausência de proteção perimetral do depósito -1 3 -3
Desvio de função -1 3 -3
Efetivo de segurança insuficiente -1 3 -3
Conluio de colaboradores e terceiros -1 2 -2
Gradil frágil -1 2 -2
ameaças
Item magnitude Importância total
Criminalidade -2 3 -6
Ação do sindicato -1 3 -3
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
174 
ameaças
Item magnitude Importância total
Atratividade do produto -1 3 -3
Crime organizado -1 3 -3
Distúrbios psicológicos -1 3 -3
Grupos de redes sociais -1 3 -3
Insatisfação de clientes -1 3 -3
Política -1 3 -3
Torcida organizada -1 3 -3
Trote -1 3 -3
Consumo de álcool -1 -2 -2
Consumo de drogas -1 -2 -2
Proximidade de comunidades carentes -1 -2 -2
Matriz SWOT/FOFA – Fraquezas e Ameaças – Segurança
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
175 
Exemplo – Processo:
Fraquezas
Item magnitude Importância total
Ausência das análises de concessões de descontos -2 3 -6
Ausência de bloqueio sistêmico para cliente com restrição 
de crédito
-2 2 -4
Ausência de comprovação do cliente x solicitante -1 3 -3
Ausência de controle sistêmico -3 3 -9
Ausência de produtos em estoque -2 3 -6
Ausência de treinamentos periódicos -3 3 -9
ameaça
Item magnitude Importância total
Conluio entre gerente regional e gerente de loja -2 3 -6
Matriz SWOT/FOFA – Fraquezas e Ameaças – Processo
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
176 
12.5 matriz – magNitude x impOrtâNcia
Ao observarmos a Matriz SWOT/FOFA acima podemos notar que a prioridade é atribuída levando em consideração o 
critério das numerações mais altas e negativas, possibilitando que os gestores criem rankings para suas ações.
Com base na pontuação de magnitude e importância dada para cada fator de risco de fraqueza, podemos apresentar o 
resultado em forma de uma matriz que possibilita visualizar a criticidade de cada fator, conforme apresentado a seguir.
O resultado do cruzamento da magnitude com a importância define o nível de criticidade do fator de risco, ou seja, 
vermelho, laranja ou verde. Com base nessa matriz o gestor pode determinar a prioridade de tratamento do fator de 
risco, sempre considerando como primeiro nível o vermelho, segundo nível o laranja e o terceiro nível o verde.
Isto significa que os fatores plotados no quadrante verde possuem baixa relevância e ou motricidade, não possuindo 
uma relação custo beneficio boa de investimento. Ou seja não compensa investir em controles para anular esses 
fatores de riscos, pois estes so iram “enxugar gelos”. Possuem baixa relevância. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
177 
F16 F17 F18 F19 F20 F21 F22 
F23 F24 F25 F26
F06 F 07 F08 F09 F10 F01 F02 F03 F04 F05 
F27 F28 F11 F12 F13 F14 F15 
IM
P
O
R
T
Â
N
C
IA
Ba
ix
a
M
éd
ia
A
lta
Baixa Média Alta
MAGNITUDE
Matriz Magnitude x Importância
O ponto focal seria os fatores de riscos plotados no quadrante vermelho, para o gestor realizar investimento em 
controles ou sistemas de segurança. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
178 
12.6 matriz de impactO cruzadO
Utlizada apenas para riscos estratégicos. A matriz de impactos cruzados (MIC) verifica a dependência e a motricidade 
que os riscos possuem sobre outros riscos, ou que fatores de riscos possuem sobre outros fatores, é utilizada a Matriz 
de Impacto Cruzado, utilizando os seguintes critérios para avaliação:
Impacto cruzado
nível de relevância pontuação
Alto 3
Médio 2
Baixo 1
Não existe relevância 0
O resultado do cruzamento entre a Dependência e a Importância gera a Matriz de Impacto Cruzado. A Matriz de 
Impacto Cruzado é elaborada a partir do ponto das notas atribuídas para dependência e o ponto médio das notas 
atribuídas para importância.
A Matriz de Impacto Cruzado possui os seguintes quadrantes:
• Quadrante I – Ligação: Riscos ou Fatores que influenciam outros quadrantes, sofrem influência do quadrante motriz e se 
influenciam entre si.
• Quadrante II – Motriz: Riscos ou Fatores que influenciam na concretização dos demais sem sofrerem influências.
• Quadrante III – Dependente: Riscos ou Fatores que apenas sofrem influências.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
179 
• Quadrante IV – Independente: Riscos ou Fatores que não influenciam na concretização dos demais e também não sofrem 
influências.
Obs.: A explicação conceitual foi dada no capitulo 2, item 2.4 - Interconectividade entre riscos.
Esta matriz possui de especial a influência da ocorrência de um Fator de Riscos ou de um risco sobre a probabilidade 
de outros ocorrerem, definindo esta influência como impacto. Pode-se então elaborar a matriz de motricidade versus 
dependência. Para tanto, basta calcular os pontos médios de motricidade e de dependência, aplicando as fórmulas 
a seguir, e construir o gráfico, onde o eixo dos x corresponde aos valores de dependência e o eixo dos y aos da 
motricidade. 
 vm + vm pm = ponto médio da motricidade
 pm = ____________ vm = valor mais alto de motricidade
 2 vm = valor mais baixo da motricidade
 vd + vd pd = ponto médio da dependência
 pd = ____________ vd = valor mais alto da dependência
 2 vd = valor mais baixo da dependência
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
180 
Matriz de Motricidade X Dependência
As variáveis motrizes (quadrante II) são as que condicionam o restante do sistema. Já as variáveis de ligação 
(quadrante I) são muito motrizes, mas têm grande dependência das demais. São as que fazem a ligação entre 
as variáveis motrizes e as dependentes (quadrante III). Por sua natureza instável, qualquer ação sobre elas terá 
repercussão sobre as outras e um efeito de retorno sobre si próprio que virá ampliado ou atenuado em função da 
impulsão inicial. 
As variáveis dependentes (quadrante III) são pouco motrizes e muito dependentes, seu comportamento é explicado 
pelo das variáveis motrizes e de ligação. Já as variáveis independentes (quadrante IV) são aquelas pouco motrizes e 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
181 
pouco dependentes. São geralmente tendências de peso ou fatores relativamente desligados do sistema, e que não 
constituem determinantes do futuro, podendo ser excluídas da análise.
emPrego dA mAtriz de imPACtos CruzAdos
Segue abaixo a motricidade e a dependencia de fatores de riscos da cidade do Rio de Janeiro, no que tange a 
criminalidade.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
182 
Exemplo: Matriz de Impacto Cruzado
Legenda: 1. Baixo Nível de Escolaridade; 4. Elevada carga tributária; 5. Desigualdade social; 6. Exclusão social; 
7. Corrupção policial; 8. Corrupção no judiciário; 10. Inteligência Policial; 11. Legislação Brasileira; 13. Sistema 
Carcerário; 14. Violência Urbana; 15. Facções Criminosas estruturação do crime como empresa; 16.Facções Criminosas: 
assistencialismo; 17. Valores éticos e morais nas empresas; 20.Estruturação das milícias em função da inoperância 
do Estado.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
183 
Os pontos médios de motricidade e dependência foram: 
•	 Ponto	Médio	de	Motricidade:	PMM	=	(39	+	20)	/	2	=	29,5
•	 Ponto	Médio	de	Dependência:	PMD	=	(37	+	3)	/	2	=	20
O resultado do Gráfico de Motricidade x Dependência foi:
Matriz Motricidade x Dependência
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
184 
interPretAção
Podemos concluir como alta instabilidade os cenários para a cidade do Rio de Janeiro, tendo em vista que existem 
quatro riscos que são de ligação, ou seja, qualquer ação sobre estes riscos terá uma repercussão sobre os demais. 
A instabilidade significa que os atores deverão agir nos riscos plotados no quadrante de ligação. O resultado poderá 
ser dependente do tipo de ação, tanto positivo como negativo. São cenários de alta volatilidade, tendo solução de curto 
prazo. As ações estratégicas das empresas devem ser no sentido de influenciar o combate da corrupção policial, no 
judiciário, mudar o “status quo” da legislação brasileira e da violência urbana.
Ou seja, não adianta tratar os riscos plotados no quadrante III, se os plotados no quadrante II não tiverem sido 
tratados. O resultado será apenas “enxugar gelo”. 
185 
13.1 iNtrOduçãO 
Entende-se por risco inerente a avaliação dos riscos sem considerar a existência dos controles ou sistemas de segurança. 
A análise de riscos visa promover o entendimento do nível de risco e de sua natureza, auxiliando na defi nição 
de prioridades e opções de tratamento aos riscos identifi cados. Por meio dela, é possível saber qual a chance, a 
probabilidade dos riscos virem a acontecer e calcular seus respectivos impactos nos processos da empresa.
Os riscos são avaliados de maneira qualitativa (subjetiva), ou seja, utiliza critérios preestabelecidos com uma escala 
de valoração para a determinação do nível do risco. A metodologia a ser utilizada para a avaliação de riscos possui 
dois parâmetros claros a serem analisados:
13. ANÁLISE E 
AVALIAÇÃO 
DE RISCOS – 
INERENTE
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
186 
a. saber qual a chance, a probabilidade, de os riscos virem a acontecer, frente à condição existente de cada processo e 
área de negócio;
b. calcular o impacto caso seja, concretizado o risco.
13.2 prObabilidade x impactO
13.2.1 determiNaçãO dO Nível de prObabilidade
A probabilidade do risco é calculada por meio de três critérios, sendo que cada um deles possuirá um peso diferenciado, 
tendo em vista seu grau de importância. Os critérios de probabilidade podem ser:
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
187 
Critérios de Probabilidade
Estes pesos podem e devem ser adaptados, de acordo com as características de cada instituição.
segurança / controle: é avaliada a questão dos fatores de riscos (diagrama de causa e efeito) e controles identificados 
na análise situacional. Quanto maior a nota, pior é a condição de segurança e dos controles.
segurança / controle
critério pontuação
Muito ruim 05
Ruim 04
Média 03
Boa 02
Muito boa 01
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
188 
Frequência / exposição: é a frequência que o risco costuma manifestar na empresa ou em empresas similares, 
podendo levar em consideração históricos internos ou externos (empresas similares).
Frequência / exposição
critério pontuação
Diário 05
Quinzenal 04
Mensal 03
Anual 02
Eventual 01
Intervalo: É avaliada a questão da frequência de avaliação/auditoria e revisão dos controles nos processos, 
procedimentos e revisão do próprio processo. Quanto maior é o intervalo, maior é sua fragilidade.
Intervalo
critério pontuação
Não realiza revisão 05
Bienal 04
Anual 03
Semestral 02
Trimestral 01
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
189 
O Nível de Probabilidade (Pb) é o resultado da média ponderada dos três critérios de probabilidade (multiplicação do 
peso vezes a nota, dividido pela soma dos pesos), conforme demonstrado abaixo:
O nível de probabilidade possui a seguinte classificação:
Grau de probabilidade escala nível de probabilidade
4,51 – 5,00 5 Elevada
3,51 – 4,50 4 Muito Alta
2,51 – 3,50 3 Alta
1,51 – 2,50 2 Média
1,00 – 1,50 1 Baixa
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
190 
13.2.2 determiNaçãO dO Nível de impactO
Para mensurar o impacto, não devemos levar em consideração somente a questão financeira. Com o objetivo de o 
gestor obter uma visão holística do impacto existe a necessidade de projetar todas as consequências que os riscos 
causam. Utilizaremos o mesmo critério adotado para identificar o processo crítico. Cada fator de impacto terá um peso 
diferenciado, tendo em vista seu grau de importância. Cada critério de impacto possui um peso e também uma nota 
de valoração, tendo em vista o nível de consequência. O objetivo é a obtenção de uma Média Ponderada, equalizando, 
dessa forma, o Nível de Impacto. Os critérios de impacto podem ser:
Critérios de Impacto
Fica claro que estes pesos são sugestões, podendo/devendo serem adaptados, de acordo com as caracteristicas 
de cada instituição.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
191 
Cada fator de impacto possui a seguinte tabela: 
Imagem pontuação
Repercussão prolongada ou não na mídia internacional: Possível boicote aos 
serviços, manifestações de massa. Preocupação pública/da mídia/política 
nacional e internacional. Restrição ou revogação de uma ou múltiplas licenças 
de funcionamento. Também tende a mobilizar grupos de ação. Atenção para 
reações de sindicatos de trabalhadores e de rede sociais e possíveis greves de 
funcionários. Impacto sobre o preço das ações/avaliação de crédito. Viabilidade 
financeira ameaçada. Repercussão internacional no ambiente organizacional.
05
Repercussão nacional: Preocupação pública/ da mídia/ política nacional. 
Repercussões junto a autoridades governamentais e representantes de nível 
nacional e/ou regional; possibilidade de medidas restritivas à organização. 
Restrição ou revogação de uma ou múltiplas licenças de funcionamento. Também 
tende a mobilizar grupos de ação. Atenção para possíveis reações de sindicatos 
de trabalhadores e de redes sociais. Repercussão nacional no ambiente 
organizacional.
04
Repercussão regional: Preocupação pública/da mídia/política dentro do estado. 
Pode haver envolvimento adverso de grupos de ação e/ou do governo local. 
Atenção para possíveis reações de sindicatos de trabalhadores e de redes sociais. 
Repercussão local no ambiente organizacional.
03
Repercussão local: Envolve algum interesse público local do munícipio e/ou alguma 
atenção política local e/ou mídia local, com possíveis aspectos adversos para as 
operações. Repercussão limitada no ambiente organizacional.
02
Sem repercussão: Situações nas quais não há o conhecimento do público, mas 
não existe interesse público. A ocorrência não ultrapassa os limites internos da 
organização e/ou de suas unidades.
01
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
192 
Financeiro pontuação
Massivo: Acima de R$ 300.000,00 05
Crítica: De R$ 150.000,00 a R$ 300.000,00 04
Grave: De R$ 100.000,00 a R$ 150.000,00 03
Moderada: De R$ 50.000,00 a R$ 100.000,00 02
Leve: Até R$ 50.000,00 01
operacional pontuação
Massivo:Impacta outros processos muito fortemente. 05
Severo: Impacta outros processos de forma direta. 04
Moderado: Impacta levemente outros processos. 03
Leve: Impacta somente o próprio processo. 02
Insignificante: Não impacta nada. 01
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
193 
Legal pontuação
Massiva: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo descumprimento nos procedimentos 
ou legislação e ainda em que não há argumentos e provas para inibir a aplicação 
de multas ou pagamentos de indenizações, havendo também possibilidade da 
suspensão das atividades da empresa e prisão de empregados. Uma ou múltiplas 
ações judiciais e multas de valor alto. Ação judicial muito séria, incluindo ações 
populares. Encerramento legal das operações.
05
Crítica: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo descumprimento dos procedimentos 
ou legislação e ainda em que não há argumentos e provas para inibir a aplicação 
de multas ou pagamentos de indenizações.
04
Graves: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, havendo pequenas falhas nos procedimentos 
ou legislação e ainda em que há argumentos e provas para inibir parcialmente a 
aplicação de multas ou pagamentos indenizações.
03
Moderada: Questões legais em que há possibilidade de abertura de fiscalização/
investigação/processo na empresa, porém há argumentos e provas contundentes 
para inibir a aplicação de multas ou pagamento de indenizações.
02
Leve: Questões legais sem qualquer impacto. 01
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
194 
O nível de impacto é o resultado da soma dos resultados de cada fator de impacto (multiplicação do peso versus a 
nota), dividido pela soma dos pesos, conforme demonstrado abaixo:
O nível do impacto possui a seguinte classificação:
Grau de impacto escala nível de impacto
4,51 – 5,00 5 Massivo
3,51 – 4,50 4 Severo
2,51 – 3,50 3 Moderado
1,51 – 2,50 2 Leve
1,00 – 1,50 1 Muito leve
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
195 
Exemplo – Segurança:
no processo riscos
probabilidade relevância de Impacto
Fr
eq
uê
nc
ia
 /
 e
xp
os
iç
ão
s
eg
ur
an
ça
In
te
rv
al
o
n
ot
a 
x 
p
es
o
média 
ponderada da 
probabilidade
nível de 
probabilidade
Im
ag
em
Fi
na
nc
ei
ro
Le
gi
sl
aç
ão
o
pe
ra
ci
on
al
n
ot
a 
x 
p
es
o
média 
ponderada 
do impacto
nível do 
impacto
4 5 3 12 4 3 2 2 11
1 Segurança Vandalismo 3 5 5 39,00 4,33 Muito Alta 3 2 1 3 26,00 2,36 Leve
2 Segurança Furto de veículos 2 5 5 36,00 4,00 Muito Alta 3 3 2 4 33,00 3,00 Moderado
3 Segurança Furto de pertences pessoais 4 5 5 42,00 4,67 Elevada 2 2 1 4 24,00 2,18 Leve
4 Segurança Sabotagem na cabine primária 2 5 5 36,00 4,00 Muito Alta 5 5 3 5 51,00 4,64 Massivo
5 Segurança Desvio de mercadoria 4 5 5 42,00 4,67 Elevada 3 5 2 4 39,00 3,55 Severo
6 Segurança Roubo de carga 2 5 5 36,00 4,00 Muito Alta 3 5 4 4 43,00 3,91 Severo
Análise de Riscos Inerentes – Segurança
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
196 
Exemplo – Processo:
no macroprocesso processo riscos
probabilidade relevância de Impacto
Fr
eq
uê
nc
ia
 /
 e
xp
os
iç
ão
s
eg
ur
an
ça
In
te
rv
al
o
n
ot
a 
x 
p
es
o
média 
ponderada da 
probabilidade
nível de 
probabilidade
Im
ag
em
Fi
na
nc
ei
ro
Le
gi
sl
aç
ão
o
pe
ra
ci
on
al
n
ot
a 
x 
p
es
o
média 
ponderada 
do impacto
nível do 
impacto
4 5 3 12 4 3 2 2 11
1 Vendas Vendas de produto Concessão de desconto indevida 3 5 5 52,00 4,33 Muito Alta 3 4 1 3 32,00 2,91 Moderado
2 Vendas Vendas de produto Venda sem estoque físico 3 5 5 52,00 4,33 Muito Alta 4 4 2 4 40,00 3,64 Severo
3 Vendas Vendas de produto Favorecimento de clientes 4 5 5 56,00 4,67 Elevada 3 4 1 3 32,00 2,91 Moderado
4 Vendas Vendas de produto Análise financeira equivocada 2 5 5 48,00 4,00 Muito Alta 3 3 2 5 35,00 2,18 Moderado
5 Vendas Vendas de produto
Não ser cumprido o prazo de 
entregra de mercadoria para o 
cliente
4 5 5 56,00 4,67 Elevada 4 3 3 5 41,00 3,73 Severo
Análise de Riscos Inerentes - Processo
13.3 matriz de riscOs
A avaliação de riscos visa comparar os níveis de riscos em relação aos critérios preestabelecidos. A relevância 
dos riscos possui como parâmetro a matriz de riscos e o seu resultado é o grau de criticidade do risco, ou seja, é a 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
197 
priorização que a empresa deve utilizar para tratar cada risco, frente ao seu apetite ao risco. A matriz é dividida em 
quadrantes e para cada quadrante existe uma estratégia de tratamento e priorização. 
A matriz de riscos demonstra os pontos de cruzamento (horizontal e vertical) da probabilidade de ocorrência e do 
impacto. Quanto maior for a probabilidade e o impacto de um risco, maior será o nível do risco. 
P
ro
b
a
b
il
id
a
d
e
5
EL
EV
AD
A
4
M
U
IT
O
 
AL
TA
3 AL
TA
2
M
ÉD
IA
1
B
AI
XA
MUITO LEVE LEVE MODERADO SEVERO MASSIVO
1 2 3 4 5
Impacto
Matriz de Riscos
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
198 
Para cada quadrante da Matriz de Riscos, temos as seguintes classificações e priorizações de tratamento: 
• Quadrante I (Vermelho): Os riscos existentes no quadrante I são aqueles que têm alta probabilidade de ocorrência e 
poderão resultar em impacto extremamente severo, caso ocorram. Exigem a implementação imediata das estratégias de 
proteção e prevenção, ou seja, ação imediata. Ações de 0 a 30 dias.
• Quadrante II (Laranja): Localizam-se ameaças que poderão ser muito danosas à organização, podendo possuir tanto baixa 
probabilidade e alto impacto como baixo impacto e alta probabilidade. Essas ameaças devem possuir respostas rápidas, 
que para isso devem estar planejadas e testadas em um plano de contingência, emergência, continuidade de negócios, 
além de ações preventivas. A diferença do quadrante I é que as ações podem ser implementadas com mais tempo. São 
riscos que devem ser constantemente monitorados. Ações de 0 a 90 dias.
• Quadrante III (Amarelo): Localizam-se os riscos com alta probabilidade de ocorrência, mas que causam consequências 
gerenciáveis à organização. Os riscos classificados nesse quadrante devem ser monitorados de forma rotineira e sistemáti-
ca, podendo também possuir planos de emergência. Ponto de monitoramento 1 vez a cada 60 dias.
• Quadrante IV (Verde): Os riscos classificados no quadrante IV possuem baixa probabilidade e pequeno impacto, repre-
sentando pequenos problemas e prejuízos. Esses riscos somente devem ser gerenciados e administrados, pois estão na 
zona de conforto. Ponto de monitoramento 1 vez a cada 90 dias.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
199 
Exemplo: 
P
ro
b
a
b
il
id
a
d
e
5
EL
EV
AD
A 03 05
4
M
U
IT
O
 
AL
TA
01 02 06 04
3 AL
TA
2
M
ÉD
IA
1
B
AI
XA
MUITO LEVE LEVE MODERADO SEVERO MASSIVO
1 2 3 4 5
Impacto
Matriz de Riscos Inerentes
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
200 
13.4 Nível de riscOs
Após a finalização da etapa para determinar a criticidade de cada risco, deve ser elaborado o Nível do Risco do 
Processo e/ou área. O Nível do Risco é um índice que deve ser calculado sempre que houver a avaliação de riscos, 
geralmente semestralmente, possibilitandomensurar o grau de riscos dos processos ou das áreas analisadas, visando 
facilitar o monitoramento e o acompanhamento da evolução dos riscos. Para calcular o Nível de Risco, é necessário 
utilizar as variáveis já identificadas na etapa anterior de Avaliação de Riscos – Grau de Probabilidade (GP) e Impacto (I), 
conforme metodologia de cálculo abaixo:
Nível de Risco = Média do GP x Média do I
Para identificarmos o Nível de Risco (Média GP x Média I) é necessário utilizar a tabela de conversão a seguir:
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
201 
nível de risco escala Quadrante tratamento
1 a 5 1
Quadrante IV 
(Verde)
áreas ou departamentos que estão na 
zona de conforto, devendo ser gerenciadas 
e administradas.
5,1 a 10 2
Quadrante III 
(Amarelo)
áreas ou departamentos com algo grau de 
riscos, mas que causam consequências 
gerenciáveis à organização. Essas áreas ou 
departamentos devem ser monitoradas de 
forma rotineira ou sistemática.
10,1 a 15 3
Quadrante II 
(Laranja)
áreas ou departamentos que devem 
receber tratamento em médio e curto 
prazos. Possuem cruzamento do grau 
de risco com médio e grande nível de 
riscos e elevados impactos. São áreas 
ou departamentos que devem ser 
constantemente monitoradas.
15,1 a 25 4
Quadrante I 
(Vermelho)
áreas ou departamentos que têm alto 
grau de risco e poderão resultar em 
impacto extremamente severo. Exigem 
implementação imediata das estratégias 
de proteção e prevenção, ou seja, ação 
imediata.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
202 
É importante ressaltar que quanto maior o nível do risco, maior sua criticidade para o processo.
O Nível de Risco é utilizado para determinar seu apetite ao risco; dessa forma, níveis de riscos de processos ou áreas 
do nível 3 para cima (laranja e vermelho), são considerados intoleráveis. Níveis de riscos que alcancem esses dois 
quadrantes devem possuir tratamento imediato por parte dos gestores. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
203 
Exemplo – Segurança:
riscos probabilidade Impacto
Vandalismo 4,33 2,36
Furto de veículos 4,00 3,00
Furto de pertences pessoais 4,67 2,18
Sabotagem na cabine primária 4,00 4,64
Desvio de mercadoria 4,67 3,55
Roubo de carga 4.00 3,91
total 25,67 19,64
média 4,28 3,27
nível de riscos 13,99
nível de riscos
1 a 5 1 Verde
5,01 a 10 2 Amarelo
10,01 a 15 3 Laranja
15,01 a 25 4 Vermelho
Nível de Riscos Inerentes – Segurança
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
204 
Exemplo – Processo:
riscos probabilidade Impacto
Concessão de desconto indevida 4,20 2,55
Venda sem estoque físico 4,60 3,36
Favorecimento de clientes 5,00 2,27
Análise financeira equivocada 4,20 2,91
Não ser cumprido o prazo de entrega 
de mercadoria para o cliente
4,60 3,55
total 22,60 14,64
média 4,52 2,93
nível de riscos 13,24
nível de riscos
1 a 5 1 Verde
5,01 a 10 2 Amarelo
10,01 a 15 3 Laranja
15,01 a 25 4 Vermelho
Nível de Riscos Inerentes – Processo
205 
14.1 iNtrOduçãO 
Entende-se por risco residual a análise e avaliação dos riscos considerando os controles existentes e em operação. 
Esse conceito permite que os controles sejam avaliados e posteriormente que sua efetividade seja comprovada 
durante os testes de auditoria. 
14. ANÁLISE E 
AVALIAÇÃO 
DE RISCOS 
– RESIDUAL
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
206 
14.2 WalKThrough – avaliaçãO dOs cONtrOles existeNtes 
Com o objetivo de confirmar a eficácia dos controles identificados nos processos ou áreas em estudo, é necessário 
realizar o walkthrough. No final dessa etapa, a informação disponível permitirá ao gestor responsável o conhecimento 
do processo ou área, e a eficácia, ineficácia ou inexistência dos controles para que seja construída uma análise de 
riscos residuais.
Para auxiliar na elaboração do walkthrough, deve-se utilizar as seguintes questões para análise:
• Tipo? Escrever o tipo de controle, ou seja, manual ou automático (sistema).
• Controle? Descrever o nome do controle.
 Controle é uma ação tomada para certificar-se de que algo se cumpra. Os controles também são meios usados para verifi-
car que certa ação é eficiente ao seu propósito.
• Descritivo do controle? Conceituar / descrever o controle.
• Objetivo do controle? Escrever o objetivo do controle.
 Os controles e os meios devem ser dirigidos para um objetivo a ser atingido. Decidir qual o objetivo é o primeiro passo em 
qualquer processo de controle.
• A qual o fator de risco o controle está associado? Na verdade o controle tem objetivo anular ou detectar o fator de 
risco.
• Periodicidade? Escrever a periodicidade do uso do controle – diário, quinzenal, mensal, etc.
• Categoria? Escrever a categoria do controle – preventivo, detectivo ou corretivo.
• Preventivo – Desenhado para prevenir resultados indesejados. Reduzem a possibilidade de sua ocorrência e 
detecção.
• Detectivo – Desenhado para detectar fatos indesejáveis. Detectam a manifestação / ocorrência de um fato.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
207 
• Resultado do walkthrough? Escrever o resultado dos procedimentos efetuados no walkthrough, o qual tem o objetivo de 
validar os controles aplicados. 
• Parecer? Escrever o parecer do controle analisado – eficaz ou ineficaz.
• Conclusão do walkthrough? Tendo em vista a avaliação dos controles, escrever a conclusão geral sobre 
o walkthrough.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
208 
Exemplo – Segurança:
Walkthrough Segurança
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
209 
Exemplo – Processo:
Walkthrough Processo
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
210 
14.3 prObabilidade x impactO
Para realizar análise de riscos residuais (probabilidade x impacto), deve-se utilizar a metodologia e os critérios 
abordados no capítulo anterior, na parte de Determinação do Nível de Probabilidade e Nível de Impacto. Abaixo quadro 
comparativo entre a análise de riscos inerentes x análise de riscos residuais.
Exemplo – Segurança:
 
Análise de Risco Residual - Segurança
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
211 
Exemplo – Processo:
Análise de Risco Residual – Processo
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
212 
14.4 matriz de riscOs
Para elaborar a Matriz de Riscos Residuais, deve-se utilizar a metodologia e os critérios do capítulo anterior, na parte 
de Matriz de Riscos Inerentes.
Abaixo quadro comparativo entre a matriz de riscos inerentes x matriz de riscos residuais.
Exemplo:
Matriz de Risco Inerente
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
213 
14.5 Nível de riscOs
Para elaborar o Nível de Riscos Residuais deve-se utilizar a metodologia e os critérios estabelecidos no capítulo 
anterior, Análise e Avaliação dos Riscos Inerentes.
Abaixo, quadro comparativo entre o nível de riscos inerentes x nível de riscos residuais.
Exemplo – Segurança:
Nível de Risco Inerente – Segurança
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
214 
Exemplo– Processo:
Nível de Risco Inerente – Processo
215 
15.1 tratameNtO dOs riscOs 
É importante que exista a conscientização e o comprometimento com o gerenciamento de riscos por parte da alta 
administração da empresa. Nesse contexto, os tomadores de decisão são os responsáveis por esse gerenciamento, 
ou seja, mediante a matriz de riscos deve-se identifi car qual a resposta a ser adotada para tratamento do risco. A 
seguir, as estratégias que podem ser adotadas para o tratamento dos riscos:
• Evitar o Risco: Decisão de não se envolver ou agir de forma a se retirar de uma situação de risco. Necessário preencher o 
formulário padrão de Risco Assumido.
• Aceitar o Risco: Nesse caso, apresentam-se três alternativas: reter, reduzir ou transferir/compartilhar o risco.
15. RESPOSTAS 
AOS RISCOS 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
216 
• Reter: Manter o risco no nível atual de impacto e probabilidade. Necessário preencher o formulário padrão de Risco Assumido.
• Reduzir: Ações são tomadas para minimizar a probabilidade e/ou o impacto do risco. 
• Transferir e/ou Compartilhar: Atividades que visam reduzir o impacto e/ou a probabilidade de ocorrência do risco por 
meio da transferência ou, em alguns casos, do compartilhamento de uma parte do risco. 
O risco é assumido quando um tomador de decisão decide assumir riscos no quadrante vermelho ou laranja da 
Matriz de Riscos Residuais, tendo em vista a relação custo–benefício ou por questões estratégicas. Esse tipo de 
decisão vai contra as boas práticas de mercado. Sempre que um tomador de decisão resolver assumir riscos deve 
fazê-lo de maneira documentada para manter assim um registro, possibilitando que esse registro seja acionado caso 
o risco assumido venha a se concretizar.
15.2 matriz de priOrizaçãO dOs riscOs 
Com o objetivo de aplicar o conceito de interconectividade entre riscos, a priorização é elaborada por meio das 
ferramentas Matriz de Impactos Cruzados e Matriz de Riscos Residuais. Por meio do cruzamento das duas matrizes, é 
possível estabelecer a priorização dos riscos. A Brasiliano & Associados elaborou uma Matriz com esse cruzamento, em 
que no eixo vertical foi colocada a motricidade dos riscos (Matriz de Impactos Cruzados) e no eixo horizontal, a criticidade 
dos riscos (Matriz de Riscos, utilizando os quatro níveis da matriz). O resultado ficou conforme a Matriz a seguir: 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
217 
motrIZ
04
05
12
13
01 04
LIGaÇão
04
05
12
13
dependente
04
05
12
13
02 03
Independente
06 05
Iv
Quadrante verde
III
Quadrante amarelo
II
Quadrante laranja
I 
Quadrante vermelho
Criticidade dos Riscos
M
ot
ri
ci
da
de
 d
os
 R
is
co
s
Matriz de Priorização de Riscos
Essa Matriz é uma metodologia da Brasiliano & Associados. A priorização foi um resultado baseado na experiência 
dos seus consultores e respectivos projetos, podendo ser readaptada e alterada, de acordo com as características do 
contexto ou da empresa. A seguir, um exemplo de Priorização de Riscos.
Exemplo de Riscos em uma Análise na Copa do Mundo em São Paulo – FIFA FUN FEST
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
218 
Matriz de Impactos Cruzados 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
219 
P
ro
b
a
b
il
id
a
d
e
5
EL
EV
AD
A
4
M
U
IT
O
 
AL
TA
05 13
3 AL
TA
02
2
M
ÉD
IA
06 08 09 10 14
1
B
AI
XA
01 03 04 07 11 12 15
MUITO LEVE LEVE MODERADO SEVERO MASSIVO
1 2 3 4 5
Impacto
01 – Manifestação pacífica com bloqueio do tráfego local
02 – Manifestação com atos de vandalismo / 
depredação contra patrimônio público 
03 – Manifestação com atos de vandalismo com 
lançamentos de inflamáveis contra o público local
04 – Manifestação com atos de agressão contra o efetivo 
da PM, gerando violência
05 – Tumulto
06 – Manifestação para contenção do público para o 
local do evento
07 – Atentado terrorista criminoso
08 – Assédio sexual
09 – Arrastão
10 – Briga entre torcidas uniformizadas
11 – Presença de grupos extremistas
12 – Presença de extremista solitário
13 – Crimes comuns (roubo, furto, etc.)
14 – Movimentos de pressão e reivindicatórios
15 – Violência policial
Matriz de Riscos 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
220 
MOTRIZ
04
05
12
13
*01
*06
*03 *02
LIGAÇÃO
04
05
12
13
*10
*14
*04
*05
*12
*13
*15
DEPENDENTE
04
05
12
13
*08
*09
*07
*11
INDEPENDENTE
1 2 3 4
01 – Manifestação pacífica com bloqueio parcial
02 – Manifestação com atos de vandalismo / 
depredação contra patrimônio público 
03 – Manifestação com atos de vandalismo com 
lançamentos de inflamáveis contra o público local
04 – Manifestação com atos de agressão contra o 
efetivo da PM
05 – Tumulto
06 – Manifestação para contenção do público para o 
local do evento
07 – Atentado terrorista criminoso
08 – Assédio sexual
09 – Arrastão
10 –Briga entre torcidas uniformizadas
11 – Presença de grupos extremistas
12 – Presença de extremista solitário
13 – Crimes comuns (roubo, furto, etc.)
14 – Movimentos de pressão e reivindicatórios
15 – Violência policial
Criticidade dos Riscos
M
ot
ric
id
ad
e 
do
s 
R
is
co
s
Motricidade x Criticidade de Riscos = Priorização de Riscos 
explicação e aplicação: Se aplicássemos somente a Matriz de Riscos, teríamos somente o risco 02 – Manifestações 
com atos de vandalismos/depredações contra o patrimônio público – como risco crítico. Vejam que a miopia do gestor é 
grande, pois daria foco, alocaria recursos para um único risco. Já se o gestor cruzasse a motricidade com a criticidade 
de riscos, temos 9 riscos como críticos e motrizes, ou seja aumenta a abrangência do gestor, diminuindo a chance de 
ele ser surpreendido. Essa metodologia ajuda os gestores a ampliarem a sua visão. Tanto o COSO II como o Fórum 
Mundial, por meio do Risk Report de 2014/2015, pedem que as empresas pratiquem essa nova metodologia de 
cruzamento entre a criticidade dos riscos e a motricidade e ou interconectividade.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
221 
15.3 plaNO de açãO 
Depois de identificados, avaliados e mensurados, deve-se definir qual tratamento deve ser atribuído aos riscos. A 
priorização deve estar embasada na Matriz de Riscos Residuais, Diagrama de Causa e Efeito e Matriz SWOT. Os riscos 
localizados nos quadrantes vermelhos e laranjas devem receber prioridade no tratamento. 
Para elaboração do plano de ação é utilizada a técnica das perguntas 5W e 2H.
• What? (O que?): Medida em relação à causa prioritária;
• Who? (Quem?): Nome do responsável pela implementação da ação;
• When? (Quando?): Data limite para implementação da ação;
• Where? (Onde?): Onde a ação será implementada;
• Why? (Por quê?): Qual o motivo para realização da ação;
• How? (Como?): Descrever como será executada a ação proposta;
• How Much? (Quanto Custa?): Qual o valor do investimento.
O plano de ação deve estar embazado nos fatores de riscos críticos. Por esta razão deve-se olha a matriz SWOT e 
o diagrama de causa e efeito. Nunca devemos esquecer que sempre teremos tratar as causas, previnir as causas e 
diminuir as consequências.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
222 
Exemplo:
Plano de Ação
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
223 
O Plano de ação deve ser monitorado sob dois aspectos: uma manifestação do seustatus - prazo e o outro no quesito 
da sua eficácia. Se de fato as sugestões, os controles, os sistemas, os recursos atingiram os objetivos propostos. Isto 
é primordial para o sucesso da implementação do plano de ação. 
15.4 priOrizaçãO das ações 
A ferramenta de Priorização das Ações tem por objetivo fazer com que o gestor e ou analista possa, de forma prática e 
objetiva, enxergar, por meio de critérios preestabelecidos, as ações que são prioritárias em termos de benefício. Os dois 
critérios utilizados são:
• Benefício Estimado
• Esforço de Implementação: O macrocritério Esforço de Implementação é conseguido por meio da medida ponderada de três 
subcritérios, com os seguintes pesos:
Critérios de Esforço de Implementação
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
224 
Abaixo os subcritérios do Esforço de Implementação e suas definições:
critério definição
Custo
Significa quanto a empresa vai ter 
que investir, é uma visão financeira.
Tempo
Visa identificar qual o horizonte 
temporal estimado para a real 
implantação da ação e/ou sistema.
Autonomia
É em termos de nível de aprovação, 
se dependerá de uma diretoria ou do 
próprio departamento.
A nota varia de 1 a 5, de acordo com o nível de esforço. Quanto maior o esforço maior a nota.
O grau de Esforço de Implementação é conseguido somando-se as notas de cada subcritério, e dividindo por 9 
(somatório dos pesos). A partir daí temos a média ponderada:
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
225 
esforço de implementação nível
3,51 – 5,00 Alto
2,00 – 3,50 Médio
1,00 – 2,00 Baixo
Benefício estimado: O macrocritério Benefício Estimado é conseguido por meio da média ponderada de três subcritérios, 
com os seguintes pesos:
Critérios de Benefício Estimado
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
226 
Abaixo os subcritérios do Benefício Estimado e suas definições:
critério definição
Impacto no Contexto
Significa quanto à ação pode gerar de 
resultado no contexto estabelecido.
Probabilidade
De dar certo é a estimativa da ação 
ser operacionalizada com sucesso 
diante da estrutura e recursos da 
empresa.
Eficácia Operacional
É a estimativa do quanto a ação pode 
continuar gerando de resultado após 
sua implantação.
A nota varia de 1 a 5, de acordo com o nível de benefício. Quanto maior o benefício, maior a nota. 
O grau de Benefício Estimado é conseguido somando-se as notas de cada subcritério, e dividindo por 10 (somatório 
dos pesos). A partir daí temos a média ponderada
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
227 
Benefício estimado nível
3,51 – 5,00 Alto
2,00 – 3,50 Médio
1,00 – 2,00 Baixo
mAtriz de PriorizAção dAs Ações
O resultado do cruzamento dos dois macrocritérios é uma Matriz, com três quadrantes, em que temos as priorizações. 
O quadrante azul é onde as ações devem ser operacionalizadas; o quadrante laranja exige reavaliação e ou ação em 
médio prazo, e o quadrante vermelho são as ações que devem ser descartadas.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
228 
Exemplo:
E
S
FO
R
Ç
O
 D
E
 I
M
P
LE
M
E
N
TA
Ç
Ã
O
AL
T0
05 01 02
M
ÉD
I0
B
AI
X0
03 04
BAIX0 MÉDI0 ALT0
BENEFÍCIO ESTIMADO
Matriz de Priorização das Ações
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
229 
15.5 prOjeçãO Futura – 
prObabilidade x impactO
Para que possam realizar uma Matriz de Riscos com projeção futura, é necessário reavaliarmos a Análise de Riscos, 
partindo da premissa que o plano de ação previsto será implementando. A projeção futura é uma relação custo x 
beneficio
Essa reavaliação é obtida na revisão dos fatores de riscos do diagrama de causa e efeito de cada risco, ou seja, tudo 
que foi tratado / implementado causará uma redução da probabilidade e o impacto na matriz de riscos.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
230 
Exemplo:
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
231 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
232 
233 
O monitoramento e a análise crítica devem ser planejados como parte do processo da avaliação de riscos e deve envolver 
a checagem ou vigilância de maneira regular. Podem ser periódicos ou acontecer em resposta a um fato específi co. 
Devem ser monitorados:
• Plano de Ação;
• Grau de Risco – Matriz de Risco;
• Nível de Risco.
De forma clara e objetiva o monitoramento envolve dois processos:
16. MONITORAMENTO E 
ANÁLISE DE CRÍTICA
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
234 
• O primeiro é a verificação se o Plano de Ação proposto está sendo executado. Para isso devemos utilizar um farol, com 
os indicadores: “executado”, “em execução” e “não executado”. Também devem ser acompanhados os resultados das ações 
e medidas propostas. Devem ser acompanhadas para saber se seus objetivos foram atingidos e se não foram quais as 
dificuldades encontradas e as ações corretivas.
• O segundo processo de monitoração diz respeito à evolução das condições dos riscos identificados e analisados. Nesse 
caso, deve-se montar um processo de acompanhamento se as condições listadas no diagrama de causa e efeito sofrem 
mudanças e ou alterações do ambiente. Esse processo de monitoramento é de suma importância e deve ser acompanhado 
diretamente pelo gestor de riscos.
O monitoramento do plano de ação deve ser realizado mensalmente pelos facilitadores e responsáveis das áreas. 
O gestor deverá elaborar indicadores nos processos considerados críticos e nos processos com nível de riscos 3 e 4.
Mostraremos a seguir uma série de indicadores e mapas de acompanhamentos que o gestor pode estar usando 
como exemplo para praticar o monitoramento. 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
235 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
236 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
237 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
238 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
239 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
240 
241 
Os riscos estratégicos, operacionais, financeiros, legais e externos que afetam as empresas globais e que são 
potencialmente prejudiciais para as organizações brasileiras requerem o fortalecimento de práticas inerentes à sua 
governança corporativa. Com base na forte dinamicidade do ambiente do mercado, mundo VUCA, podemos sugerir os 
seguintes passos para que as empresas tenham processos estruturados de gestão de riscos e, dessa forma, possam 
trabalhar de forma preventiva: 
1. Gerenciar a interconectividade dos riscos: a empresa precisa adotar uma gestão integrada de riscos para identificar e 
administrar as correlações entre todos os riscos aos quais ela está exposta, incluindo todas as disciplinas;
2. Alimentar uma forte cultura de controles com o processo descentralizado:a administração da empresa tem que criar uma 
cultura que enfatize a importância do dono do processo ser o dono do risco, com isso, a ética deve ser enfatizada integrada 
CONCLUSÃO 
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
242 
com o gerenciamento de risco. Incentivos de remuneração devem ser alinhados com a criação de valores em longo prazo e 
com a proteção à marca;
3. Fornecer informações em “tempo real”: a empresa precisa implantar sistemas de informações internos e mecanismos de 
comunicação para assegurar que a Diretoria Executiva e o Conselho de Administração recebam informações corretas, em 
tempo real, sobre as causas e os impactos, não só financeiros, mas também legais, operacionais e ligados a reputação, 
bem como as possíveis soluções para os problemas;
4. Enfrentar os riscos com baixa frequência e alto impacto: a empresa deve empregar “testes de estresse” para assegurar que 
os controles internos e os planos para a continuidade dos negócios poderiam resistir a um evento de alto impacto ou, pelo 
menos, que pudessem dar flexibilidade para responder rapidamente a cenários adversos.
O importante é que todas as empresas, independentemente do perfil e do porte, precisam conhecer a efetiva 
dimensão dos riscos das suas atividades em que estão envolvidas. Mesmo não podendo evitar os riscos, as empresas 
podem melhorar seu controle sobre o ambiente, prevenindo, amenizando ou recuperando-se mais rapidamente desses 
eventos. Dessa forma, terão condições de sobreviverem com maior agilidade e flexibilidade. 
O Método aqui descrito – Método Brasiliano de Inteligência e Riscos Corporativos – é uma técnica para auxiliar 
o gestor na priorização do tratamento dos riscos, possibilitando integrar as origens de cada risco com seu nível de 
influência para sua concretização e de resposta aos riscos. Auxilia de forma direta na construção da matriz de riscos 
e da matriz de priorização de ações. 
Esperamos que com essa técnica possamos facilitar a tomada de decisão dos responsáveis pela gestão de riscos e 
auxiliar a implantação de medidas reais preventivas e contingenciais.
243 
ALENCAR, Antonio Juarez; SCHMITZ, Eber Assis. Análise de risco em gerência de projetos. Rio de Janeiro: Brasport, 
2005.
ADAMS, John. Risco. São Paulo: Editora Senac São Paulo, 2009.
BARALDI, Paulo. Gerenciamento de risco: a gestão de oportunidades, a criação de controles internos e a avaliação de 
riscos nas decisões gerenciais. Rio de Janeiro: Elsevier, 2004.
BERNSTEIN, Peter L. Desafio aos Deuses: A fascinante História do Risco. Rio de Janeiro: Campus, 1997.
BORGERTH, Vânia Maria da Costa. Sox: entendendo a Lei Sarbanes-Oxley: um caminho para a informação transparente. 
São Paulo: Thomson Learning, 2007. 
REFERÊNCIAS
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
244 
BRASILIANO, Antonio Celso Ribeiro. Análise de Risco – Método Brasiliano. São Paulo: Editora Sicurezza, 2006.
______. A (In)Segurança nas Redes Empresariais: A fuga involuntária das Informações e a Inteligência Competitiva. 
São Paulo: Editora Sicurezza, 2003.
______. Cenários Prospectivos em Gestão de Riscos Corporativos: Um estudo de caso Brasilieiro. São Paulo: Editora 
Sicurezza, 2010.
______. Gestão de Continuidade de Negócios. São Paulo: Editora Sicurezza, 2011.
______. Gestão de Risco de Fraudes: Fraud Risk Assessment. São Paulo: Editora Sicurezza, 2015.
______. Manual de Análise de Riscos para a Segurança Empresarial. São Paulo: Editora Sicurezza, 2003.
______. Manual de Planejamento: Gestão de Riscos Corporativos. São Paulo: Editora Sicurezza, 2003.
______. Planejamento da Segurança Empresarial. São Paulo: Editora Sicurezza e Cia. das Artes, 1999.
______. Metodologia para Elaborar Cenários Prospectivos em Riscos Corporativos. Revista Proteger, n. 41, nov./dez. 
2002. 
______. Metodologia para a Identificação de Riscos Estratégicos. Revista Proteger, n. 45, abr./maio 2004. 
______. Transformando Informações em Inteligência através da Análise. Revista Proteger, n. 48, jan./fev. 2005.
BRASILIANO, Antonio Celso Ribeiro; BLANCO, Lucas. Planejamento Tático e Técnico em Segurança Empresarial. São 
Paulo: Editora Sicurezza, 2003.
CERQUEIRA, Jorge Pedreira de; MARTINS, Márcia Copello. Auditoria de sistemas de gestão: ISO 9001, ISO 14001, 
OHSAS 18001, ISO/IEC 17025, SA8000, ISO 19011:2002. Rio de Janeiro: Qualitymark, 2004.
COIMBRA, Fábio. Riscos operacionais: estrutura para gestão em bancos. São Paulo: Saint Paul Editora, 2007.
DAMODARAN, Aswath. Gestão estratégica do risco: uma referência para a tomada de riscos empresariais. Porto 
Alegre: Bookman, 2009.
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
245 
DIAS, Sergio Vidal dos Santos. Auditoria de processos organizacionais: Teoria, finalidade, metodologia de trabalho e 
resultados esperados. São Paulo: Atlas, 2006.
FELDMAN, Liliane Bauer. Gestão de Risco e Segurança Hospitalar. São Paulo: Martinari, 2008.
KIM, W. Chan; MAUBORGNE, Renée. A Estratégia do Oceano Azul: Como citar novos mercados e tornar a concorrência 
irrelevante. São Paulo: Editora Campus, 2005.
MARSHALL, Christopher. Medindo e Gerenciando Riscos Operacionais em Instituições Financeiras. Rio de Janeiro: 
Quality Mark, 2001. 
MARTIN, SMOCIUK E NIGEL. Riscos de Fruade: um breve manual para prevenir e detectar fraudes.São Paulo: Editora 
Sicurezza, 2013
MANZI, Vanessa Alessi. Compliance no Brasil: Consolidação e perspectivas. São Paulo: Saint Paul Editora, 2008. 
MIGLIAVACCA, Paulo Noberto. Controles Internos nas Organizações. São Paulo: Edicta, 2004.
PADOVEZE, Clóvis Luis; BERTOLUCCI, Ricardo Galinari. Gerenciamento do risco corporativo em controladoria: Enterprise 
Risk Management (ERM). São Paulo: Cengage Learning, 2008.
SALLES JúNIOR, Carlos Alberto Corrêa. Gerenciamento de riscos em projetos. Rio de Janeiro: Editora FGV, 2007.
SLYWOTZKY, Adrian J.; WEBER, Karl. Do risco à oportunidade: As 7 estratégias para transformar ameaças em fatores 
de crescimento. Rio de Janeiro: Elservier, 2007.
TATTAM,David. Um breve guia ao Risco Operacional. São Paulo: Editora Sicurezza, 2013
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
246 
NOrmas 
ABNT NBR ISO 22301: 2013 - Segurança da Sociedade - Sistema de Gestão de Continuidade de Negócios - Requisitos.
ABNT NBR ISO 22313: 2015 - Segurança da Sociedade - Sistema de Gestão de Continuidade de Negócios - Orientações.
ABNT ISO GUIA 73: 2009 - Gestão de Riscos – Vocabulário.
ABNT NBR ISO 31.000: 2009 - Gestão de Riscos – Princípios e Diretrizes.
ABNT NBR ISO 31.010: 2012 - Gestão de Riscos – Técnicas para o Processo de Avaliação de Riscos.
ABNT ISO/TR 31004: 2015 – Gestão de Riscos – Guia para implementação da ABNT NBR ISO 31000
ABNT NBR ISO 28000: 2009 – Especificação para Sistemas de Gestão de Segurança para a Cadeia Logística
ABNT NBR ISO/IEC 27005: 2011 – Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança 
da Informação
ABNT NBR 16337: 2014 - Gerenciamento de riscos em projetos - Princípios e diretrizes gerais
COSO I - Committe of Sponsoring Organizations of the Treadway Commission. 
COSO II - Enterprise Risk Management Integrated Framework - ERM.
IBGC – INSTITUTO BRASILEIRO DE GESTãO DE RISCOS CORPORATIVOS. Guia de Orientação para Gerenciamento de 
Riscos Corporativos (www.ibgc.org.br).
247 
prOF. dr. aNtONiO celsO ribeirO brasiliaNO, crma, ces, dea, dse, mbs
Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique (Ciência e Engenharia da Informação 
e Inteligência Estratégica) pela UNIVERSITÉ EAST PARIS – MARNE LA VALLÉE – Paris – França; Master Degree – Diplome 
D´Etudes Approfondies (DEA) en Information Scientifique et TechniqueVeille Technologique (Inteligência Competitiva) 
pela UNIVERSITE TOULON – Toulon – França; Especializado em: Inteligência Competitiva pela Universidade Federal do 
Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – Universidad Pontifícia Comillas de Madrid 
– Espanha; Curso de Gestión da Seguridad Empresarial – Universidad Pontifícia Comillas de Madrid – Espanha; 
Planejamento Empresarial, pela Fundação Getúlio Vargas – SP; Elaboração de Currículos pelo Centro de Estudos 
SOBRE O AUTOR
IN
TE
LI
G
ÊN
C
IA
 E
M
 R
IS
C
O
S
 G
es
tã
o
 I
n
te
G
r
a
d
a
 e
m
 r
Is
c
o
s
 c
o
r
p
o
r
at
Iv
o
s
248 
de Pessoal do Exército – CEP, Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; 
Bacharel em Administração de Empresas – Universidad Mackenzie; Certificado em Gestão de Riscos – Certification 
in Risk Management Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista 
em Segurança Empresarial – CES pela ABSO. Autor dos livros: Gestão de Risco de Fraudes, Fraud Risk Assessment 
– FRA, Gestão de Continuidade de Negócios – GCN; Guia Prático para a Gestão de Continuidade de Negócios, Cenários 
Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro; Gestão e Análise de Riscos Corporativos: 
Método Brasiliano Avançado – Alinhado com a ISO 31000; Análise de Risco Corporativo – Método Brasiliano; Manual de 
Análise de Risco Para a Segurança Empresarial; Manual de Planejamento: Gestão de Riscos Corporativos; A (In)Segurança 
nas Redes Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações; Planejamento da Segurança 
Empresarial: Metodologia e Implantação. Co-Autor dos Livros: Manual de Planejamento Tático e Técnico em Segurança 
Empresarial; Segurança de Executivos – Noções Anti-Sequestro e Sequestro: Como se Defender. Professor Convidado 
do Instituto de Pesquisas Tecnológicas – IPT – USP; Mestrado Profissional para Ministrar aulas de Gestão e Análise 
de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos, Atual Coordenador e 
Professor do MBA em Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão 
de Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em 
parceria com a Faculdade de Engenharia de São Paulo – FESP; Membro do Institute of Internal Auditors IIA; do Instituto 
dos Auditores Internos do Brasil – IIA Brasil; Membro da ACFE – Association of Certified Fraud Examiners, Coordenou 
a primeira Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 
25 anos de experiência em Gestão de Riscos, Palestrante nacional e Internacional – Argentina, Paraguai, áfrica e Japão 
(convidado pela Organização PanAmericana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência 
Mundial de Redução de Desastres, Yokohama) em inúmeros eventos da área de riscos, compliance, auditoria, controles 
internos e segurança corporativa. Experiência internacional em consultoria de gestão de riscos em Portugal, Cabo 
Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial 
de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de Riscos e ISO 22301/22313 Gestão 
de Continuidade de Negócio – Segurança da Sociedade. É Diretor Presidente da BRASILIANO & ASSOCIADOS.
INTELIGÊNCIA EM RISCOS
 Gestão InteGrada em rIscos corporatIvos
Saber interpretar um processo de riscos com inteligência é de extrema importância para as empresas de grande, médio e 
pequeno porte, pois os riscos acontecem independentemente do tamanho do negócio. Os riscos podem ocorrer em qualquer 
situação, ou seja, proveniente de uma catástrofe natural, o risco gerado por falha humana ou falha técnica, risco de crédito, 
imagem, risco estratégico, risco operacional, risco meio ambiente, risco de segurança do trabalho, risco de TI entre outros. 
O livro possui um processo de Inteligência em riscos, identificando e demonstrando a Interconectividade entre áreas e 
riscos, que influenciam a ponto de tornar-se um problema sistêmico para a empresa. A obra do Prof. Brasiliano, possui 
um processo objetivo e prático, integrado com as três melhores práticas de mercado, ISO 31000, COSO I e II. As métricas 
elaboradas facilitam tanto os usuários do gerenciamento de risco como os responsáveis pela gestão de risco corporativos 
que sustentarão o plano com medidas preventivas e melhorias contínuas nos processos. Desta forma o processo de 
inteligência em riscos trará uma visão de antecipação para os gestores, facilitando a interpretação das inúmeras e 
dinâmicas informações. 
A Obra e a dedicação do Prof. Brasiliano, assim conhecido no mercado a 28 anos em consultoria de Gestão de Riscos 
Corporativos, apóia alunos, gestores, administradores, facilites, engenheiros e a quem possa interessar, na construção de 
um plano de Gestão de Riscos Corporativos. 
Como comentário final e para reflexão de todos, cito a frase de um autor desconhecido, 
“a Intenção de se aceitar o risco não se equivale ao desejo irresponsável de se apostar na sorte” 
Enza Cirelli - Sicurezza Editora