Brasiliano, Antonio Gestão e análise de riscos corporativos

Prévia do material em texto

2a E
DIÇ
ÃO
 - IS
O 3
1.00
0
Gestão de Riscos
Antonio Celso Ribeiro Brasiliano
Gestão e Análise de
 Riscos coRpoRAtivos:
método bRAsiliAno AvAnçAdo
Antonio Celso Ribeiro Brasiliano
São Paulo, 2010 
20 Edição
Gestão e Análise de 
 Riscos coRpoRAtivos:
método bRAsiliAno AvAnçAdo
Dados Internacionais de Catalogação na Publicação (CIP) 
(Câmara Brasileira do Livro, SP, Brasil)
Brasiliano, Antonio Celso Ribeiro
Gestão e análise de riscos corporativos : Método Brasiliano avançado / 
Antonio Celso Ribeiro
Brasiliano. -- São Paulo : Sicurezza, 2010.
Bibliografia. 
ISBN 978-85-87297-19-8
1. Administração de riscos 2. Análise de risco - Método Brasiliano 3. 
Planejamento estratégico 4. Risco - Administração I. Título.
09-10600 CDD-658.155
Índices para catálogo sistemático:
1. Gestão e análise de riscos corporativos : Planejamento estratégico : 
Administração de empresas 658.155
Titulo Original:
Gestão e análise de riscos corporativos : Método Brasiliano avançado
© Copyright 2010 by Antonio Celso Ribeiro Brasiliano
2a edição, Novembro 2010
Todos os direitos reservados. É proibida a reprodução desta obra por 
qualquer meio, em seu todo ou em partes, sem autorização expressa do 
autor e do editor.
Direitos dessa edição cedidos por contrato para:
Sicurezza Gestão de Riscos Corporativos, Editora e Distribuidora Ltda
Endereço fiscal: Rua Damasio Rodrigues Gomes, 301 - Jardim Cupece 
São Paulo - SP - Cep 04652-150
Telefone: 11 5531 6171
Email: editora@sicurezzaeditora.com.br
Coordenação: Enza Cirelli
Projeto Gráfico : Agencia BM Design - contato@agenciabmdesign.com.br
Fotolito, impressão e acabamento: JF Artes Gráficas
Ao meu neto Antonio, guerreiro da terceira geração, 
que renova constantemente a energia da minha vida.
Prefácio
O Processo de Gestão de Riscos Corporativos, no Brasil, ainda é novo 
e pouco aplicado, devendo ser implantado e revisado pelo menos anu-
almente pelo seu gestor, envolvendo toda a empresa. 
Este livro, Gestão e Análise de Riscos Corporativos, tem a finalidade de 
ajudar os gestor de riscos a implantar um processo lógico de gestão e 
análise de riscos, possuindo critérios, métodos e ferramentas que já são 
utilizadas em inúmeras empresas no Brasil e no mundo. Descrevo também 
neste livro a importância da ISO 31000 e seu framework, que será empre-
gado pelo mundo a partir de seu lançamento, em novembro de 2009.
O objetivo do gestor de riscos possuir um processo lógico de gestão 
de riscos (GR) é a manutenção da competitividade da empresa neste 
nosso mundo extremamente turbulento. A gestão de riscos corporati-
vos deve estar em perfeita consonância com os objetivos estratégicos 
da empresa, coincidindo com seu horizonte temporal.
Meu objetivo é reunir neste livro as informações e orientações da ativi-
dade de quem gerencia riscos: a compreensão e preparação do Pro-
cesso de Gestão e Análise de Riscos Corporativos, já alinhado com as 
diretrizes da ISO 31000.
Em todos os meus prefácios escrevo aos colegas que se, por acaso, 
uma enorme tentação vier bater às suas portas, no sentido de não ten-
tar colocar em prática os conceitos aqui abordados, pensem no que 
Normam Vaghum disse:
“Sonhe grande, ouse fracassar.”
Sucesso e Sorte a todos nós!! 
Antonio Celso Ribeiro Brasiliano
abrasiliano@brasiliano.com.br
Setembro de 2009
Sumário 
Prefácio
1. Introdução 7
2. Objetivos Estratégicos da Gestão de Riscos Corporativos 8
3. ISO 31000 – Mudança de Paradigma 15
4. Framework do Processo de Gestão e Análise 
de Riscos Corporativos – Método Brasiliano 22
5. Comunicação e Consulta 27
6. Contextos Estratégicos 32
7. Identificação dos Perigos e dos Fatoresde Riscos 42
8. Análise de Riscos – Método e Critérios 78
9. Avaliação de Riscos – Matriz de Riscos 88
10. Nível de Riscos - Processos – 
Departamentos – Unidades - Edificações 91
11. Tratamento dos Riscos – Plano de Ação - Ferramentas 103
12. Monitoramento e Análise Crítica dos Riscos 117
13. Conclusão 119
Bibliografia
Sobre o Autor
 7Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
1. Introdução
As empresas devem estar comprometidas com seus clientes, acionis-
tas, parceiros comerciais e com a sociedade em que atua, focando 
esforços em reduzir os riscos existentes e/ou os que possam se ma-
nifestar no futuro e também na maximização das oportunidades de 
negócio. Para tanto, é necessário conhecer os riscos que a afetam e 
seus impactos sobre os seus negócios. 
Os riscos permeiam todos os níveis das atividades do negócio e, se não 
forem gerenciados adequadamente, poderão resultar em perdas finan-
ceiras, deterioração da imagem e reputação ou desencadear uma crise.
O gerenciamento de riscos tem se tornado um assunto de suma impor-
tância no meio empresarial, uma vez que a conscientização da neces-
sidade de administração dos riscos potenciais é, hoje, uma questão 
de competitividade e sobrevivência.
Para que seja eficaz, o gerenciamento de riscos deve fazer parte da 
cultura de qualquer empresa e deve estar inserido em sua filosofia, 
nas práticas e nos processos de negócio.
O Método Avançado de Análise e Resposta aos Riscos Corporativos 
– Método Brasiliano fornece um processo para a identificação dos 
perigos, avaliação dos seus Fatores de Riscos, análise e avaliação 
dos riscos corporativos. Este método descreve os passos a serem 
percorridos, as ferramentas a serem utilizadas, os critérios a ado-
tar na probabilidade, impacto, além de estabelecer priorização de 
ações a serem executadas. É uma ferramenta de gestão, alinhada 
com a Futura ISO 31000.
 8Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
2. Objetivos Estratégicos da 
Gestão de Riscos Corporativos
2.1 PREMISSAS ESTRATÉGICAS 
A premissa inerente ao gerenciamento de riscos corporativos é que 
toda organização existe para gerar valor às partes interessadas. Todas 
as organizações enfrentam incertezas, e o desafio de seus administra-
dores é determinar até que ponto aceitar essa incerteza, assim como 
definir como essa incerteza pode interferir no esforço para gerar valor 
às partes interessadas. 
Incertezas representam riscos e oportunidades, com potencial para 
destruir ou agregar valor. O gerenciamento de riscos corporativos 
possibilita aos administradores tratar com eficácia as incertezas, bem 
como os riscos e as oportunidades a elas associadas, a fim de melho-
rar a capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e 
objetivos para alcançar o equilíbrio ideal entre as metas de crescimen-
to e de retorno de investimentos e os riscos a elas associados, e para 
explorar os seus recursos com eficácia e eficiência na busca dos obje-
tivos da organização. Os objetivos estratégicos do gerenciamento de 
riscos corporativos, segundo as premissas da Metodologia COSO são: 
1.	 	Alinhar	o	apetite	a	risco	com	a	estratégia	adotada	–	os admi-
nistradores avaliam o apetite a risco da organização ao anali-
sar as estratégias, definindo os objetivos a elas relacionados 
e desenvolvendo mecanismos para gerenciar esses riscos.
2.	 	Fortalecer	as	decisões	em	resposta	aos	riscos	–	o ge-
renciamento de riscos corporativos possibilita o rigor na 
 9Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
identificação e na seleção de alternativas de respostas aos 
riscos – como evitar, reduzir, compartilhar e aceitar os riscos.
3.	 Reduzir	as	surpresas	e	prejuízos	operacionais	–	organi-
zações adquirem melhor capacidade para identificar even-
tos em potencial e estabelecer respostas a estes, reduzindo 
surpresas e custos ou prejuízos associados.4.	 Identificar	e	administrar	riscos	múltiplos	e	entre	empre-
endimentos	 –	 toda organização enfrenta uma gama de 
riscos que podem afetar diferentes áreas da organização. 
A gestão de riscos corporativos possibilita uma resposta 
eficaz a impactos inter relacionados e, também, respostas 
integradas aos diversos riscos.
5.	 Aproveitar	oportunidades	–	pelo fato de considerar todos 
os eventos em potencial, a organização posiciona-se para 
identificar e aproveitar as oportunidades de forma proativa.
6.	 Otimizar	o	 capital	 –	a obtenção de informações adequa-
das a respeito de riscos possibilita à administração conduzir 
uma avaliação eficaz das necessidades de capital como um 
todo e aprimorar a alocação desse capital.
Essas qualidades, inerentes ao gerenciamento de riscos corporativos 
ajudam os administradores a atingir as metas de desempenho e de 
lucratividade da organização, e evitam a perda de recursos. O geren-
ciamento de riscos corporativos contribui para assegurar comunica-
ção eficaz e o cumprimento de leis e regulamentos, bem como evitar 
danos à reputação da organização e suas conseqüências. Em suma, 
o gerenciamento de riscos corporativos ajuda a organização a atingir 
seus objetivos e a evitar os perigos e surpresas em seu percurso.
2.2 EVENTOS – RISCOS E OPORTUNIDADES
Os eventos podem gerar impacto tanto negativo quanto positivo 
ou ambos. Os que geram impacto negativo representam riscos que 
 10Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
podem impedir a criação de valor ou mesmo destruir o valor existente. 
Os de impacto positivo podem contrabalançar os de impacto negativo 
ou podem representar oportunidades, que por sua vez representam a 
possibilidade de um evento ocorrer e influenciar favoravelmente a rea-
lização dos objetivos, apoiando a criação ou a preservação de valor. A 
direção da organização canaliza as oportunidades para seus proces-
sos de elaboração de estratégias ou objetivos, formulando planos que 
visam ao aproveitamento destes.
2.3 DEFINIÇÃO DE GERENCIAMENTO 
DE RISCOS CORPORATIVOS
A gestão de riscos corporativos trata riscos e oportunidades que 
afetam a criação ou a preservação de valor, sendo definido, pela me-
todologia COSO da seguinte forma:
O gerenciamento de riscos corporativos é um processo conduzido em 
uma organização pelo conselho de administração, diretoria e demais 
empregados, aplicado no estabelecimento de estratégias, formuladas 
para identificar em toda a organização eventos em potencial, capazes 
de afetá-la, e administrar os riscos de modo a mantê-los compatível 
com o apetite a risco da organização e possibilitar garantia razoável 
do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamen-
to de riscos corporativos é:
1. um processo contínuo que flui através da organização;
2. conduzido pelos profissionais em todos os níveis da 
organização;
3. aplicado à definição das estratégias;
4 - aplicado em toda a organização, em todos os níveis e uni-
dades, e inclui a formação de uma visão de portfólio de to-
dos os riscos a que ela está exposta;
 11Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
5 - formulado para identificar eventos em potencial, cuja ocor-
rência poderá afetar a organização, e para administrar os 
riscos de acordo com seu apetite a risco;
6 - capaz de propiciar garantia razoável para o conselho de 
administração e a diretoria executiva de uma organização;
7 - orientado para a realização de objetivos em uma ou mais 
categorias distintas, mas dependentes. 
Essa definição é intencionalmente ampla e adota conceitos fundamen-
tais sobre a forma como as empresas e outras organizações adminis-
tram riscos, possibilitando uma base para sua aplicação em organi-
zações, indústrias e setores. O gerenciamento de riscos corporativos 
orienta seu enfoque diretamente para o cumprimento dos objetivos 
estabelecidos por uma organização específica e fornece parâmetros 
para definir a eficácia desse gerenciamento de riscos.
2.4 REALIZAÇÃO DE OBJETIVOS
Com base na missão ou visão estabelecida por uma organização, a ad-
ministração estabelece os planos principais, seleciona as estratégias 
e determina o alinhamento dos objetivos nos níveis da organização.
Essa estrutura de gerenciamento de riscos corporativos é orientada a 
fim de alcançar os objetivos de uma organização e são classificados 
em quatro categorias:
1. Estratégicos – metas gerais, alinhadas com o que suportem 
à sua missão.
2. Operações – utilização eficaz e eficiente dos recursos.
3. Comunicação – confiabilidade de relatórios.
4. Conformidade – cumprimento de leis e regulamentos aplicáveis.
Essa classificação possibilita um enfoque nos aspectos distintos do ge-
renciamento de riscos de uma organização. Apesar de dessas catego-
rias serem distintas, elas se inter-relacionam, uma vez que determinado 
 12Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
objetivo pode ser classificado em mais de uma categoria, tratam de 
necessidades diferentes da organização e podem permanecer sob a 
responsabilidade direta de diferentes executivos. Essa classificação 
também permite diferenciar o que pode ser esperado de cada catego-
ria de objetivos. A salvaguarda dos recursos, outra categoria utilizada 
por algumas organizações, também é descrita.
Em razão do fato dos objetivos relacionados com a confiabilidade e re-
latórios e o cumprimento de leis e regulamentos estarem sob controle 
da organização, pode-se esperar que o gerenciamento de riscos cor-
porativos forneça uma garantia razoável em relação ao atendimento 
desses objetivos. Entretanto, a realização de objetivos estratégicos e 
operacionais está sujeita à ação de eventos externos nem sempre sob 
o controle da organização; da mesma forma, em relação a esses ob-
jetivos, o gerenciamento de riscos corporativos é capaz de propiciar 
uma garantia razoável que a diretoria executiva e o conselho de ad-
ministração, na função de supervisão, serão informados, no momen-
to adequado, o quanto a organização está avançando na direção do 
atendimento dos objetivos.
2.5 COMPONENTES DO GERENCIAMENTO 
DE RISCOS – METODOLOGIA COSO – ERM 
O gerenciamento de riscos corporativos é constituído de oito compo-
nentes inter-relacionados, segundo a Metodologia COSO – ERM (En-
terprise Risk Management): 
	 Ambiente	 Interno	 –	o ambiente interno compreende o tom 
de uma organização e fornece a base pela qual os riscos são 
identificados e abordados pelo seu pessoal, inclusive a filoso-
fia de gerenciamento de riscos, o apetite a risco, a integridade 
e os valores éticos, além do ambiente em que estes estão.
	 Fixação	 de	 Objetivos	 –	 os objetivos devem existir an-
tes que a administração possa identificar os eventos em 
 13Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
potencial que poderão afetar a sua realização. O geren-
ciamento de riscos corporativos assegura que a admi-
nistração disponha de um processo implementado para 
estabelecer os objetivos que propiciem suporte e estejam 
alinhados com a missão da organização e sejam compatí-
veis com o seu apetite a riscos.
	 Identificação	de	Eventos	–	os eventos internos e externos 
que influenciam o cumprimento dos objetivos de uma orga-
nização devem ser identificados e classificados entre ris-
cos e oportunidades. Essas oportunidades são canalizadas 
para os processos de estabelecimento de estratégias da 
administração ou de seus objetivos.
	 Avaliação	de	Riscos	–	os riscos são analisados, considerando-
se a sua probabilidade e o impacto como base para determinar 
o modo pelo qual deverãoser administrados. Esses riscos são 
avaliados quanto à sua condição de inerentes e residuais.
	 Resposta	a	Risco	–	a administração escolhe as respostas 
aos riscos - evitando, aceitando, reduzindo ou comparti-
lhando – desenvolvendo uma série de medidas para alinhar 
os riscos com a tolerância e com o apetite a risco.
	 Atividades	 de	 Controle	 –	 políticas e procedimentos são 
estabelecidos e implementados para assegurar que as res-
postas aos riscos sejam executadas com eficácia. 
	 Informações	 e	 Comunicações	 –	as informações relevan-
tes são identificadas, colhidas e comunicadas no prazo que 
permitam que cumpram suas responsabilidades. A comu-
nicação eficaz também ocorre em um sentido mais amplo, 
fluindo em todos níveis da organização.
	 Monitoramento	 –	 a integridade da gestão de riscos 
corporativos é monitorada e são feitas as modificações 
necessárias. O monitoramento é realizado através de ativi-
dades gerenciais contínuas ou avaliações independentes 
ou de ambas as formas.
 14Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
A rigor, o gerenciamento de riscos corporativos não é um processo em 
série pelo qual um componente afeta apenas o próximo. É um proces-
so multidirecional e interativo segundo o qual quase todos os compo-
nentes influenciam os outros.
Informações e Comunicações
Monitoramento
Atividades de Controle
Resposta ao Risco
Avaliação de Riscos
Fixação de Objetivos
Ambiente Interno
Estr
atég
ico
Ope
raci
ona
l
Com
uni
caç
ão
Con
form
idad
e
Figura	1	-	Visão	Tridimensional	da	Metodologia	COSO	-	ERM
2.6 RELACIONAMENTO ENTRE OBJETIVOS E OS 
COMPONENTES DA METODOLOGIA COSO - ERM
Existe um relacionamento direto entre os objetivos, que uma organiza-
ção empenha-se em alcançar, e os componentes do gerenciamento de 
riscos corporativos, que representam aquilo que é necessário para o 
seu alcance. Esse relacionamento é apresentado em uma matriz tridi-
mensional em forma de cubo.
As quatro categorias de objetivos (estratégicos, operacionais, de co-
municação e conformidade) estão representadas nas colunas verti-
cais. Os oito componentes nas linhas horizontais e as unidades de 
uma organização na terceira dimensão. Essa representação ilustra a 
capacidade de manter o enfoque na totalidade do gerenciamento de 
riscos de uma organização, ou na categoria de objetivos, componen-
tes, unidade da organização ou qualquer um dos subconjuntos.
 15Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
3. ISO 31000 - Mudança de Paradigma
3.1 CONTEXTO
Durante os anos de 2007 e 2008 uma série de questões de riscos des-
de a crise de liquidez nos mercados financeiros até as preocupações 
emergentes sobre terrorismo, clima, disponibilidade de alimentos, infra 
estrutura e energia, focou a atenção global na fragilidade sistêmica dos 
processos estratégicos das nações e consequentemente do mundo. 
Uma conscientização do risco e gerenciamento de risco é cada vez 
mais vista como um pré-requisito para controle efetivo tanto no setor 
privado e como público. 
Dentro deste contexto é que neste segundo semestre de 2009 será lan-
çada oficialmente a ISO 31000, que possui como desafio integrar os dife-
rentes conceitos da Gestão de Riscos Corporativos. A norma está sendo 
desenvolvida por uma comissão especial da ISO (International Organiza-
tion for Standardization) e teve sua numeração definida como ISO 31000. 
A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamen-
tações e frameworks publicados anteriormente e que de alguma forma 
estão relacionados com a gestão de riscos. A origem da norma, que 
pode ser aplicada por empresas ou indivíduos e fornece diretrizes para 
implementação de gestão de riscos em organizações de qualquer tipo, 
tamanho ou área de atuação, vem da necessidade das corporações 
de lidar com as incertezas que podem afetar os seus objetivos. Estes 
objetivos podem estar relacionados com várias atividades da organiza-
ção, desde as iniciativas estratégicas como as atividades operacionais, 
processos ou projetos. Assim, a norma pode ser aplicada aos vários 
tipos de riscos ligados aos diferentes setores da organização, tais como 
 16Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
financeiro, saúde e meio ambiente, tecnologia da informação, seguran-
ça empresarial, seguros, e de projetos, entre outros, incluindo a visão 
moderna de que risco também é oportunidade.
A ISO 3100 surge também para integrar as diversas metodologias e 
terminologias, pois hoje ainda há falta de consenso em relação à termi-
nologia e aos conceitos utilizados para a gestão de riscos.
O resultado mais comum dessa equação é que a gestão de riscos aca-
ba sendo tratada de forma ISOlada, fazendo com que vários gestores 
( saúde, meio ambiente, segurança de TI e empresarial, legal, finan-
ceiro, seguros, entre outros) trabalhem em ilhas departamentais, o que 
ocasiona a utilização de terminologias, sistemas, critérios e conceitos 
diferentes para cada uma das áreas da empresa. Ou seja cada depar-
tamento não possui o denominado impacto cruzado, não enxerga o 
impacto do risco que está estudando em outras áreas e ou processos. 
A ISO 31000 possui processo consistente e uma estrutura abrangente 
para ajudar a assegurar que o risco será gerenciado de forma eficaz, 
eficiente e coerentemente. Por esta razão a abordagem é genérica 
fornecendo os princípios e diretrizes para gerenciar qualquer forma de 
risco de uma maneira sistemática, transparente e confiável, dentro de 
qualquer escopo e contexto. 
Segundo o texto do Projeto ABNT/CEE-63 Projeto 63.000.01-001 de 
agosto de 2009, projeto este elaborado pela Comissão de Estudo Es-
pecial de Gestão de Riscos da ABNT, previsto para ser equivalente 
à ISO 31000, descreve na sua página 04 e 05, as possibilidades da 
gestão de riscos nas empresas: 
- aumentar a probabilidade de atingir os objetivos;
- encorajar uma gestão proativa;
- estar atento para a necessidade de identificar e tratar os 
riscos através de toda organização;
- melhorar a identificação de oportunidades e ameaças; 
- atender às normas internacionais e requisitos e regulamen-
tos pertinentes;
 17Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
- melhorar o reporte das informações financeiras;
- melhorar a governança corporativa;
- melhorar a confiança das partes interessadas;
- estabelecer uma base confiável para a tomada de decisão 
e o planejamento;
- melhorar os controles;
- alocar e utilizar eficazmente os recursos para o tratamento 
dos riscos;
- melhorar a eficácia e a eficiência operacional;
- melhorar o desempenho em saúde e segurança, bem como 
proteção ao meio ambiente;
- melhorar a prevenção de perdas e a gestão de incidentes;
- minimizar perdas;
- melhorar a aprendizagem organizacional; e 
- aumentar a resilência da organização. 
3.2 ORGANIZAÇÃO DA NORMA
3.2.1	Organização
A norma possui a seguinte organização: 
Introdução
 1. Escopo
 2. Termos e Definições
 3. Princípios
 4. Estrutura
 5. Processo
 6. Anexos: A Atributos de uma gestão de riscos avançada 
 18Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
3.2.2	Estrutura
O sucesso da gestão de riscos depende da estrutura de gestão que 
fornece os fundamentos e os arranjos que irão incorporá-la através da 
organização, em todos os níveis. A estrutura descreve os componen-
tes necessários da estrutura para gerenciar riscos e a forma como eles 
se inter-relacionam. O diagrama abaixo foi retirado do Projeto ABNT/
CEE-63 Projeto 63.000.01-001 de agosto de 2009 (página 15), projeto 
este elaboradopela Comissão de Estudo Especial de Gestão de Ris-
cos da ABNT, previsto para ser equivalente à ISO 31000:
Figura	2	-	Relacionamento	entre	os	componentes	da	estrutura	para	gerenciar	riscos
3.2.3	Processo
O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 
de agosto de 2009, projeto este elaborado pela Comissão de Estudo 
Especial de Gestão de Riscos da ABNT, previsto para ser equivalente 
à ISO 31000, página 20 e 21 é: 
Convém que o processo de gestão de riscos seja: 
- parte integrante da gestão;
- incorporado na cultura e nas práticas, e 
- adaptado aos processo de negócio da organização. 
 19Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Ele compreende as seguintes atividades:
Figura	3	-	Processo	de	gestão	de	riscos
Genéricamente o processo estruturado sugerido possui sete fases 
claramente identificadas, sendo um processo retro alimentativo. Ou 
seja segue os princípios do ciclo da qualidade, PDCA – Plan – Do – 
Check – Action. 
A fase de comunicação e consulta abrange todas elas e é inter-relacio-
nada. Abrange tanto a comunicação interna e externa, assegurando que 
os responsáveis e partes interessadas compreendam os fundamentos 
sobre os quais as decisões são tomadas e as respectivas razões. 
A fase do estabelecimento do contexto é entender os fatores e as 
variáveis externas, incluindo os fatores chaves, as tendências e as 
relações com as partes interessadas externas e suas percepções 
de valores. Já no contexto interno é entender seus objetivos estra-
tégicos, a cultura, processos, estrutura e estratégia. No contetxo 
estabelece o processo de gestão de riscos com sua estrutura, seus 
 20Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
critérios e métodos que a organização deverá utilizar. Define-se me-
tas e objetivos além de responsabilidades e o apetite ao risco que a 
organização quer possuir. 
A	fase	da identificação	de	riscos, no processo de avaliação de ris-
cos, é a listagem dos perigos que o processo, departamento e ou 
empresa possui com as respectivas fontes de riscos. 
A identificação deve ser crítica, pois um risco que não é identificado 
nesta fase não será incluído em análises posteriores. Fica claro que 
esta é a fase estratégica pois é nesta que se entende os fatores de 
riscos, os fatores facilitadores da existência do risco na empresa.
A fase de análise de riscos desenvolve a compreensão dos riscos. 
Com a compreensão dos riscos é que a empresa poderá tomar de-
cisão sobre seu tratamento. Nesta fase, estima-se a Probabilidade e 
Consequência do risco na empresa. A análise envolve a apreciação 
das causas e as fontes de risco, suas conseqüências positivas e nega-
tivas, e a probabilidade de que essas conseqüências possam ocorrer. 
A norma não especifica critérios e métodos, sendo que a organização 
é que deve escolher, tendo em vista as características do negócio.
A fase da avaliação de riscos é para auxiliar na tomada de decisões 
com base nos resultados da análise de riscos, sobre quais riscos 
necessitam de tratamento e a prioridade para a implementação do 
tratamento. A avaliação de riscos envolve comparar o nível de risco 
encontrado durante a análise de riscos. Deve-se utilizar uma Matriz de 
Riscos como ferramenta de gestão. 
A	 fase	 de	Tratamento	 de	Riscos envolve um processo cíclico com-
posto por: 
- a avaliação do tratamento já realizado;
- a decisão se os níveis de risco residual são toleráveis;
- se não forem toleráveis, a definição e implementação de um 
novo tratamento;
- a avaliação e eficácia desse tratamento. 
 21Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
As opções de tratamento são as universais: 
- a ação de evitar o risco;
- a tomada ou aumento do risco – se o risco for positivo;
- a remoção da fonte de riscos;
- a alteração da probabilidade;
- a alteração das conseqüências;
- o compartilhamento do risco; e
- a retenção do risco por uma decisão consistente e bem 
embasada. 
A	última	 fase,	monitoramento	 e	 análise	crítica é a fase da checa-
gem ou das vigilâncias regulares. Podem ser regulares – periódicas 
ou acontecerem em resposta a um fato específico. Deve haver uma 
definição clara e direta das responsabilidades de quem vai realizar o 
monitoramento e análise crítica. 
3.2.4	Registros	do	Processo	de	Gestão	de	Riscos			
As atividades de gestão de riscos devem ser rastreáveis. Ou seja deve 
haver registros, pois estes fornecem os fundamentos para melhoria 
dos métodos e ferramentas, bem como de todo o processo. 
3.3 CONCLUSÃO
O grande desafio no desenvolvimento da ISO 31000 estava em esta-
belecer uma linguagem comum, bem como padronizar as melhores 
práticas e abordagens para que as organizações possam implementar 
a gestão de riscos em seus processos.
Por se tratar de uma proposta de convergência alinhada com a visão 
integrada de ERM (Enterprise Risk Management), a nova norma não 
concorre com outras orientações já existentes, fornecendo orientações 
e alinhamento com outros conjuntos de regras específicos.
 22Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
4. Framework do Processo de 
Gestão e Análise de Riscos 
Corporativos – Método Brasiliano
4.1 VISÃO GERAL DO MÉTODO
O gerenciamento do risco é uma parte do processo de gerenciamento 
empresarial. O gerenciamento do risco é um processo de múltiplas 
facetas, aspectos adequados dos quais são freqüentemente melhores 
realizados por uma equipe múltipla disciplinar. É um processo interati-
vo de melhoria contínua.
O Método Avançado de Gestão e Análise de Riscos Corporativos – 
Método Brasiliano possui como elementos principais do processo o 
mostrado na figura abaixo, que estão alinhados com a Futura Norma 
ISO 31000. Os elementos principais do processo estão integrados no 
ciclo do P (Plan) D (Do) C (Check) A (Action). 
No Método Brasiliano sugerimos ferramentas e critérios nas fases de 
identificação, análise e avaliação de riscos. Estas ferramentas e crité-
rios são frutos da experiência da Brasiliano & Associados na implanta-
ção de projetos de Gestão de Riscos nas empresas clientes.
 23Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Figura	4	-	Fases	do	Método	Brasiliano	–	Adaptado	da	ISO	31000
Figura	5	-	Ciclo	PdCA	x	Fases	de	Gestão	e	
Análise	de	riscos	do	Método	Brasiliano
 24Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
4.2 DESCRIÇÃO DOS ELEMENTOS 
PRINCIPAIS DO MÉTODO 
4.2.1	Comunicação	e	Consulta	
A comunicação e consulta é a forma como vai estabelecer o processo e a 
estratégia de comunicação com as partes interessadas. É uma fase que 
permeia todo o processo de gestão e análise de riscos. É extremamente 
estratégico, pois sem a comunicação não vai existir processo de gestão 
de riscos tendo em vista não sensibilizar os usuários do processo. 
4.2.2	Contextos	Estratégicos		
O estabelecimento do contexto é dividido em três níveis. O primeiro diz 
respeito ao entendimento da empresa, através da compreensão dos ob-
jetivos estratégicos e organizacionais, a cultura e como ela – empresa – 
pensa sobre a questão de gestão de riscos. O segundo nível é sobre as 
variáveis externas incontroláveis que poderão interferir ou expor os obje-
tivos estratégicos da empresa. Na verdade há necessidade de construir 
cenários de riscos estratégicos. O terceiro nível é sobre a Política de 
Gestão de Riscos da empresa, onde será detalhado a estrutura que se 
vai trabalhar e quais critérios e metodologia a empresa vai utilizar. 
4.2.3	Identificação	dos	Perigos	e	dos	Fatores	de	Riscos	
Esta terceira fase possui três objetivos: 
1. Identificar e listaros perigos que a empresa, unidades, pro-
cessos e ou departamentos estão expostos. A listagem deve 
ser realizada através de reuniões do tipo BRAINSTORMING, 
levantando tanto os perigos conhecidos como os desconheci-
dos. Os perigos desconhecidos são aqueles que nunca acon-
teceram, porém podem ocorrer, mesmo que remotamente;
2. Identificar os fatores de Riscos. Os Fatores de Riscos, 
também chamados de Fatores Facilitadores e ou Fontes 
de Riscos, são os eventos que podem potencializar a 
 25Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
concretização dos perigos. São variáveis controláveis e in-
controláveis. Utilizamos para isso a Ferramenta de Gestão 
o Diagrama de Causa e Efeito; 
3. Avaliar os Fatores de Riscos. A avaliação dos fatores de ris-
cos é a mensuração dos respectivos fatores com o objetivo 
de identificar quais são os fatores de maior importância e 
ou motricidade. Ou seja quais são os fatores que devem 
ser tratados, quais fatores interferem no contexto de riscos. 
Utilizamos para isso duas Ferramentas de Gestão: a Matriz 
SWOT e ou a Matriz de Impactos Cruzados. 
4.2.4	Análise	de	Riscos
Nesta fase estabelecemos critérios para os dois parâmetros univer-
sais: a Probabilidade e o Impacto. Os critérios para os dois parâme-
tros são de suma importância para a elaboração do estudo de análise 
de riscos. O Cruzamento destes dois parâmetros tem como resultado 
uma Matriz de Riscos. 
4.2.5	Avaliação	de	Riscos	–	Nível	de	Riscos		
Comparar os níveis de riscos em relação ao critério pré-estabelecido. 
A relevância dos riscos possui como parâmetro a Matriz de Riscos. 
O resultado da matriz de riscos é o grau de criticidade, ou seja, qual é 
a priorização que a empresa deve tratar cada risco, frente ao seu ape-
tite ao risco. A matriz é dividida em quadrantes e para cada quadrante 
há uma estratégia de tratamento e priorização. Cabe ressaltar que é 
nesta fase também que estabelece o Grau de Riscos dos Processos 
estudados e ou das Unidades/Sites Empresariais. 
4.2.6	Respostas	aos	Riscos	–	Plano	de	Ação
O Plano de Ação é o tratamento dos riscos, ou seja qual será a res-
posta que a empresa terá que operacionalizar. Aceitar, Reter, Reduzir, 
Transferir, Explorar e ou Evitar? Desenvolver e implementar um pla-
no específico de gerenciamento o qual inclui consideração de provi-
 26Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
mento de fundos. O Plano de Ação é o conjunto de medidas organi-
zacionais, sistemas técnicos de prevenção e monitoração, recursos 
humanos que gerenciarão os riscos. O Plano de Ação é elaborado 
com base nos Fatores de Riscos visando mitigar e diminuir as proba-
bilidades dos riscos. 
4.2.7	Monitoração	e	Análise	Crítica	
Esta fase diz respeito a monitorar e revisar o desempenho das ações 
e do sistema de gerenciamento de risco e proceder a mudanças que 
possam afetá-lo.
 27Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
5. Comunicação e Consulta
5.1. IMPORTÂNCIA DA COMUNICAÇÃO
A comunicação e consulta são importantes aspectos a serem considera-
dos em cada fase do processo de gestão e análise de riscos corporativos.
É importante desenvolver um plano de comunicação com as partes 
envolvidas internas e externas, logo no primeiro estágio do processo. 
A comunicação envolve diálogo entre as partes envolvidas, tendo 
como foco a consulta e não somente a comunicação de via única. 
A comunicação interna e externa eficaz é importante para assegurar 
que os responsáveis pela implementação da gestão de riscos e os 
investidores compreendam as bases sobre as quais as decisões são 
tomadas, e por que determinadas ações são necessárias.
A percepção do risco pode variar em função de diferentes hipóteses, 
conceitos e necessidades, e de questões e interesses das partes envol-
vidas, por estarem relacionados ao risco ou aos assuntos em discussão. 
As partes envolvidas tendem a julgar a aceitabilidade de um risco ba-
seadas em sua própria percepção do risco. 
Uma vez que as partes envolvidas podem ter um impacto significativo 
nas decisões tomadas, é importante que sua percepção do risco, bem 
como sua percepção dos benefícios, seja, identificadas e documenta-
das, e as razões subjacentes, compreendidas e abordadas.
 28Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
5.2 CONCEITO DE ENDOMARKETING
Endomarketing é um conceito novo que objetiva fortalecer as relações 
internas da empresa. O endomarketing consiste em realizar ações de 
marketing voltadas para seu público interno, com a finalidade de pro-
mover a integração entre os variados departamentos da organização, 
visando compartilhar, neste caso de gestão e análise de riscos cor-
porativos a importância, critérios, valores e objetivos estratégicos da 
implantação do Gestão de Riscos na empresa entre os usuários.
Como um dos objetivos do endomarketing é a integração, onde o 
público interno irá melhor interagir, cumprindo com os objetivos da 
gestão e análise de riscos corporativos com maior facilidade. O ferra-
mental primordial é o treinamento e a divulgação. O treinamento inter-
no motiva e valoriza as variadas funções dos colaboradores, visando 
conquistar a confiança e maximizando a produtividade. Já a divulga-
ção faz com que todos os resultados e metas do processo de gestão 
e análise de riscos estejam sendo circulados, reforçando os critérios 
e metodologia do processo de GR, bem como interage todos os fun-
cionários, fazendo com que haja um sentimento de time, de equipe. 
Todos se sentem comprometidos.
5.3 ENDOMARKETING ESPECÍFICO 
PARA A GESTÃO E ANÁLISE DE RISCOS
O Profissional de gestão de riscos necessitam entender e saber uti-
lizar os recursos que possuem, para poder sobressair e destacar o 
processo, reforçando as medidas preventivas e pró-ativas. 
O endomarketing na gestão de riscos é um trabalho de conscientiza-
ção dos riscos e de seus controles e sistemas . É um grande desafio 
para o departamento de marketing e recursos humanos implementar 
junto com a gestão de riscos um programa eficiente e prático.
 29Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
O grande desafio é saber vender que o processo de gestão e análise 
de riscos corporativos será útil para todos os usuários, pois terão con-
dições de possuir uma visão de antecipação dos possíveis problemas. 
Com esta visão os colaboradores passam a prospectar cenários de 
riscos, agindo de forma pró ativa e não somente reagindo aos pro-
blemas. Há a necessidade da implementação do endormaketing para 
que possa ser compreendido e haja uma forte colaboração por parte 
do seu público interno. 
O endomarketing na gestão e análise de riscos possui três premis-
sas básicas:
1. O público alvo de sua campanha são todos os colabora-
dores da organização, considerados como cliente interno. 
Como todo “Cliente”, este só pode ser conquistado e retido 
com um serviço onde haja qualidade;
2. O cliente interno como o externo possui expectativas e es-
tas devem ser superadas, portanto a gestão de riscos tem 
de compreender a expectativa e cultura dos colaboradores 
para realizar um ajuste fino no programa de divulgação; 
3. A excelência da operacionalização do processo de gestão e 
análise de riscos corporativos significa envolver os colabo-
radores e comprometê-los com os objetivos do GR.
Essas três premissas trazem como conseqüência direta o entendi-
mento por parte dos colaboradores do que é a Gestão, Análise de 
Riscos e sua função. O endomarketing passará a estimular o GR nos 
seguintes aspectos: 
• conscientização da importância na prevenção dos sistemas 
e processosexistentes; 
• orientação para o público interno em respeitar normas e 
procedimentos. 
A Gestão de Riscos deve planejar o processo de comunicação como 
parte integrante da sua Política . O processo de endomarketing deve ser 
 30Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
realizado em conjunto com o departamento de Recursos Humanos da 
empresa e marketing, pois necessita conhecimento e informação espe-
cífica do público interno, informações estas que o RH já deve possuir.
Deve-se ter em mente que o treinamento é a principal alavanca do pro-
cesso de endomarketing. O treinamento precisa ser percebido como 
momento ótimo para o envolvimento do colaborador, para valorizá-lo 
como pessoa e comprometê-lo com os objetivos da empresa. O treina-
mento sempre é um investimento com retorno garantido em termos de 
qualidade , excelência e dedicação. 
A empresa que não puder se vender para seu público interno, tam-
pouco venderá para o externo. E isto é muito perigoso em uma época 
de competitividade agressiva e grande turbulência, como a que esta-
mos vivendo.
Um programa de endomarketing transmite confiança e credibilidade, 
ao mesmo tempo em que os valores compartilhados pela cultura orga-
nizacional, irão com certeza incentivar a postura pró-ativa em vez da 
reativa, assumindo desta forma um papel cada vez mais criativo, su-
gerindo soluções viáveis e lutando para que toda a organização possa 
cumprir seus objetivos. 
5.4 FASES DE UM PROGRAMA DE COMUNICAÇÃO 
Ao lado um framework com as fases de um programa completo de 
comunicação, que a área de gestão de riscos deve operacionalizar. 
 31Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Figura	6	-	Framework
 32Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
6. Contextos Estratégicos
6.1 GENERALIDADES
Ao estabelecer o contexto, a organização articula seus objetivos e de-
fine os parâmetros externos e internos a serem levados em considera-
ção ao gerenciar riscos, e estabelece o escopo e os critérios de risco 
para o restante do processo. 
Portanto temos três contextos a serem definidos e alinhados: 
- O Contexto Empresarial - Interno;
- O Contexto Externo – Cenários;
- O Contexto de Gestão de Riscos – Metodologia e critérios. 
6.2 CONTEXTO EMPRESARIAL 
6.2.1	Componentes	
O contexto empresarial diz respeito a identificação dos objetivos es-
tratégicos da empresa, seus fatores críticos de sucesso, sua estrutura 
organizacional, sua cultura e o ambiente interno no qual a organização 
busca atingir seus objetivos.
O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 
de agosto de 2009 (páginas 21 e 22), projeto este elaborado pela Co-
missão de Estudo Especial de Gestão de Riscos da ABNT, previsto 
para ser equivalente à ISO 31000, descreve sobre o ambiente interno: 
“O contexto interno é algo dentro da organização que pode influenciar 
a maneira pela qual uma organização gerenciará os riscos. Convém 
que ele seja estabelecido, por que: 
 33Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
a) a gestão de riscos ocorre no contexto dos objetivos da 
organização; 
b) convém que os objetivos e os critérios de um determinado 
projeto, processo ou atividade sejam considerados tendo 
como base os objetivos da organização como um todo, e 
c) algumas organizações deixam de reconhecer oportunida-
des para atingir seus objetivos estratégicos, de projeto ou 
de negócios, o que afeta o comprometimento, a credibilida-
de, a confiança e o valor organizacional. 
É necessário compreender o contexto interno. Isto pode incluir, mas 
não está limitado: 
- à governança, estrutura organizacional, funções e 
responsabilidades; 
- às políticas, objetivos e estratégias implementadas para 
atingi–los; 
- às capacidades, entendidas em termos de recursos e co-
nhecimento (por exemplo, capital, tempo, pessoas, proces-
sos, sistemas e tecnologias); 
- aos sistemas de informação, fluxos de informação e proces-
sos de tomada de decisão (formais e informais); 
- às relações com as partes interessadas internas, e suas 
percepções e valores. 
- às normas, diretrizes e modelos adotados pela organização, e 
- à forma e extensão das relações contratuais.”
Para isso sugerimos que o gestor disponha de um check list com o 
objetivo de melhor identificar as variáveis que compõem o contexto 
empresarial. Abaixo uma sugestão genérica, a título de exemplo:
1. A Empresa atua em qual segmento? Quais são os seus pro-
dutos e/ou serviços?
2. Atualmente, qual é a posição que da Empresa ocupa no 
ranking de seu segmento de atuação?
 34Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
3. Quais são os concorrentes diretos da Empresa? E os 
indiretos?
4. Quais são os fornecedores chave para da Empresa?
5. Quais são os objetivos estratégicos de médio prazo? 
6. A Empresa dispõe de Código de Conduta ou outras políticas 
relativas às práticas de negócio (valores éticos)?
7. Os colaboradores conhecem e entendem a(s) política(s) 
existentes na Empresa?
8. A Empresa pratica alguma política de incentivo para atingir 
suas metas? Ex.: Bônus para colaboradores.
9. Há algum meio de monitoramento que tenha por finalida-
de verificar a efetiva prática da(s) política(s) existente(s) na 
Empresa?
10. Atualmente, qual é a estrutura organizacional da Empresa? 
(Organograma).
11. O Organograma geral atende às necessidades de negócio 
da Empresa? Caso não, qual a necessidade que julga ne-
cessária e por quê?
12. Considerando a estrutura organizacional apresentada quais 
são as áreas consideradas como “áreas chave” e respecti-
vas atividades críticas em termos de faturamento?
13. A Estrutura Organizacional da Empresa é descentralizada, 
semi-integrada ou de sistema integrado?
6.3	CONTEXTO	EXTERNO	–	CENÁRIOS		
O contexto externo é o ambiente externo, onde estão inseridas as va-
riáveis incontroláveis. Entender o contexto externo é importante para 
entender quais são as variáveis que podem dificultar ou expor os obje-
tivos estratégicos e os respectivos Fatores Críticos de Sucesso. 
O contexto externo pode incluir, mas não está limitado a: 
 35Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
- os ambientes cultural, social, político, legal, regulamentar, 
financeiro, tecnológico, econômico, natural e competitivo, 
quer seja internacional, nacional, regional ou local; 
- os fatores–chave e as tendências que tenham impacto so-
bre os objetivos da organização; e 
- as relações com as partes interessadas externas e suas per-
cepções e valores. 
Podemos exemplificar os componentes do contexto externo: 
- Localização física da empresa: posição geográfica da insta-
lação (rios, estradas, elevação, condições climáticas, etc.);
- Configuração sócio-econômica da área em que a empresa 
está instalada (população vizinha, status social, área urba-
na/rural, instalações policiais);
- Situação político-financeira do país (legislação pertinente, 
identificação e análise dos órgãos que legitimam, planos 
governamentais e política econômica e financeira);
A gestão de Riscos poderá buscar a informação destas variáveis, de 
maneira direta ou indireta, através de duas fontes:
-	 Fontes	Primárias:	são as fornecidas no ambiente da em-
presa (troca de informações);
-	 Fontes	 Secundárias:	 fornecidas pelos órgãos governa-
mentais (colaboração integrada).
O nível de detalhamento e profundidade dependerá da necessidade e 
da influência do impacto sobre a empresa.
A natureza do ambiente muda com muita rapidez, conduzindo, à alte-
rações políticas e sociais. Esta rapidez exige da empresacapacidade 
impressionante de resposta e adaptação. Como exemplo de proble-
mas ambientais externos, podemos citar:
- Há previsões de recessão econômica, no país, o que au-
mentará o desemprego. Qual será a influência deste fato 
sobre a empresa? Aumentam as possibilidades de saque, 
 36Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
furto, roubo, mudança de relacionamento? A empresa está 
preparada para receber este impacto?
- As condições climáticas podem afetar a empresa? Ela está 
preparada para reagir a uma inundação? Existe plano de 
emergência com esta finalidade?
- Uma guerra pode ocorrer proximamente no Oriente Médio? 
Qual o impacto na minha empresa, uma multinacional, que 
apoia a intervenção militar? Há possibilidade de sabotagem 
ou ameaça de bomba? 
Estas indagações devem ser analisadas e seu impacto para a empre-
sa projetado. A gestão de riscos abrange toda a conjuntura ambiental, 
devendo avaliar todos os seus ângulos.
6.2.2	Cenários	Prospectivos	Brasil	–		
Segurança	Empresarial	–	Incertezas	Críticas
A Brasiliano & Associados e seus consultores construíram cenários em 
segurança Pública e Privada até 2020. A abordagem escolhida foi a 
Lógica Intuitiva e o método para construir os cenários estratégicos em 
segurança pública e privada para o Brasil foi o da GBN, descrito por 
Schwartz (1996). 
A opção pela lógica intuitiva teve como parâmetro básico a questão 
da forte interpretação subjetiva, uma vez que privilegia a evolução do 
presente para o futuro, partindo da análise das forças motrizes e do 
possível comportamento entre elas. As questões ligadas à segurança 
pública e privada devem estar interligadas pelo campo da sociologia, 
da política e da economia, devendo serem interpretadas por processo 
estruturado mas de grande amplitude, visando fornecer flexibilidade 
e total criatividade.
A questão principal é a questão que motivou a construção dos cenários 
estratégicos alternativos em segurança pública e privada. São elas: 
• Questão	 Principal:	 Cenários para a segurança pública 
e privada.
 37Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
• Horizonte	temporal	–	17 anos – 2003 a 2020
• Espaço	geográfi	co:	Brasil
Foram identifi cadas as incertezas críticas. As incertezas críticas são 
compostas pelas variáveis incertas (variáveis que se originam das per-
guntas para as quais ainda não se tem resposta) e que sejam de gran-
de importância para a questão principal ou exercem grande impacto na 
questão principal, caso ocorram. São as variáveis que determinarão a 
construção dos cenários. O estudo de seus possíveis comportamentos 
fornecerá informações aos planejadores que lhes permitirão preparar-
se para os diversos comportamentos plausíveis dessas variáveis. 
Para o caso da segurança pública e privada - empresarial no Brasil, 
foram identificadas duas incertezas críticas: 
- Condições Sócio-econômicas do Brasil; 
- Reformas na Segurança Pública e no Judiciário.
Com base nas duas incertezas críticas foram criados quatro cenários, 
que foram construídos e se movimentam em torno dos eixo vertical e 
horizontal. São eles: 
 
Segurança Pública
Lógica dos cenários
Melhora nas Condições
Sócio-Econômicas
Agravamento nas Condições
Sócio-Econômicas
Inefi ciência da
Reforma da Segurança
Pública e no Judiciário
Reforma na
Segurança Pública 
e no Judiciário
Lei de Gerson
Carandiru
Ordem e Progresso
Luta Inglória
Figura	7	-	Segurança	Pública	lógica	dos	Cenários
Fonte:	divisão	de	Pesquisas	-	Brasiliano	&	Associados
 38Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
FIlOSOFIAS	dOS	CENÁRIOS
A filosofia dos cenários sintetiza o movimento ou a direção fundamental 
da Questão Principal. Ela constitui a idéia-força de cada cenário. Quatro 
cenários, em princípio se formam no cruzamento das incertezas críticas:
	 Ordem	 e	 progresso	 – Caso haja melhoria nas condições 
sócio-econômicas e reforma eficiente na segurança pública 
e no judiciário. É o melhor cenário. Caem os índices do cri-
me organizado e dos eventos de violência urbana.
	 luta	inglória	– Caso a reforma tenha sucesso, mas não seja 
acompanhada da melhoria da situação sócio-econômica. 
Pode haver uma ligeira diminuição do crime organizado, 
mas a massa de operação dos crimes continua muito ativa 
devido às condições de pobreza e desigualdade.
	 lei	de	Gerson	– O cenário do crime instituído. Melhora a situ-
ação sócio-econômica, mas não há reforma da segurança pú-
blica e do judiciário. O crime organizado se fortalece para tirar 
proveito do aumento da riqueza e da distribuição de renda.
	 Carandiru	– Não há melhora na situação sócio-econômica 
nem reforma na segurança pública e no judiciário. É o pior 
cenário. Crime organizado e crimes derivados da violência 
urbana seguem em níveis alarmantes. 
Com base nestes Cenários estratégicos podemos prospectar os ce-
nários de curto prazo na área da segurança pública e privada. Como 
exemplo citamos algumas prospectivas: 
Roubo	de	carga,	Tráfico	de	drogas		e	Pirataria:	
 O crime organizado crescerá e se estruturará de tal forma 
que provocará o enfraquecimento dos poderes legais cons-
tituídos. A freqüência e aumento, destes tipos de crime exi-
girão investimentos pesados da iniciativa privada em geren-
ciamento de riscos.
 39Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Violência	Urbana	e	Seqüestro:	
 Os crimes de seqüestro e a violência continuarão a aconte-
cer, não alterando suas tendências, possibilitando impactos 
conseqüentes para outros tipos de crime. Ocorrerá redução 
pouco significante, tendo em vista as suas dinâmicas táticas.
Fraudes	e	Fuga	de	informação:	
 Fraudes e o crime cibernético crescerão a níveis preocu-
pantes, obrigando as empresas a alterarem seus meios de 
proteção e implantarem forte gerenciamento de riscos. 
Conflitos	Sociais:
 Tendo em vista as características da sociedade brasileira, 
mesmo com o esgarçamento do tecido social, os conflitos so-
ciais tendem a serem concretizados a médio e longo prazo. 
Terrorismo	Criminoso:
 As demonstrações de força, tanto para a polícia como 
para a população e sociedade, tendem cada vez mais a 
ficarem violentas. O tumulto, a desorganização, o medo 
na população será uma arma das facções para poderem 
impor clima de terror.
6.4	CONTEXTO	dA	GESTÃO	dE	RISCOS		
6.4.1	Componentes
O contexto da gestão de riscos diz respeito a estrutura organizacional 
da área, ou seja como que a empresa pretende gerenciar seus riscos, 
quais serão os critérios e metodologias a serem utilizadas. Isto tudo 
deve estar formalizada na Política de Gestão de Riscos da Empresa. 
O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 
de agosto de 2009, projeto este elaborado pela Comissão de Estudo 
Especial de Gestão de Riscos da ABNT, previsto para ser equivalente 
à ISO 31000, nas suas páginas 22 e 23 descreve contexto do processo 
 40Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
de gestão de riscos: “... irá variar de acordo com as necessidades de 
uma organização. Ele pode envolver, mas não está limitado : 
- à definição das metas e objetivos das atividades de gestão 
de riscos; 
- à definição das responsabilidades pelo processo e dentro 
da gestão de riscos; 
- à definição do escopo, bem como da profundidade e da 
amplitude das atividades da gestão de riscos a serem reali-
zadas, englobando inclusões e exclusões específicas; 
- à definição da atividade, processo, função, projeto, produto, 
serviço ou ativo em termos de tempo e localização; 
- à definição das relações entre um projeto, processo ouativi-
dade específicos e outros projetos, processos ou atividades 
da organização; 
- à definição das metodologias de avaliação de riscos; 
- à definição da forma como são avaliados o desempenho e a 
eficácia na gestão dos riscos; 
- identificação e especificação das decisões que têm que ser 
tomadas, e 
- à identificação, definição ou elaboração dos estudos neces-
sários, de sua extensão e objetivos, e dos recursos requeri-
dos para tais estudos. A atenção para estes e outros fatores 
pertinentes pode ajudar a assegurar que a abordagem ado-
tada para a gestão de riscos é apropriada às circunstân-
cias, à organização e aos riscos que afetam a realização de 
seus objetivos.” 
6.4.2	Critérios	de	Risco	
Convém que a organização defina os critérios a serem utilizados para 
avaliar a significância do risco. Os critérios devem ser definidos no 
início de qualquer processo de gestão de riscos e sejam analisados 
criticamente de forma contínua. 
 41Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 
de agosto de 2009, projeto este elaborado pela Comissão de Estudo 
Especial de Gestão de Riscos da ABNT, previsto para ser equivalente à 
ISO 31000, nas suas páginas 23 e 24 descreve os seguintes aspectos: 
- a natureza e os tipos de causas e de consequências que 
podem ocorrer e como elas serão medidas; 
- como a probabilidade será definida; 
- a evolução no tempo da probabilidade e/ou consequência(s); 
- como o nível de risco deve ser determinado; 
- os pontos de vista das partes interessadas; 
- o nível em que o risco se torna aceitável ou tolerável, e 
- se convém que combinações de múltiplos riscos sejam le-
vadas em consideração e, em caso afirmativo, como e quais 
combinações convém que sejam consideradas.”
O ideal é a definição clara e objetiva através de um documento estrutura-
do, que deve ser a Política de Gestão de Riscos. Na experiência da Bra-
siliano & Associados sugerimos que a política tenha os seguintes tópicos: 
1. Objetivos
2. Definições e Conceitos dos termos a serem utilizados
3. Descrição do Processo de Gestão e Análise de Riscos
 3.1 Identificação dos Riscos – Ferramenta
 3.2 Análise de Riscos – Critérios de Probabilidade e 
 Impacto
 3.3 Avaliação de Riscos – Matriz de Riscos
4. Avaliação do Nível de Riscos 
5. Respostas aos Riscos 
6. Priorização das ações
7. Monitoramento e Auditoria
8. Anexos – Dicionários de Riscos – conceituação dos riscos 
que a empresa irá utilizar
 42Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
7. Identificação dos Perigos 
e dos Fatores de Riscos 
7.1 CONTEXTO 
A identificação dos perigos e de seus fatores significa a compreensão 
das origens de cada perigo. Deve-se buscar responder por que o pe-
rigo existe na empresa. Quais são as condições que potencializam a 
concretização do evento estudado. 
A compreensão da origem do perigo é imperiosa para a eficácia no trata-
mento, na priorização que a empresa vai poder dedicar para mitigar aquela 
situação. Somente após o entendimento do porque da existência de cada 
perigo, é que se poderá sugerir medidas eficazes para reduzir riscos.
A identificação dos perigos abrange as seguintes fases: 
1. Conhecimento das Condições do processo, do departa-
mento e ou da Unidade que estamos estudando;
2. Listagem dos Perigos – Relacionar os perigos conhecidos e 
os desconhecidos;
3 . Definir os perigos, com o objetivo da empresa possuir um 
dicionário de riscos e falar a mesma linguagem;
4. Classificar os perigos, de acordo com a política e critério 
estabelecido no Contexto Estratégico;
5. Identificar os Fatores de Riscos ou os também chamados 
Fatores Facilitadores ou Fontes de Risco, através da ferra-
menta Diagrama de Causa e Efeito;
6. Identificar a Motricidade dos Fatores de Riscos, utilizando uma das 
ferramentas a Matriz SWOT ou a Matriz de Impactos Cruzados. 
 43Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Esta é a fase mais estratégica do processo de gestão e análise de 
riscos, pois sem identificar os perigos e seus fatores de riscos con-
cretamente, o estudo passa a ser superficial. A superficialidade do 
estudo coloca em exposição os objetivos estratégicos da empresa. 
Portanto o gestor deve investir tempo e metodologia nesta terceira 
fase do processo. 
7.2 CONHECENDO AS CONDIÇÕES DE RISCO
Para possuir uma visão holística e bem acurada dos perigos e de seus 
Fatores de Riscos há a necessidade de realizar uma avaliação das 
condições que estaremos realizando o estudo. Isto significa que pode 
ser desde um processo, ou um conjunto de processos, ou os proces-
sos de um departamento ou até mesmo as condições de controle e 
segurança da empresa.
Após saber e conhecer o negócio, suas estratégias, informações ad-
quiridas na fase 2 – Contextos Estratégicos - o gestor de riscos e pas-
sa a verificar as reais condições a serem levantadas. 
Os dados devem ser extraídos de observações e de visitas “in loco” 
na empresa, área ou processo, através de entrevistas com os gesto-
res, análise das plantas baixas, estudo das normas existentes, se-
guindo os testes:
a)	Teste	de	Compreensão:	
 Permite conhecer o funcionamento de todo o processo exis-
tente, bem como o fluxo operacional da unidade;
b)	Teste	de	Observância:	
 Permitirá verificar a validação dos processos, normas e sis-
temas integrados aplicados e utilizados, na empresa. 
Este estudo das condições deve responder a pelo menos duas perguntas: 
1) O que pode acontecer? Lista de perigos
 44Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
2) Como e porque pode acontecer? Causas e Cenários de Riscos
Podemos utilizar como referência a ferramenta: 
2W	1H	-		What?		Why?		How?
O processo de conhecer as condições é um diagnóstico que deve 
responder a pergunta básica: “qual a situação real da empresa, pro-
cessos e ou departamentos quanto aos seus aspectos de controle e 
segurança, frente a sua política de gestão de riscos e aos seus obje-
tivos estratégicos?”
Está análise deve ser efetuada da forma mais realista possível, pois 
qualquer distorção prejudicará todo o resto do processo de desenvol-
vimento e implantação de medidas preventivas e mitigatórias 
Qualquer empresa esta inserida dentro de um contexto, onde uma mul-
tiplicidade de variáveis e forças pode provocar mudanças ou abalar 
as estruturas organizacionais. Este contexto, que poderemos chamar 
de ambiente, varia constantemente e deve ser encarado tanto sob o 
ponto de vista interno, como externo.
Sob o ponto de vista da gestão de riscos e a variação permanente do 
ambiente cria oportunidades ou ameaças à empresa.
O diagnóstico corresponde a uma análise, ou uma fotografia e possui 
duas premissas básicas que devem ser consideradas:
A) O ambiente onde a empresa esta inserida e suas múltiplas 
variáveis.
B) O ambiente proporciona simultaneamente oportunidades que 
devem ser usufruídas e as ameaças que devem ser evitadas.
A análise do ambiente interno e externo deve ser integrada e contí-
nua. A empresa deve ter pleno conhecimento de seus pontos fortes e 
fracos para enfrentar as diversas situações, sejam contingenciais ou 
de rotina.
Para realizar o diagnóstico, enfocando as variáveis internas e externas, 
a política de gestão de riscos e já devem estar claramente definidas. 
 45Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
7.2.1	Análise	das	Variáveis	Externas	
A análise das varáveis externas tem por finalidade estudar a relação 
existente entre a empresa e seu ambiente, em termos de oportuni-
dades e ameaças.Este estudo já deve ter sido realizado frente aos 
objetivos estratégicos da empresa, na fase 2 – Contexto Estratégico. 
7.2.2	Análise	das	Variáveis	Internas
A análise das variáveis interna da empresa tem por finalidade eviden-
ciar as qualidades e as deficiências dos processos, controles e siste-
mas que a corporação possui.
A visão para a realização deste diagnóstico deve ser conjuntural, 
abrangendo todos os segmentos da organização. 
Quando se inicia o diagnóstico, deve-se ter definido: quais são os pro-
cessos a serem estudados e quais controles e sistemas estão ope-
racionalizados. Sem estes dois parâmetros é difícil avaliar os pontos 
fortes e fracos de um sistema e ou processo. 
Listamos abaixo, a título de exemplo os itens básicos a serem analisados: 
1. Cultura dos Colaboradores;
2. Turno de Trabalho dos Colaboradores;
3. Finalidade da Empresa;
4. Relação Colaboradores-Empresa;
5. Áreas Físicas;
6. Serviços Contratados;
7. Experiência Anterior;
8. Indenização;
9. Barreira Perimetral;
10. Segurança de Edifícios;
11. Sistema de Iluminação;
12. Controle de Chaves;
13. Controles Internos;
 46Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
14. Proteção a Incêndios;
15. Corpo de Segurança;
16. Sistemas Integrados;
17. Planos Formalizados Existentes: Segurança, Emergência e 
de Continuidade de Negócios.
Listamos outro check-list na área de processos, a título de exemplo:
1. A Empresa aplica algum meio de conciliação das informa-
ções das áreas chave?
2. A Empresa dispõe de unidades de negócio localizadas fora de 
sua Sede. Elas são convenientemente monitoradas quanto à 
produção, resultados, ambiente, meios, controles, etc.? Como?
3. A Empresa dispõe de estoque para peças e/ou produtos 
acabados?
4. Quais são os tipos de controles utilizados pelas áreas chave 
em suas atividades críticas? (Relatórios, planilhas, etc).
5. A Alta Administração dá a devida atenção aos seus consi-
derados, controles internos?
6. Há uma clara estrutura dos papéis e responsabilidades indi-
viduais dos colaboradores no contexto da Empresa? (Des-
crição de cargos e o que cada um contempla).
7. As equipes das áreas estão bem dimensionadas, conside-
rando inclusive os recursos necessários para a boa execu-
ção de suas atividades?
8. Os colaboradores possuem pleno conhecimento de suas 
atividades (importância, o que fazem; por que fazem)?
9. A Empresa possui programa de Reciclagem/Treinamentos 
Esporádicos para com seus colaboradores?
10. Caso sim, qual é a frequência?
11. Quais são as ferramentas tecnológicas disponíveis para a 
execução das atividades da Empresa? 
 47Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
12. Os recursos de TI atuais atendem às necessidades de exe-
cução e controle das atividades/operações da Empresa?
13. Existe um plano de treinamento específico para o usuário 
dos sistemas de informação? 
14. Existe um plano de instrução de negócios/recuperação de 
desastre formalizado?
15. Os sistemas dos aplicativos utilizados atendem às necessi-
dades do processo envolvido?
16. Os sistemas dos aplicativos utilizados são vulneráveis a 
acessos e alterações de dados?
17. Existem procedimentos formalizados para garantir a segu-
rança da informação?
18. São realizados backup’s periódicos para as atividades/infor-
mações críticas do processo?
19. As informações críticas transmitidas interna ou externamen-
te são criptografadas durante o processo?
20. Existe um responsável de segurança de informação a nível 
executivo?
21. Existem sistemas e controles específicos para captura de 
dados relativos a eventos de segurança, incluindo todas as 
fontes válidas, por exemplo nomes de usuários? 
22. Existem procedimentos periódicos de análise desses dados 
e eventos?
7.2.3	Formas	de	Realizar	um	diagnóstico
A melhor maneira de realizar um diagnóstico é colher as informações 
em campo, ou seja, olhar o que realmente está acontecendo. Há três 
maneiras de realizar a busca destas informações:
A)	Entrevistas	
 As entrevistas, geralmente nos níveis institucional, inter-
mediário e operacional têm por objetivo conhecer como 
 48Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
pensam tanto as pessoas que operam, como os usuários 
do processo.
B)	Verificação	de	documentos
 A verificação de documentos, tais como planos e normas, 
tem por meta conhecer o que preconizam as condutas e 
qual é a política de riscos da empresa.
C)	Trabalho	de	Campo
O trabalho de campo tem por finalidade comparar se o que está 
escrito e falado realmente acontece.
O ideal é que o diagnóstico possa ser realizado a partir destes três mé-
todos, para garantir uma noção clara e específica das reais condições. 
7.3 LISTAGEM DOS PERIGOS
7.3.1	Contexto	
A identificação deve incluir todos os perigos, estejam ou não sob o con-
trole da Unidade de Negócio. O objetivo é gerar uma lista abrangente de 
eventos que possam afetar a Unidade de Negócio. Esses perigos são en-
tão estudados detalhadamente, a fim de identificar o que pode acontecer. 
Operacionalmente, os perigos são identificados a partir do mapea-
mento dos diversos processos da empresa, entrevistas com os gesto-
res envolvidos, testes de auditoria e reuniões de Brainstorming.
7.3.2	Técnica	do	Brainstorming
O levantamento dos perigos e ou eventos deverá sair das reuniões de 
“brainstorming”. O propósito deste tipo de reunião é identificar tan-
to os perigos conhecidos como os desconhecidos. Ou seja aqueles 
eventos que nunca ocorreram na Unidade e ou processo.
A equipe deverá possuir um líder, visando direcionar os assuntos. Não 
deve haver censura e nem hierarquia em reuniões deste tipo, visando 
 49Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
não inibir a criatividade dos componentes da equipe. Algumas regras 
são importantes e devem ser seguidas: 
1. Expor as idéias com o máximo de espontaneidade, sem 
exercer autocensura.
2. Todas as idéias têm interesse, mesmo que pareçam “idéias 
loucas”. São essas, às vezes, as que contêm “algo de novo” 
e com valor.
3. Nenhuma idéia pode ser contestada ou debatida durante o 
“brainstorming”.
4. Quando um participante tiver uma idéia a apresentar, sugerida 
por outra já exposta por alguém, terá prioridade sobre os demais.
5. Importante é a quantidade das idéias apresentadas. 
Em geral, pela nossa experiência, o número de reuniões pode chegar a três, 
desde que os participantes da equipe façam suas lições de casa. Estudar 
as questões relativas aos riscos corporativos de suas empresas. A duração 
de cada reunião de “brainstorming” deve ser no máximo de uma hora e 
trinta minutos. Além deste tempo, estas ficam ineficazes, sem rendimento. 
Ao final das reuniões, deverá haver um consenso, por parte da equipe 
multidisciplinar, nos perigos levantados. 
7.4 DEFINIÇÃO DOS PERIGOS 
Em seguida à identificação dos perigos há a necessidade de definir, 
conceituar os perigos com o objetivo da empresa possuir um dicioná-
rio de riscos. Ao mesmo tempo há uma compreensão igualitária por 
toda a empresa sobre o conceito dos perigos identificados.
Abaixo segue, a título de exemplo, uma pequena listagem de definição 
e conceito de perigos. São eles: 
1.	Roubo/Assalto
 O roubo é uma agressão externa, através de uma ação planejada 
e armada, com o intuito de subtrair numerário (Posto Bancário). 
 50Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
2.	 Sabotagem	Interna
 A sabotagem interna pode ser realizada por colaboradores 
da empresa, ou seja pessoas que possuem e conhecem os 
processos de serviços e ou industriais.Teria dois focos: 
- as áreas críticas dos processos, tendo como objeti-
vo principal paralisar as atividades industriais, pre-
judicando desta forma suas atividades essenciais. 
- linha de produtos, tendo como objetivo atingir a 
imagem e sua respectiva credibilidade no merca-
do, atingindo a qualidade e distribuição no merca-
do consumidor. 
3.	 Sabotagem	Externa
 A sabotagem externa é realizada por pessoas estranhas a 
empresa. Desta forma seria um acesso não autorizado, po-
dendo ser desde uma intrusão pelo perímetro ( fragilidade da 
barreira perimetral) como falha nos acessos as áreas críticas. 
 Teria também dois focos: 
- as áreas críticas dos processos, tendo como objeti-
vo principal paralisar as atividades industriais, pre-
judicando desta forma suas atividades essenciais. 
- linha de produtos, tendo como objetivo atingir a 
imagem e sua respectiva credibilidade no merca-
do, atingindo a qualidade e distribuição no merca-
do consumidor. 
4.	 desvio	Interno
 O Desvio Interno de bens existentes na empresa. O des-
vio interno é focado, principalmente, nos produtos da em-
presa que possuam atratividade para comercialização no 
mercado paralelo. É a chamada “Operação Formiga”, ou 
seja os produtos são retirados da empresa de forma sis-
temática e constante, em quantidade e ou volumes que 
 51Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
não chamem muito a atenção. Geralmente os autores são 
colaboradores em conluio com terceiros. 
 Os autores agem de forma planejada, aproveitando as fragi-
lidades do processo de controle. 
5.	 	Fuga	de	Informação	
 Este risco está relacionado à questão da fuga involuntária, 
quando o ator – colaborador não age com a intenção, mas 
é induzido a falar sobre determinados assuntos. Para que 
exista uma real segurança do fluxo da informação há a ne-
cessidade deste sistema interagir com os usuários de algu-
ma forma. Essa interação é o elo mais fraco na corrente da 
segurança, sendo responsável pela fuga e / ou vazamento 
da informação.
 A fuga de informação também ocorre através de equipa-
mentos (notebooks/computadores) furtados contendo infor-
mações a todos os níveis da empresa. 
6.	 Fraudes	de	Terceiros
 Atividades fraudulentas cometidas por empregados, con-
sumidores, fornecedores, agentes, corretores ou adminis-
tradores terceiros contra a organização com a finalidade 
de ganho pessoal (ex. apropriação indébita de ativos físi-
cos, financeiros ou de informação) expõe a organização à 
perda financeira.
7.	 Fraudes	da	Gerência
 Fraudes cometidas pela Gerência (ex. relato inexato inten-
cional da declaração financeira ou apresentação inadequa-
da das capacidades ou intenções da organização) podem 
afetar adversamente as decisões dos investidores externos.
8.	 Conduta	Anti-Ética
 Uso não autorizado de ativos físicos, financeiros ou de informa-
ção da empresa por empregados ou outros expõem a organiza-
ção a um gasto desnecessário de recursos ou a perda financeira.
 52Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
9.	 Infra-Estrutura
 O risco da organização não ter a infra-estrutura de informá-
tica (ex. hardware, redes, software, pessoas e processos) 
adequada para suportar as exigências das informações atu-
ais e futuras do negócio em um modo efi ciente, com baixo 
custo e bem-controlada.
7.5 CLASSIFICAÇÃO DOS PERIGOS
Não há um tipo de classifi cação de riscos que seja consensual, exaustivo 
e aplicável a todas as organizações; a classifi cação deve ser desenvolvi-
da de acordo com as características de cada organização, contemplan-
do as particularidades da sua indústria, mercado e setor de atuação. Por 
exemplo: os estoques de materiais de consumo são menos relevantes 
para um banco do que para uma indústria, onde pode representar um 
dos principais fatores de risco. Analogamente, as variáveis relacionadas 
ao “risco de mercado” são cruciais para um banco e podem não ser tão 
relevantes para determinada organização manufatureira.
O IBGC sugere a seguinte classifi cação de riscos, conforme a Matriz abaixo: 
Figura	8
Fonte:	Guia	de	Orientação	de	Gerenciamento	de	Riscos	–	IBGC	-	2007
 53Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
A Norma de Gestão de Riscos da FERMA – Federation of European 
Management Associations sugere a seguinte classificação: 
	 Estratégicos	 - Relacionados com os objetivos estratégi-
cos da organização a longo prazo. Podem afetar por áreas 
como disponibilidade de capital, riscos de soberania e po-
líticos, alterações jurídicas e regulamentares, reputação e 
alteração ao meio ambiente físico.
	 Operacionais	 - Relacionados com os assuntos cotidianos 
com os quais a organização é confrontada quando se esfor-
ça para atingir os seus objetivos estratégicos.
	 Financeiros	- Relacionadas com a gestão e controle efica-
zes dos meios financeiros da organização e com os efeitos 
de fatores externos como, por exemplo, disponibilidade de 
crédito, taxas de câmbio, movimento das taxas de juros e 
outro tipo de orientações do mercado.
	 Gestão	do	conhecimento	- Relacionados com a gestão e 
controle eficazes dos recursos do conhecimento e com a 
produção, proteção e comunicação destes. Esta categoria 
engloba fatores externos como a utilização não autorizada 
ou abusiva da propriedade intelectual, as falhas de energia 
na zona e tecnologia competitiva. Do lado dos fatores inter-
nos podem referir-se avarias nos sistemas ou a perda de 
funcionários chave.
	 Conformidade	 - Relacionados com temas como saúde e 
segurança, meio ambiente, práticas comerciais, proteção 
do consumidor, proteção de dados, assuntos regulamenta-
res e legislação laboral.
Na área bancária os riscos são classificados como Riscos de Merca-
do, Crédito e Operacionais. 
Ponto importante para as empresas é possuir uma classificação de 
seus riscos para que possa enxergar de forma estratégia sua exposi-
ção e respectiva consequência.
 54Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Podemos especificar a Classificação dos riscos da seguinte forma: 
1. Estratégicos; 
2. Financeiros: abrangendo tanto a área de crédito como de 
mercado;
3. Operacional; 
4. Conformidade/Legal.
Na ótica estas quatro categorias abrangem todas as empresas. Pode-
mos especificar a Classificação dos riscos da seguinte forma: 
1. Estratégicos
 - Sua grande iniciativa falha, Seus clientes abandonam, Seu 
setor chega a uma bifurcação na estrada, Um concorren-
te aparentemente invencível aparece, Sua marca perde a 
força, Seu setor torna-se zona de lucro zero, Sua empresa 
para de crescer. 
2. Riscos Financeiros 
 - Risco de Taxas de Juros, Taxas de Câmbio, Commodi-
ties, Ações, Liquidez, Derivativos, Hedge, Concentração 
(mercado), Inadimplência, Degradação de Crédito, Degra-
dação das Garantias, Soberano, Financiador, Concentra-
ção (crédito). 
3. Risco Operacional
 - Risco de Overload, Obsolescência, Presteza e Confiabili-
dade, Equipamento, Erro Não Intencional, 
 Fraudes, Qualificação, Produtos & Serviços, Modelagem, 
Sistêmico, Concentração (operacional), Imagem, Catástrofe.
4. Conformidade/Legal
 - Risco de Regulamentação, Legislação e ou Normas e Polí-
ticas, Tributário, Contrato.
 55Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
7.6	IdENTIFICANdO	OS	FATORES	dE	RISCOS		
É necessário o desmembramento do perigo em fatores ou causas, 
que podem estar dentro do controle da Unidade de Negócio ou se-
rem incontroláveis. Os fatores de risco são na realidade a origem e 
ou causa de cada perigo. Para compreender o risco – a condição – a 
soma