Baixe o app para aproveitar ainda mais
Prévia do material em texto
2a E DIÇ ÃO - IS O 3 1.00 0 Gestão de Riscos Antonio Celso Ribeiro Brasiliano Gestão e Análise de Riscos coRpoRAtivos: método bRAsiliAno AvAnçAdo Antonio Celso Ribeiro Brasiliano São Paulo, 2010 20 Edição Gestão e Análise de Riscos coRpoRAtivos: método bRAsiliAno AvAnçAdo Dados Internacionais de Catalogação na Publicação (CIP) (Câmara Brasileira do Livro, SP, Brasil) Brasiliano, Antonio Celso Ribeiro Gestão e análise de riscos corporativos : Método Brasiliano avançado / Antonio Celso Ribeiro Brasiliano. -- São Paulo : Sicurezza, 2010. Bibliografia. ISBN 978-85-87297-19-8 1. Administração de riscos 2. Análise de risco - Método Brasiliano 3. Planejamento estratégico 4. Risco - Administração I. Título. 09-10600 CDD-658.155 Índices para catálogo sistemático: 1. Gestão e análise de riscos corporativos : Planejamento estratégico : Administração de empresas 658.155 Titulo Original: Gestão e análise de riscos corporativos : Método Brasiliano avançado © Copyright 2010 by Antonio Celso Ribeiro Brasiliano 2a edição, Novembro 2010 Todos os direitos reservados. É proibida a reprodução desta obra por qualquer meio, em seu todo ou em partes, sem autorização expressa do autor e do editor. Direitos dessa edição cedidos por contrato para: Sicurezza Gestão de Riscos Corporativos, Editora e Distribuidora Ltda Endereço fiscal: Rua Damasio Rodrigues Gomes, 301 - Jardim Cupece São Paulo - SP - Cep 04652-150 Telefone: 11 5531 6171 Email: editora@sicurezzaeditora.com.br Coordenação: Enza Cirelli Projeto Gráfico : Agencia BM Design - contato@agenciabmdesign.com.br Fotolito, impressão e acabamento: JF Artes Gráficas Ao meu neto Antonio, guerreiro da terceira geração, que renova constantemente a energia da minha vida. Prefácio O Processo de Gestão de Riscos Corporativos, no Brasil, ainda é novo e pouco aplicado, devendo ser implantado e revisado pelo menos anu- almente pelo seu gestor, envolvendo toda a empresa. Este livro, Gestão e Análise de Riscos Corporativos, tem a finalidade de ajudar os gestor de riscos a implantar um processo lógico de gestão e análise de riscos, possuindo critérios, métodos e ferramentas que já são utilizadas em inúmeras empresas no Brasil e no mundo. Descrevo também neste livro a importância da ISO 31000 e seu framework, que será empre- gado pelo mundo a partir de seu lançamento, em novembro de 2009. O objetivo do gestor de riscos possuir um processo lógico de gestão de riscos (GR) é a manutenção da competitividade da empresa neste nosso mundo extremamente turbulento. A gestão de riscos corporati- vos deve estar em perfeita consonância com os objetivos estratégicos da empresa, coincidindo com seu horizonte temporal. Meu objetivo é reunir neste livro as informações e orientações da ativi- dade de quem gerencia riscos: a compreensão e preparação do Pro- cesso de Gestão e Análise de Riscos Corporativos, já alinhado com as diretrizes da ISO 31000. Em todos os meus prefácios escrevo aos colegas que se, por acaso, uma enorme tentação vier bater às suas portas, no sentido de não ten- tar colocar em prática os conceitos aqui abordados, pensem no que Normam Vaghum disse: “Sonhe grande, ouse fracassar.” Sucesso e Sorte a todos nós!! Antonio Celso Ribeiro Brasiliano abrasiliano@brasiliano.com.br Setembro de 2009 Sumário Prefácio 1. Introdução 7 2. Objetivos Estratégicos da Gestão de Riscos Corporativos 8 3. ISO 31000 – Mudança de Paradigma 15 4. Framework do Processo de Gestão e Análise de Riscos Corporativos – Método Brasiliano 22 5. Comunicação e Consulta 27 6. Contextos Estratégicos 32 7. Identificação dos Perigos e dos Fatoresde Riscos 42 8. Análise de Riscos – Método e Critérios 78 9. Avaliação de Riscos – Matriz de Riscos 88 10. Nível de Riscos - Processos – Departamentos – Unidades - Edificações 91 11. Tratamento dos Riscos – Plano de Ação - Ferramentas 103 12. Monitoramento e Análise Crítica dos Riscos 117 13. Conclusão 119 Bibliografia Sobre o Autor 7Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 1. Introdução As empresas devem estar comprometidas com seus clientes, acionis- tas, parceiros comerciais e com a sociedade em que atua, focando esforços em reduzir os riscos existentes e/ou os que possam se ma- nifestar no futuro e também na maximização das oportunidades de negócio. Para tanto, é necessário conhecer os riscos que a afetam e seus impactos sobre os seus negócios. Os riscos permeiam todos os níveis das atividades do negócio e, se não forem gerenciados adequadamente, poderão resultar em perdas finan- ceiras, deterioração da imagem e reputação ou desencadear uma crise. O gerenciamento de riscos tem se tornado um assunto de suma impor- tância no meio empresarial, uma vez que a conscientização da neces- sidade de administração dos riscos potenciais é, hoje, uma questão de competitividade e sobrevivência. Para que seja eficaz, o gerenciamento de riscos deve fazer parte da cultura de qualquer empresa e deve estar inserido em sua filosofia, nas práticas e nos processos de negócio. O Método Avançado de Análise e Resposta aos Riscos Corporativos – Método Brasiliano fornece um processo para a identificação dos perigos, avaliação dos seus Fatores de Riscos, análise e avaliação dos riscos corporativos. Este método descreve os passos a serem percorridos, as ferramentas a serem utilizadas, os critérios a ado- tar na probabilidade, impacto, além de estabelecer priorização de ações a serem executadas. É uma ferramenta de gestão, alinhada com a Futura ISO 31000. 8Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 2. Objetivos Estratégicos da Gestão de Riscos Corporativos 2.1 PREMISSAS ESTRATÉGICAS A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administra- dores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melho- rar a capacidade de gerar valor. O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimen- to e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos obje- tivos da organização. Os objetivos estratégicos do gerenciamento de riscos corporativos, segundo as premissas da Metodologia COSO são: 1. Alinhar o apetite a risco com a estratégia adotada – os admi- nistradores avaliam o apetite a risco da organização ao anali- sar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos. 2. Fortalecer as decisões em resposta aos riscos – o ge- renciamento de riscos corporativos possibilita o rigor na 9Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos. 3. Reduzir as surpresas e prejuízos operacionais – organi- zações adquirem melhor capacidade para identificar even- tos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados.4. Identificar e administrar riscos múltiplos e entre empre- endimentos – toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos inter relacionados e, também, respostas integradas aos diversos riscos. 5. Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar e aproveitar as oportunidades de forma proativa. 6. Otimizar o capital – a obtenção de informações adequa- das a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação desse capital. Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os administradores a atingir as metas de desempenho e de lucratividade da organização, e evitam a perda de recursos. O geren- ciamento de riscos corporativos contribui para assegurar comunica- ção eficaz e o cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização e suas conseqüências. Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso. 2.2 EVENTOS – RISCOS E OPORTUNIDADES Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que 10Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a rea- lização dos objetivos, apoiando a criação ou a preservação de valor. A direção da organização canaliza as oportunidades para seus proces- sos de elaboração de estratégias ou objetivos, formulando planos que visam ao aproveitamento destes. 2.3 DEFINIÇÃO DE GERENCIAMENTO DE RISCOS CORPORATIVOS A gestão de riscos corporativos trata riscos e oportunidades que afetam a criação ou a preservação de valor, sendo definido, pela me- todologia COSO da seguinte forma: O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos. Essa definição reflete certos conceitos fundamentais. O gerenciamen- to de riscos corporativos é: 1. um processo contínuo que flui através da organização; 2. conduzido pelos profissionais em todos os níveis da organização; 3. aplicado à definição das estratégias; 4 - aplicado em toda a organização, em todos os níveis e uni- dades, e inclui a formação de uma visão de portfólio de to- dos os riscos a que ela está exposta; 11Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 5 - formulado para identificar eventos em potencial, cuja ocor- rência poderá afetar a organização, e para administrar os riscos de acordo com seu apetite a risco; 6 - capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva de uma organização; 7 - orientado para a realização de objetivos em uma ou mais categorias distintas, mas dependentes. Essa definição é intencionalmente ampla e adota conceitos fundamen- tais sobre a forma como as empresas e outras organizações adminis- tram riscos, possibilitando uma base para sua aplicação em organi- zações, indústrias e setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma organização específica e fornece parâmetros para definir a eficácia desse gerenciamento de riscos. 2.4 REALIZAÇÃO DE OBJETIVOS Com base na missão ou visão estabelecida por uma organização, a ad- ministração estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da organização. Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos de uma organização e são classificados em quatro categorias: 1. Estratégicos – metas gerais, alinhadas com o que suportem à sua missão. 2. Operações – utilização eficaz e eficiente dos recursos. 3. Comunicação – confiabilidade de relatórios. 4. Conformidade – cumprimento de leis e regulamentos aplicáveis. Essa classificação possibilita um enfoque nos aspectos distintos do ge- renciamento de riscos de uma organização. Apesar de dessas catego- rias serem distintas, elas se inter-relacionam, uma vez que determinado 12Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo objetivo pode ser classificado em mais de uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob a responsabilidade direta de diferentes executivos. Essa classificação também permite diferenciar o que pode ser esperado de cada catego- ria de objetivos. A salvaguarda dos recursos, outra categoria utilizada por algumas organizações, também é descrita. Em razão do fato dos objetivos relacionados com a confiabilidade e re- latórios e o cumprimento de leis e regulamentos estarem sob controle da organização, pode-se esperar que o gerenciamento de riscos cor- porativos forneça uma garantia razoável em relação ao atendimento desses objetivos. Entretanto, a realização de objetivos estratégicos e operacionais está sujeita à ação de eventos externos nem sempre sob o controle da organização; da mesma forma, em relação a esses ob- jetivos, o gerenciamento de riscos corporativos é capaz de propiciar uma garantia razoável que a diretoria executiva e o conselho de ad- ministração, na função de supervisão, serão informados, no momen- to adequado, o quanto a organização está avançando na direção do atendimento dos objetivos. 2.5 COMPONENTES DO GERENCIAMENTO DE RISCOS – METODOLOGIA COSO – ERM O gerenciamento de riscos corporativos é constituído de oito compo- nentes inter-relacionados, segundo a Metodologia COSO – ERM (En- terprise Risk Management): Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filoso- fia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão. Fixação de Objetivos – os objetivos devem existir an- tes que a administração possa identificar os eventos em 13Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo potencial que poderão afetar a sua realização. O geren- ciamento de riscos corporativos assegura que a admi- nistração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatí- veis com o seu apetite a riscos. Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos objetivos de uma orga- nização devem ser identificados e classificados entre ris- cos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos. Avaliação de Riscos – os riscos são analisados, considerando- se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverãoser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais. Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou comparti- lhando – desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco. Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para assegurar que as res- postas aos riscos sejam executadas com eficácia. Informações e Comunicações – as informações relevan- tes são identificadas, colhidas e comunicadas no prazo que permitam que cumpram suas responsabilidades. A comu- nicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da organização. Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de ativi- dades gerenciais contínuas ou avaliações independentes ou de ambas as formas. 14Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo A rigor, o gerenciamento de riscos corporativos não é um processo em série pelo qual um componente afeta apenas o próximo. É um proces- so multidirecional e interativo segundo o qual quase todos os compo- nentes influenciam os outros. Informações e Comunicações Monitoramento Atividades de Controle Resposta ao Risco Avaliação de Riscos Fixação de Objetivos Ambiente Interno Estr atég ico Ope raci ona l Com uni caç ão Con form idad e Figura 1 - Visão Tridimensional da Metodologia COSO - ERM 2.6 RELACIONAMENTO ENTRE OBJETIVOS E OS COMPONENTES DA METODOLOGIA COSO - ERM Existe um relacionamento direto entre os objetivos, que uma organiza- ção empenha-se em alcançar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance. Esse relacionamento é apresentado em uma matriz tridi- mensional em forma de cubo. As quatro categorias de objetivos (estratégicos, operacionais, de co- municação e conformidade) estão representadas nas colunas verti- cais. Os oito componentes nas linhas horizontais e as unidades de uma organização na terceira dimensão. Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componen- tes, unidade da organização ou qualquer um dos subconjuntos. 15Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 3. ISO 31000 - Mudança de Paradigma 3.1 CONTEXTO Durante os anos de 2007 e 2008 uma série de questões de riscos des- de a crise de liquidez nos mercados financeiros até as preocupações emergentes sobre terrorismo, clima, disponibilidade de alimentos, infra estrutura e energia, focou a atenção global na fragilidade sistêmica dos processos estratégicos das nações e consequentemente do mundo. Uma conscientização do risco e gerenciamento de risco é cada vez mais vista como um pré-requisito para controle efetivo tanto no setor privado e como público. Dentro deste contexto é que neste segundo semestre de 2009 será lan- çada oficialmente a ISO 31000, que possui como desafio integrar os dife- rentes conceitos da Gestão de Riscos Corporativos. A norma está sendo desenvolvida por uma comissão especial da ISO (International Organiza- tion for Standardization) e teve sua numeração definida como ISO 31000. A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamen- tações e frameworks publicados anteriormente e que de alguma forma estão relacionados com a gestão de riscos. A origem da norma, que pode ser aplicada por empresas ou indivíduos e fornece diretrizes para implementação de gestão de riscos em organizações de qualquer tipo, tamanho ou área de atuação, vem da necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos. Estes objetivos podem estar relacionados com várias atividades da organiza- ção, desde as iniciativas estratégicas como as atividades operacionais, processos ou projetos. Assim, a norma pode ser aplicada aos vários tipos de riscos ligados aos diferentes setores da organização, tais como 16Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo financeiro, saúde e meio ambiente, tecnologia da informação, seguran- ça empresarial, seguros, e de projetos, entre outros, incluindo a visão moderna de que risco também é oportunidade. A ISO 3100 surge também para integrar as diversas metodologias e terminologias, pois hoje ainda há falta de consenso em relação à termi- nologia e aos conceitos utilizados para a gestão de riscos. O resultado mais comum dessa equação é que a gestão de riscos aca- ba sendo tratada de forma ISOlada, fazendo com que vários gestores ( saúde, meio ambiente, segurança de TI e empresarial, legal, finan- ceiro, seguros, entre outros) trabalhem em ilhas departamentais, o que ocasiona a utilização de terminologias, sistemas, critérios e conceitos diferentes para cada uma das áreas da empresa. Ou seja cada depar- tamento não possui o denominado impacto cruzado, não enxerga o impacto do risco que está estudando em outras áreas e ou processos. A ISO 31000 possui processo consistente e uma estrutura abrangente para ajudar a assegurar que o risco será gerenciado de forma eficaz, eficiente e coerentemente. Por esta razão a abordagem é genérica fornecendo os princípios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de qualquer escopo e contexto. Segundo o texto do Projeto ABNT/CEE-63 Projeto 63.000.01-001 de agosto de 2009, projeto este elaborado pela Comissão de Estudo Es- pecial de Gestão de Riscos da ABNT, previsto para ser equivalente à ISO 31000, descreve na sua página 04 e 05, as possibilidades da gestão de riscos nas empresas: - aumentar a probabilidade de atingir os objetivos; - encorajar uma gestão proativa; - estar atento para a necessidade de identificar e tratar os riscos através de toda organização; - melhorar a identificação de oportunidades e ameaças; - atender às normas internacionais e requisitos e regulamen- tos pertinentes; 17Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo - melhorar o reporte das informações financeiras; - melhorar a governança corporativa; - melhorar a confiança das partes interessadas; - estabelecer uma base confiável para a tomada de decisão e o planejamento; - melhorar os controles; - alocar e utilizar eficazmente os recursos para o tratamento dos riscos; - melhorar a eficácia e a eficiência operacional; - melhorar o desempenho em saúde e segurança, bem como proteção ao meio ambiente; - melhorar a prevenção de perdas e a gestão de incidentes; - minimizar perdas; - melhorar a aprendizagem organizacional; e - aumentar a resilência da organização. 3.2 ORGANIZAÇÃO DA NORMA 3.2.1 Organização A norma possui a seguinte organização: Introdução 1. Escopo 2. Termos e Definições 3. Princípios 4. Estrutura 5. Processo 6. Anexos: A Atributos de uma gestão de riscos avançada 18Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 3.2.2 Estrutura O sucesso da gestão de riscos depende da estrutura de gestão que fornece os fundamentos e os arranjos que irão incorporá-la através da organização, em todos os níveis. A estrutura descreve os componen- tes necessários da estrutura para gerenciar riscos e a forma como eles se inter-relacionam. O diagrama abaixo foi retirado do Projeto ABNT/ CEE-63 Projeto 63.000.01-001 de agosto de 2009 (página 15), projeto este elaboradopela Comissão de Estudo Especial de Gestão de Ris- cos da ABNT, previsto para ser equivalente à ISO 31000: Figura 2 - Relacionamento entre os componentes da estrutura para gerenciar riscos 3.2.3 Processo O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 de agosto de 2009, projeto este elaborado pela Comissão de Estudo Especial de Gestão de Riscos da ABNT, previsto para ser equivalente à ISO 31000, página 20 e 21 é: Convém que o processo de gestão de riscos seja: - parte integrante da gestão; - incorporado na cultura e nas práticas, e - adaptado aos processo de negócio da organização. 19Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo Ele compreende as seguintes atividades: Figura 3 - Processo de gestão de riscos Genéricamente o processo estruturado sugerido possui sete fases claramente identificadas, sendo um processo retro alimentativo. Ou seja segue os princípios do ciclo da qualidade, PDCA – Plan – Do – Check – Action. A fase de comunicação e consulta abrange todas elas e é inter-relacio- nada. Abrange tanto a comunicação interna e externa, assegurando que os responsáveis e partes interessadas compreendam os fundamentos sobre os quais as decisões são tomadas e as respectivas razões. A fase do estabelecimento do contexto é entender os fatores e as variáveis externas, incluindo os fatores chaves, as tendências e as relações com as partes interessadas externas e suas percepções de valores. Já no contexto interno é entender seus objetivos estra- tégicos, a cultura, processos, estrutura e estratégia. No contetxo estabelece o processo de gestão de riscos com sua estrutura, seus 20Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo critérios e métodos que a organização deverá utilizar. Define-se me- tas e objetivos além de responsabilidades e o apetite ao risco que a organização quer possuir. A fase da identificação de riscos, no processo de avaliação de ris- cos, é a listagem dos perigos que o processo, departamento e ou empresa possui com as respectivas fontes de riscos. A identificação deve ser crítica, pois um risco que não é identificado nesta fase não será incluído em análises posteriores. Fica claro que esta é a fase estratégica pois é nesta que se entende os fatores de riscos, os fatores facilitadores da existência do risco na empresa. A fase de análise de riscos desenvolve a compreensão dos riscos. Com a compreensão dos riscos é que a empresa poderá tomar de- cisão sobre seu tratamento. Nesta fase, estima-se a Probabilidade e Consequência do risco na empresa. A análise envolve a apreciação das causas e as fontes de risco, suas conseqüências positivas e nega- tivas, e a probabilidade de que essas conseqüências possam ocorrer. A norma não especifica critérios e métodos, sendo que a organização é que deve escolher, tendo em vista as características do negócio. A fase da avaliação de riscos é para auxiliar na tomada de decisões com base nos resultados da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento. A avaliação de riscos envolve comparar o nível de risco encontrado durante a análise de riscos. Deve-se utilizar uma Matriz de Riscos como ferramenta de gestão. A fase de Tratamento de Riscos envolve um processo cíclico com- posto por: - a avaliação do tratamento já realizado; - a decisão se os níveis de risco residual são toleráveis; - se não forem toleráveis, a definição e implementação de um novo tratamento; - a avaliação e eficácia desse tratamento. 21Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo As opções de tratamento são as universais: - a ação de evitar o risco; - a tomada ou aumento do risco – se o risco for positivo; - a remoção da fonte de riscos; - a alteração da probabilidade; - a alteração das conseqüências; - o compartilhamento do risco; e - a retenção do risco por uma decisão consistente e bem embasada. A última fase, monitoramento e análise crítica é a fase da checa- gem ou das vigilâncias regulares. Podem ser regulares – periódicas ou acontecerem em resposta a um fato específico. Deve haver uma definição clara e direta das responsabilidades de quem vai realizar o monitoramento e análise crítica. 3.2.4 Registros do Processo de Gestão de Riscos As atividades de gestão de riscos devem ser rastreáveis. Ou seja deve haver registros, pois estes fornecem os fundamentos para melhoria dos métodos e ferramentas, bem como de todo o processo. 3.3 CONCLUSÃO O grande desafio no desenvolvimento da ISO 31000 estava em esta- belecer uma linguagem comum, bem como padronizar as melhores práticas e abordagens para que as organizações possam implementar a gestão de riscos em seus processos. Por se tratar de uma proposta de convergência alinhada com a visão integrada de ERM (Enterprise Risk Management), a nova norma não concorre com outras orientações já existentes, fornecendo orientações e alinhamento com outros conjuntos de regras específicos. 22Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 4. Framework do Processo de Gestão e Análise de Riscos Corporativos – Método Brasiliano 4.1 VISÃO GERAL DO MÉTODO O gerenciamento do risco é uma parte do processo de gerenciamento empresarial. O gerenciamento do risco é um processo de múltiplas facetas, aspectos adequados dos quais são freqüentemente melhores realizados por uma equipe múltipla disciplinar. É um processo interati- vo de melhoria contínua. O Método Avançado de Gestão e Análise de Riscos Corporativos – Método Brasiliano possui como elementos principais do processo o mostrado na figura abaixo, que estão alinhados com a Futura Norma ISO 31000. Os elementos principais do processo estão integrados no ciclo do P (Plan) D (Do) C (Check) A (Action). No Método Brasiliano sugerimos ferramentas e critérios nas fases de identificação, análise e avaliação de riscos. Estas ferramentas e crité- rios são frutos da experiência da Brasiliano & Associados na implanta- ção de projetos de Gestão de Riscos nas empresas clientes. 23Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo Figura 4 - Fases do Método Brasiliano – Adaptado da ISO 31000 Figura 5 - Ciclo PdCA x Fases de Gestão e Análise de riscos do Método Brasiliano 24Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 4.2 DESCRIÇÃO DOS ELEMENTOS PRINCIPAIS DO MÉTODO 4.2.1 Comunicação e Consulta A comunicação e consulta é a forma como vai estabelecer o processo e a estratégia de comunicação com as partes interessadas. É uma fase que permeia todo o processo de gestão e análise de riscos. É extremamente estratégico, pois sem a comunicação não vai existir processo de gestão de riscos tendo em vista não sensibilizar os usuários do processo. 4.2.2 Contextos Estratégicos O estabelecimento do contexto é dividido em três níveis. O primeiro diz respeito ao entendimento da empresa, através da compreensão dos ob- jetivos estratégicos e organizacionais, a cultura e como ela – empresa – pensa sobre a questão de gestão de riscos. O segundo nível é sobre as variáveis externas incontroláveis que poderão interferir ou expor os obje- tivos estratégicos da empresa. Na verdade há necessidade de construir cenários de riscos estratégicos. O terceiro nível é sobre a Política de Gestão de Riscos da empresa, onde será detalhado a estrutura que se vai trabalhar e quais critérios e metodologia a empresa vai utilizar. 4.2.3 Identificação dos Perigos e dos Fatores de Riscos Esta terceira fase possui três objetivos: 1. Identificar e listaros perigos que a empresa, unidades, pro- cessos e ou departamentos estão expostos. A listagem deve ser realizada através de reuniões do tipo BRAINSTORMING, levantando tanto os perigos conhecidos como os desconheci- dos. Os perigos desconhecidos são aqueles que nunca acon- teceram, porém podem ocorrer, mesmo que remotamente; 2. Identificar os fatores de Riscos. Os Fatores de Riscos, também chamados de Fatores Facilitadores e ou Fontes de Riscos, são os eventos que podem potencializar a 25Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo concretização dos perigos. São variáveis controláveis e in- controláveis. Utilizamos para isso a Ferramenta de Gestão o Diagrama de Causa e Efeito; 3. Avaliar os Fatores de Riscos. A avaliação dos fatores de ris- cos é a mensuração dos respectivos fatores com o objetivo de identificar quais são os fatores de maior importância e ou motricidade. Ou seja quais são os fatores que devem ser tratados, quais fatores interferem no contexto de riscos. Utilizamos para isso duas Ferramentas de Gestão: a Matriz SWOT e ou a Matriz de Impactos Cruzados. 4.2.4 Análise de Riscos Nesta fase estabelecemos critérios para os dois parâmetros univer- sais: a Probabilidade e o Impacto. Os critérios para os dois parâme- tros são de suma importância para a elaboração do estudo de análise de riscos. O Cruzamento destes dois parâmetros tem como resultado uma Matriz de Riscos. 4.2.5 Avaliação de Riscos – Nível de Riscos Comparar os níveis de riscos em relação ao critério pré-estabelecido. A relevância dos riscos possui como parâmetro a Matriz de Riscos. O resultado da matriz de riscos é o grau de criticidade, ou seja, qual é a priorização que a empresa deve tratar cada risco, frente ao seu ape- tite ao risco. A matriz é dividida em quadrantes e para cada quadrante há uma estratégia de tratamento e priorização. Cabe ressaltar que é nesta fase também que estabelece o Grau de Riscos dos Processos estudados e ou das Unidades/Sites Empresariais. 4.2.6 Respostas aos Riscos – Plano de Ação O Plano de Ação é o tratamento dos riscos, ou seja qual será a res- posta que a empresa terá que operacionalizar. Aceitar, Reter, Reduzir, Transferir, Explorar e ou Evitar? Desenvolver e implementar um pla- no específico de gerenciamento o qual inclui consideração de provi- 26Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo mento de fundos. O Plano de Ação é o conjunto de medidas organi- zacionais, sistemas técnicos de prevenção e monitoração, recursos humanos que gerenciarão os riscos. O Plano de Ação é elaborado com base nos Fatores de Riscos visando mitigar e diminuir as proba- bilidades dos riscos. 4.2.7 Monitoração e Análise Crítica Esta fase diz respeito a monitorar e revisar o desempenho das ações e do sistema de gerenciamento de risco e proceder a mudanças que possam afetá-lo. 27Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 5. Comunicação e Consulta 5.1. IMPORTÂNCIA DA COMUNICAÇÃO A comunicação e consulta são importantes aspectos a serem considera- dos em cada fase do processo de gestão e análise de riscos corporativos. É importante desenvolver um plano de comunicação com as partes envolvidas internas e externas, logo no primeiro estágio do processo. A comunicação envolve diálogo entre as partes envolvidas, tendo como foco a consulta e não somente a comunicação de via única. A comunicação interna e externa eficaz é importante para assegurar que os responsáveis pela implementação da gestão de riscos e os investidores compreendam as bases sobre as quais as decisões são tomadas, e por que determinadas ações são necessárias. A percepção do risco pode variar em função de diferentes hipóteses, conceitos e necessidades, e de questões e interesses das partes envol- vidas, por estarem relacionados ao risco ou aos assuntos em discussão. As partes envolvidas tendem a julgar a aceitabilidade de um risco ba- seadas em sua própria percepção do risco. Uma vez que as partes envolvidas podem ter um impacto significativo nas decisões tomadas, é importante que sua percepção do risco, bem como sua percepção dos benefícios, seja, identificadas e documenta- das, e as razões subjacentes, compreendidas e abordadas. 28Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 5.2 CONCEITO DE ENDOMARKETING Endomarketing é um conceito novo que objetiva fortalecer as relações internas da empresa. O endomarketing consiste em realizar ações de marketing voltadas para seu público interno, com a finalidade de pro- mover a integração entre os variados departamentos da organização, visando compartilhar, neste caso de gestão e análise de riscos cor- porativos a importância, critérios, valores e objetivos estratégicos da implantação do Gestão de Riscos na empresa entre os usuários. Como um dos objetivos do endomarketing é a integração, onde o público interno irá melhor interagir, cumprindo com os objetivos da gestão e análise de riscos corporativos com maior facilidade. O ferra- mental primordial é o treinamento e a divulgação. O treinamento inter- no motiva e valoriza as variadas funções dos colaboradores, visando conquistar a confiança e maximizando a produtividade. Já a divulga- ção faz com que todos os resultados e metas do processo de gestão e análise de riscos estejam sendo circulados, reforçando os critérios e metodologia do processo de GR, bem como interage todos os fun- cionários, fazendo com que haja um sentimento de time, de equipe. Todos se sentem comprometidos. 5.3 ENDOMARKETING ESPECÍFICO PARA A GESTÃO E ANÁLISE DE RISCOS O Profissional de gestão de riscos necessitam entender e saber uti- lizar os recursos que possuem, para poder sobressair e destacar o processo, reforçando as medidas preventivas e pró-ativas. O endomarketing na gestão de riscos é um trabalho de conscientiza- ção dos riscos e de seus controles e sistemas . É um grande desafio para o departamento de marketing e recursos humanos implementar junto com a gestão de riscos um programa eficiente e prático. 29Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo O grande desafio é saber vender que o processo de gestão e análise de riscos corporativos será útil para todos os usuários, pois terão con- dições de possuir uma visão de antecipação dos possíveis problemas. Com esta visão os colaboradores passam a prospectar cenários de riscos, agindo de forma pró ativa e não somente reagindo aos pro- blemas. Há a necessidade da implementação do endormaketing para que possa ser compreendido e haja uma forte colaboração por parte do seu público interno. O endomarketing na gestão e análise de riscos possui três premis- sas básicas: 1. O público alvo de sua campanha são todos os colabora- dores da organização, considerados como cliente interno. Como todo “Cliente”, este só pode ser conquistado e retido com um serviço onde haja qualidade; 2. O cliente interno como o externo possui expectativas e es- tas devem ser superadas, portanto a gestão de riscos tem de compreender a expectativa e cultura dos colaboradores para realizar um ajuste fino no programa de divulgação; 3. A excelência da operacionalização do processo de gestão e análise de riscos corporativos significa envolver os colabo- radores e comprometê-los com os objetivos do GR. Essas três premissas trazem como conseqüência direta o entendi- mento por parte dos colaboradores do que é a Gestão, Análise de Riscos e sua função. O endomarketing passará a estimular o GR nos seguintes aspectos: • conscientização da importância na prevenção dos sistemas e processosexistentes; • orientação para o público interno em respeitar normas e procedimentos. A Gestão de Riscos deve planejar o processo de comunicação como parte integrante da sua Política . O processo de endomarketing deve ser 30Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo realizado em conjunto com o departamento de Recursos Humanos da empresa e marketing, pois necessita conhecimento e informação espe- cífica do público interno, informações estas que o RH já deve possuir. Deve-se ter em mente que o treinamento é a principal alavanca do pro- cesso de endomarketing. O treinamento precisa ser percebido como momento ótimo para o envolvimento do colaborador, para valorizá-lo como pessoa e comprometê-lo com os objetivos da empresa. O treina- mento sempre é um investimento com retorno garantido em termos de qualidade , excelência e dedicação. A empresa que não puder se vender para seu público interno, tam- pouco venderá para o externo. E isto é muito perigoso em uma época de competitividade agressiva e grande turbulência, como a que esta- mos vivendo. Um programa de endomarketing transmite confiança e credibilidade, ao mesmo tempo em que os valores compartilhados pela cultura orga- nizacional, irão com certeza incentivar a postura pró-ativa em vez da reativa, assumindo desta forma um papel cada vez mais criativo, su- gerindo soluções viáveis e lutando para que toda a organização possa cumprir seus objetivos. 5.4 FASES DE UM PROGRAMA DE COMUNICAÇÃO Ao lado um framework com as fases de um programa completo de comunicação, que a área de gestão de riscos deve operacionalizar. 31Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo Figura 6 - Framework 32Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 6. Contextos Estratégicos 6.1 GENERALIDADES Ao estabelecer o contexto, a organização articula seus objetivos e de- fine os parâmetros externos e internos a serem levados em considera- ção ao gerenciar riscos, e estabelece o escopo e os critérios de risco para o restante do processo. Portanto temos três contextos a serem definidos e alinhados: - O Contexto Empresarial - Interno; - O Contexto Externo – Cenários; - O Contexto de Gestão de Riscos – Metodologia e critérios. 6.2 CONTEXTO EMPRESARIAL 6.2.1 Componentes O contexto empresarial diz respeito a identificação dos objetivos es- tratégicos da empresa, seus fatores críticos de sucesso, sua estrutura organizacional, sua cultura e o ambiente interno no qual a organização busca atingir seus objetivos. O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 de agosto de 2009 (páginas 21 e 22), projeto este elaborado pela Co- missão de Estudo Especial de Gestão de Riscos da ABNT, previsto para ser equivalente à ISO 31000, descreve sobre o ambiente interno: “O contexto interno é algo dentro da organização que pode influenciar a maneira pela qual uma organização gerenciará os riscos. Convém que ele seja estabelecido, por que: 33Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo a) a gestão de riscos ocorre no contexto dos objetivos da organização; b) convém que os objetivos e os critérios de um determinado projeto, processo ou atividade sejam considerados tendo como base os objetivos da organização como um todo, e c) algumas organizações deixam de reconhecer oportunida- des para atingir seus objetivos estratégicos, de projeto ou de negócios, o que afeta o comprometimento, a credibilida- de, a confiança e o valor organizacional. É necessário compreender o contexto interno. Isto pode incluir, mas não está limitado: - à governança, estrutura organizacional, funções e responsabilidades; - às políticas, objetivos e estratégias implementadas para atingi–los; - às capacidades, entendidas em termos de recursos e co- nhecimento (por exemplo, capital, tempo, pessoas, proces- sos, sistemas e tecnologias); - aos sistemas de informação, fluxos de informação e proces- sos de tomada de decisão (formais e informais); - às relações com as partes interessadas internas, e suas percepções e valores. - às normas, diretrizes e modelos adotados pela organização, e - à forma e extensão das relações contratuais.” Para isso sugerimos que o gestor disponha de um check list com o objetivo de melhor identificar as variáveis que compõem o contexto empresarial. Abaixo uma sugestão genérica, a título de exemplo: 1. A Empresa atua em qual segmento? Quais são os seus pro- dutos e/ou serviços? 2. Atualmente, qual é a posição que da Empresa ocupa no ranking de seu segmento de atuação? 34Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 3. Quais são os concorrentes diretos da Empresa? E os indiretos? 4. Quais são os fornecedores chave para da Empresa? 5. Quais são os objetivos estratégicos de médio prazo? 6. A Empresa dispõe de Código de Conduta ou outras políticas relativas às práticas de negócio (valores éticos)? 7. Os colaboradores conhecem e entendem a(s) política(s) existentes na Empresa? 8. A Empresa pratica alguma política de incentivo para atingir suas metas? Ex.: Bônus para colaboradores. 9. Há algum meio de monitoramento que tenha por finalida- de verificar a efetiva prática da(s) política(s) existente(s) na Empresa? 10. Atualmente, qual é a estrutura organizacional da Empresa? (Organograma). 11. O Organograma geral atende às necessidades de negócio da Empresa? Caso não, qual a necessidade que julga ne- cessária e por quê? 12. Considerando a estrutura organizacional apresentada quais são as áreas consideradas como “áreas chave” e respecti- vas atividades críticas em termos de faturamento? 13. A Estrutura Organizacional da Empresa é descentralizada, semi-integrada ou de sistema integrado? 6.3 CONTEXTO EXTERNO – CENÁRIOS O contexto externo é o ambiente externo, onde estão inseridas as va- riáveis incontroláveis. Entender o contexto externo é importante para entender quais são as variáveis que podem dificultar ou expor os obje- tivos estratégicos e os respectivos Fatores Críticos de Sucesso. O contexto externo pode incluir, mas não está limitado a: 35Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo - os ambientes cultural, social, político, legal, regulamentar, financeiro, tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local; - os fatores–chave e as tendências que tenham impacto so- bre os objetivos da organização; e - as relações com as partes interessadas externas e suas per- cepções e valores. Podemos exemplificar os componentes do contexto externo: - Localização física da empresa: posição geográfica da insta- lação (rios, estradas, elevação, condições climáticas, etc.); - Configuração sócio-econômica da área em que a empresa está instalada (população vizinha, status social, área urba- na/rural, instalações policiais); - Situação político-financeira do país (legislação pertinente, identificação e análise dos órgãos que legitimam, planos governamentais e política econômica e financeira); A gestão de Riscos poderá buscar a informação destas variáveis, de maneira direta ou indireta, através de duas fontes: - Fontes Primárias: são as fornecidas no ambiente da em- presa (troca de informações); - Fontes Secundárias: fornecidas pelos órgãos governa- mentais (colaboração integrada). O nível de detalhamento e profundidade dependerá da necessidade e da influência do impacto sobre a empresa. A natureza do ambiente muda com muita rapidez, conduzindo, à alte- rações políticas e sociais. Esta rapidez exige da empresacapacidade impressionante de resposta e adaptação. Como exemplo de proble- mas ambientais externos, podemos citar: - Há previsões de recessão econômica, no país, o que au- mentará o desemprego. Qual será a influência deste fato sobre a empresa? Aumentam as possibilidades de saque, 36Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo furto, roubo, mudança de relacionamento? A empresa está preparada para receber este impacto? - As condições climáticas podem afetar a empresa? Ela está preparada para reagir a uma inundação? Existe plano de emergência com esta finalidade? - Uma guerra pode ocorrer proximamente no Oriente Médio? Qual o impacto na minha empresa, uma multinacional, que apoia a intervenção militar? Há possibilidade de sabotagem ou ameaça de bomba? Estas indagações devem ser analisadas e seu impacto para a empre- sa projetado. A gestão de riscos abrange toda a conjuntura ambiental, devendo avaliar todos os seus ângulos. 6.2.2 Cenários Prospectivos Brasil – Segurança Empresarial – Incertezas Críticas A Brasiliano & Associados e seus consultores construíram cenários em segurança Pública e Privada até 2020. A abordagem escolhida foi a Lógica Intuitiva e o método para construir os cenários estratégicos em segurança pública e privada para o Brasil foi o da GBN, descrito por Schwartz (1996). A opção pela lógica intuitiva teve como parâmetro básico a questão da forte interpretação subjetiva, uma vez que privilegia a evolução do presente para o futuro, partindo da análise das forças motrizes e do possível comportamento entre elas. As questões ligadas à segurança pública e privada devem estar interligadas pelo campo da sociologia, da política e da economia, devendo serem interpretadas por processo estruturado mas de grande amplitude, visando fornecer flexibilidade e total criatividade. A questão principal é a questão que motivou a construção dos cenários estratégicos alternativos em segurança pública e privada. São elas: • Questão Principal: Cenários para a segurança pública e privada. 37Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo • Horizonte temporal – 17 anos – 2003 a 2020 • Espaço geográfi co: Brasil Foram identifi cadas as incertezas críticas. As incertezas críticas são compostas pelas variáveis incertas (variáveis que se originam das per- guntas para as quais ainda não se tem resposta) e que sejam de gran- de importância para a questão principal ou exercem grande impacto na questão principal, caso ocorram. São as variáveis que determinarão a construção dos cenários. O estudo de seus possíveis comportamentos fornecerá informações aos planejadores que lhes permitirão preparar- se para os diversos comportamentos plausíveis dessas variáveis. Para o caso da segurança pública e privada - empresarial no Brasil, foram identificadas duas incertezas críticas: - Condições Sócio-econômicas do Brasil; - Reformas na Segurança Pública e no Judiciário. Com base nas duas incertezas críticas foram criados quatro cenários, que foram construídos e se movimentam em torno dos eixo vertical e horizontal. São eles: Segurança Pública Lógica dos cenários Melhora nas Condições Sócio-Econômicas Agravamento nas Condições Sócio-Econômicas Inefi ciência da Reforma da Segurança Pública e no Judiciário Reforma na Segurança Pública e no Judiciário Lei de Gerson Carandiru Ordem e Progresso Luta Inglória Figura 7 - Segurança Pública lógica dos Cenários Fonte: divisão de Pesquisas - Brasiliano & Associados 38Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo FIlOSOFIAS dOS CENÁRIOS A filosofia dos cenários sintetiza o movimento ou a direção fundamental da Questão Principal. Ela constitui a idéia-força de cada cenário. Quatro cenários, em princípio se formam no cruzamento das incertezas críticas: Ordem e progresso – Caso haja melhoria nas condições sócio-econômicas e reforma eficiente na segurança pública e no judiciário. É o melhor cenário. Caem os índices do cri- me organizado e dos eventos de violência urbana. luta inglória – Caso a reforma tenha sucesso, mas não seja acompanhada da melhoria da situação sócio-econômica. Pode haver uma ligeira diminuição do crime organizado, mas a massa de operação dos crimes continua muito ativa devido às condições de pobreza e desigualdade. lei de Gerson – O cenário do crime instituído. Melhora a situ- ação sócio-econômica, mas não há reforma da segurança pú- blica e do judiciário. O crime organizado se fortalece para tirar proveito do aumento da riqueza e da distribuição de renda. Carandiru – Não há melhora na situação sócio-econômica nem reforma na segurança pública e no judiciário. É o pior cenário. Crime organizado e crimes derivados da violência urbana seguem em níveis alarmantes. Com base nestes Cenários estratégicos podemos prospectar os ce- nários de curto prazo na área da segurança pública e privada. Como exemplo citamos algumas prospectivas: Roubo de carga, Tráfico de drogas e Pirataria: O crime organizado crescerá e se estruturará de tal forma que provocará o enfraquecimento dos poderes legais cons- tituídos. A freqüência e aumento, destes tipos de crime exi- girão investimentos pesados da iniciativa privada em geren- ciamento de riscos. 39Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo Violência Urbana e Seqüestro: Os crimes de seqüestro e a violência continuarão a aconte- cer, não alterando suas tendências, possibilitando impactos conseqüentes para outros tipos de crime. Ocorrerá redução pouco significante, tendo em vista as suas dinâmicas táticas. Fraudes e Fuga de informação: Fraudes e o crime cibernético crescerão a níveis preocu- pantes, obrigando as empresas a alterarem seus meios de proteção e implantarem forte gerenciamento de riscos. Conflitos Sociais: Tendo em vista as características da sociedade brasileira, mesmo com o esgarçamento do tecido social, os conflitos so- ciais tendem a serem concretizados a médio e longo prazo. Terrorismo Criminoso: As demonstrações de força, tanto para a polícia como para a população e sociedade, tendem cada vez mais a ficarem violentas. O tumulto, a desorganização, o medo na população será uma arma das facções para poderem impor clima de terror. 6.4 CONTEXTO dA GESTÃO dE RISCOS 6.4.1 Componentes O contexto da gestão de riscos diz respeito a estrutura organizacional da área, ou seja como que a empresa pretende gerenciar seus riscos, quais serão os critérios e metodologias a serem utilizadas. Isto tudo deve estar formalizada na Política de Gestão de Riscos da Empresa. O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 de agosto de 2009, projeto este elaborado pela Comissão de Estudo Especial de Gestão de Riscos da ABNT, previsto para ser equivalente à ISO 31000, nas suas páginas 22 e 23 descreve contexto do processo 40Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo de gestão de riscos: “... irá variar de acordo com as necessidades de uma organização. Ele pode envolver, mas não está limitado : - à definição das metas e objetivos das atividades de gestão de riscos; - à definição das responsabilidades pelo processo e dentro da gestão de riscos; - à definição do escopo, bem como da profundidade e da amplitude das atividades da gestão de riscos a serem reali- zadas, englobando inclusões e exclusões específicas; - à definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de tempo e localização; - à definição das relações entre um projeto, processo ouativi- dade específicos e outros projetos, processos ou atividades da organização; - à definição das metodologias de avaliação de riscos; - à definição da forma como são avaliados o desempenho e a eficácia na gestão dos riscos; - identificação e especificação das decisões que têm que ser tomadas, e - à identificação, definição ou elaboração dos estudos neces- sários, de sua extensão e objetivos, e dos recursos requeri- dos para tais estudos. A atenção para estes e outros fatores pertinentes pode ajudar a assegurar que a abordagem ado- tada para a gestão de riscos é apropriada às circunstân- cias, à organização e aos riscos que afetam a realização de seus objetivos.” 6.4.2 Critérios de Risco Convém que a organização defina os critérios a serem utilizados para avaliar a significância do risco. Os critérios devem ser definidos no início de qualquer processo de gestão de riscos e sejam analisados criticamente de forma contínua. 41Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 de agosto de 2009, projeto este elaborado pela Comissão de Estudo Especial de Gestão de Riscos da ABNT, previsto para ser equivalente à ISO 31000, nas suas páginas 23 e 24 descreve os seguintes aspectos: - a natureza e os tipos de causas e de consequências que podem ocorrer e como elas serão medidas; - como a probabilidade será definida; - a evolução no tempo da probabilidade e/ou consequência(s); - como o nível de risco deve ser determinado; - os pontos de vista das partes interessadas; - o nível em que o risco se torna aceitável ou tolerável, e - se convém que combinações de múltiplos riscos sejam le- vadas em consideração e, em caso afirmativo, como e quais combinações convém que sejam consideradas.” O ideal é a definição clara e objetiva através de um documento estrutura- do, que deve ser a Política de Gestão de Riscos. Na experiência da Bra- siliano & Associados sugerimos que a política tenha os seguintes tópicos: 1. Objetivos 2. Definições e Conceitos dos termos a serem utilizados 3. Descrição do Processo de Gestão e Análise de Riscos 3.1 Identificação dos Riscos – Ferramenta 3.2 Análise de Riscos – Critérios de Probabilidade e Impacto 3.3 Avaliação de Riscos – Matriz de Riscos 4. Avaliação do Nível de Riscos 5. Respostas aos Riscos 6. Priorização das ações 7. Monitoramento e Auditoria 8. Anexos – Dicionários de Riscos – conceituação dos riscos que a empresa irá utilizar 42Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 7. Identificação dos Perigos e dos Fatores de Riscos 7.1 CONTEXTO A identificação dos perigos e de seus fatores significa a compreensão das origens de cada perigo. Deve-se buscar responder por que o pe- rigo existe na empresa. Quais são as condições que potencializam a concretização do evento estudado. A compreensão da origem do perigo é imperiosa para a eficácia no trata- mento, na priorização que a empresa vai poder dedicar para mitigar aquela situação. Somente após o entendimento do porque da existência de cada perigo, é que se poderá sugerir medidas eficazes para reduzir riscos. A identificação dos perigos abrange as seguintes fases: 1. Conhecimento das Condições do processo, do departa- mento e ou da Unidade que estamos estudando; 2. Listagem dos Perigos – Relacionar os perigos conhecidos e os desconhecidos; 3 . Definir os perigos, com o objetivo da empresa possuir um dicionário de riscos e falar a mesma linguagem; 4. Classificar os perigos, de acordo com a política e critério estabelecido no Contexto Estratégico; 5. Identificar os Fatores de Riscos ou os também chamados Fatores Facilitadores ou Fontes de Risco, através da ferra- menta Diagrama de Causa e Efeito; 6. Identificar a Motricidade dos Fatores de Riscos, utilizando uma das ferramentas a Matriz SWOT ou a Matriz de Impactos Cruzados. 43Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo Esta é a fase mais estratégica do processo de gestão e análise de riscos, pois sem identificar os perigos e seus fatores de riscos con- cretamente, o estudo passa a ser superficial. A superficialidade do estudo coloca em exposição os objetivos estratégicos da empresa. Portanto o gestor deve investir tempo e metodologia nesta terceira fase do processo. 7.2 CONHECENDO AS CONDIÇÕES DE RISCO Para possuir uma visão holística e bem acurada dos perigos e de seus Fatores de Riscos há a necessidade de realizar uma avaliação das condições que estaremos realizando o estudo. Isto significa que pode ser desde um processo, ou um conjunto de processos, ou os proces- sos de um departamento ou até mesmo as condições de controle e segurança da empresa. Após saber e conhecer o negócio, suas estratégias, informações ad- quiridas na fase 2 – Contextos Estratégicos - o gestor de riscos e pas- sa a verificar as reais condições a serem levantadas. Os dados devem ser extraídos de observações e de visitas “in loco” na empresa, área ou processo, através de entrevistas com os gesto- res, análise das plantas baixas, estudo das normas existentes, se- guindo os testes: a) Teste de Compreensão: Permite conhecer o funcionamento de todo o processo exis- tente, bem como o fluxo operacional da unidade; b) Teste de Observância: Permitirá verificar a validação dos processos, normas e sis- temas integrados aplicados e utilizados, na empresa. Este estudo das condições deve responder a pelo menos duas perguntas: 1) O que pode acontecer? Lista de perigos 44Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 2) Como e porque pode acontecer? Causas e Cenários de Riscos Podemos utilizar como referência a ferramenta: 2W 1H - What? Why? How? O processo de conhecer as condições é um diagnóstico que deve responder a pergunta básica: “qual a situação real da empresa, pro- cessos e ou departamentos quanto aos seus aspectos de controle e segurança, frente a sua política de gestão de riscos e aos seus obje- tivos estratégicos?” Está análise deve ser efetuada da forma mais realista possível, pois qualquer distorção prejudicará todo o resto do processo de desenvol- vimento e implantação de medidas preventivas e mitigatórias Qualquer empresa esta inserida dentro de um contexto, onde uma mul- tiplicidade de variáveis e forças pode provocar mudanças ou abalar as estruturas organizacionais. Este contexto, que poderemos chamar de ambiente, varia constantemente e deve ser encarado tanto sob o ponto de vista interno, como externo. Sob o ponto de vista da gestão de riscos e a variação permanente do ambiente cria oportunidades ou ameaças à empresa. O diagnóstico corresponde a uma análise, ou uma fotografia e possui duas premissas básicas que devem ser consideradas: A) O ambiente onde a empresa esta inserida e suas múltiplas variáveis. B) O ambiente proporciona simultaneamente oportunidades que devem ser usufruídas e as ameaças que devem ser evitadas. A análise do ambiente interno e externo deve ser integrada e contí- nua. A empresa deve ter pleno conhecimento de seus pontos fortes e fracos para enfrentar as diversas situações, sejam contingenciais ou de rotina. Para realizar o diagnóstico, enfocando as variáveis internas e externas, a política de gestão de riscos e já devem estar claramente definidas. 45Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 7.2.1 Análise das Variáveis Externas A análise das varáveis externas tem por finalidade estudar a relação existente entre a empresa e seu ambiente, em termos de oportuni- dades e ameaças.Este estudo já deve ter sido realizado frente aos objetivos estratégicos da empresa, na fase 2 – Contexto Estratégico. 7.2.2 Análise das Variáveis Internas A análise das variáveis interna da empresa tem por finalidade eviden- ciar as qualidades e as deficiências dos processos, controles e siste- mas que a corporação possui. A visão para a realização deste diagnóstico deve ser conjuntural, abrangendo todos os segmentos da organização. Quando se inicia o diagnóstico, deve-se ter definido: quais são os pro- cessos a serem estudados e quais controles e sistemas estão ope- racionalizados. Sem estes dois parâmetros é difícil avaliar os pontos fortes e fracos de um sistema e ou processo. Listamos abaixo, a título de exemplo os itens básicos a serem analisados: 1. Cultura dos Colaboradores; 2. Turno de Trabalho dos Colaboradores; 3. Finalidade da Empresa; 4. Relação Colaboradores-Empresa; 5. Áreas Físicas; 6. Serviços Contratados; 7. Experiência Anterior; 8. Indenização; 9. Barreira Perimetral; 10. Segurança de Edifícios; 11. Sistema de Iluminação; 12. Controle de Chaves; 13. Controles Internos; 46Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 14. Proteção a Incêndios; 15. Corpo de Segurança; 16. Sistemas Integrados; 17. Planos Formalizados Existentes: Segurança, Emergência e de Continuidade de Negócios. Listamos outro check-list na área de processos, a título de exemplo: 1. A Empresa aplica algum meio de conciliação das informa- ções das áreas chave? 2. A Empresa dispõe de unidades de negócio localizadas fora de sua Sede. Elas são convenientemente monitoradas quanto à produção, resultados, ambiente, meios, controles, etc.? Como? 3. A Empresa dispõe de estoque para peças e/ou produtos acabados? 4. Quais são os tipos de controles utilizados pelas áreas chave em suas atividades críticas? (Relatórios, planilhas, etc). 5. A Alta Administração dá a devida atenção aos seus consi- derados, controles internos? 6. Há uma clara estrutura dos papéis e responsabilidades indi- viduais dos colaboradores no contexto da Empresa? (Des- crição de cargos e o que cada um contempla). 7. As equipes das áreas estão bem dimensionadas, conside- rando inclusive os recursos necessários para a boa execu- ção de suas atividades? 8. Os colaboradores possuem pleno conhecimento de suas atividades (importância, o que fazem; por que fazem)? 9. A Empresa possui programa de Reciclagem/Treinamentos Esporádicos para com seus colaboradores? 10. Caso sim, qual é a frequência? 11. Quais são as ferramentas tecnológicas disponíveis para a execução das atividades da Empresa? 47Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 12. Os recursos de TI atuais atendem às necessidades de exe- cução e controle das atividades/operações da Empresa? 13. Existe um plano de treinamento específico para o usuário dos sistemas de informação? 14. Existe um plano de instrução de negócios/recuperação de desastre formalizado? 15. Os sistemas dos aplicativos utilizados atendem às necessi- dades do processo envolvido? 16. Os sistemas dos aplicativos utilizados são vulneráveis a acessos e alterações de dados? 17. Existem procedimentos formalizados para garantir a segu- rança da informação? 18. São realizados backup’s periódicos para as atividades/infor- mações críticas do processo? 19. As informações críticas transmitidas interna ou externamen- te são criptografadas durante o processo? 20. Existe um responsável de segurança de informação a nível executivo? 21. Existem sistemas e controles específicos para captura de dados relativos a eventos de segurança, incluindo todas as fontes válidas, por exemplo nomes de usuários? 22. Existem procedimentos periódicos de análise desses dados e eventos? 7.2.3 Formas de Realizar um diagnóstico A melhor maneira de realizar um diagnóstico é colher as informações em campo, ou seja, olhar o que realmente está acontecendo. Há três maneiras de realizar a busca destas informações: A) Entrevistas As entrevistas, geralmente nos níveis institucional, inter- mediário e operacional têm por objetivo conhecer como 48Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo pensam tanto as pessoas que operam, como os usuários do processo. B) Verificação de documentos A verificação de documentos, tais como planos e normas, tem por meta conhecer o que preconizam as condutas e qual é a política de riscos da empresa. C) Trabalho de Campo O trabalho de campo tem por finalidade comparar se o que está escrito e falado realmente acontece. O ideal é que o diagnóstico possa ser realizado a partir destes três mé- todos, para garantir uma noção clara e específica das reais condições. 7.3 LISTAGEM DOS PERIGOS 7.3.1 Contexto A identificação deve incluir todos os perigos, estejam ou não sob o con- trole da Unidade de Negócio. O objetivo é gerar uma lista abrangente de eventos que possam afetar a Unidade de Negócio. Esses perigos são en- tão estudados detalhadamente, a fim de identificar o que pode acontecer. Operacionalmente, os perigos são identificados a partir do mapea- mento dos diversos processos da empresa, entrevistas com os gesto- res envolvidos, testes de auditoria e reuniões de Brainstorming. 7.3.2 Técnica do Brainstorming O levantamento dos perigos e ou eventos deverá sair das reuniões de “brainstorming”. O propósito deste tipo de reunião é identificar tan- to os perigos conhecidos como os desconhecidos. Ou seja aqueles eventos que nunca ocorreram na Unidade e ou processo. A equipe deverá possuir um líder, visando direcionar os assuntos. Não deve haver censura e nem hierarquia em reuniões deste tipo, visando 49Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo não inibir a criatividade dos componentes da equipe. Algumas regras são importantes e devem ser seguidas: 1. Expor as idéias com o máximo de espontaneidade, sem exercer autocensura. 2. Todas as idéias têm interesse, mesmo que pareçam “idéias loucas”. São essas, às vezes, as que contêm “algo de novo” e com valor. 3. Nenhuma idéia pode ser contestada ou debatida durante o “brainstorming”. 4. Quando um participante tiver uma idéia a apresentar, sugerida por outra já exposta por alguém, terá prioridade sobre os demais. 5. Importante é a quantidade das idéias apresentadas. Em geral, pela nossa experiência, o número de reuniões pode chegar a três, desde que os participantes da equipe façam suas lições de casa. Estudar as questões relativas aos riscos corporativos de suas empresas. A duração de cada reunião de “brainstorming” deve ser no máximo de uma hora e trinta minutos. Além deste tempo, estas ficam ineficazes, sem rendimento. Ao final das reuniões, deverá haver um consenso, por parte da equipe multidisciplinar, nos perigos levantados. 7.4 DEFINIÇÃO DOS PERIGOS Em seguida à identificação dos perigos há a necessidade de definir, conceituar os perigos com o objetivo da empresa possuir um dicioná- rio de riscos. Ao mesmo tempo há uma compreensão igualitária por toda a empresa sobre o conceito dos perigos identificados. Abaixo segue, a título de exemplo, uma pequena listagem de definição e conceito de perigos. São eles: 1. Roubo/Assalto O roubo é uma agressão externa, através de uma ação planejada e armada, com o intuito de subtrair numerário (Posto Bancário). 50Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 2. Sabotagem Interna A sabotagem interna pode ser realizada por colaboradores da empresa, ou seja pessoas que possuem e conhecem os processos de serviços e ou industriais.Teria dois focos: - as áreas críticas dos processos, tendo como objeti- vo principal paralisar as atividades industriais, pre- judicando desta forma suas atividades essenciais. - linha de produtos, tendo como objetivo atingir a imagem e sua respectiva credibilidade no merca- do, atingindo a qualidade e distribuição no merca- do consumidor. 3. Sabotagem Externa A sabotagem externa é realizada por pessoas estranhas a empresa. Desta forma seria um acesso não autorizado, po- dendo ser desde uma intrusão pelo perímetro ( fragilidade da barreira perimetral) como falha nos acessos as áreas críticas. Teria também dois focos: - as áreas críticas dos processos, tendo como objeti- vo principal paralisar as atividades industriais, pre- judicando desta forma suas atividades essenciais. - linha de produtos, tendo como objetivo atingir a imagem e sua respectiva credibilidade no merca- do, atingindo a qualidade e distribuição no merca- do consumidor. 4. desvio Interno O Desvio Interno de bens existentes na empresa. O des- vio interno é focado, principalmente, nos produtos da em- presa que possuam atratividade para comercialização no mercado paralelo. É a chamada “Operação Formiga”, ou seja os produtos são retirados da empresa de forma sis- temática e constante, em quantidade e ou volumes que 51Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo não chamem muito a atenção. Geralmente os autores são colaboradores em conluio com terceiros. Os autores agem de forma planejada, aproveitando as fragi- lidades do processo de controle. 5. Fuga de Informação Este risco está relacionado à questão da fuga involuntária, quando o ator – colaborador não age com a intenção, mas é induzido a falar sobre determinados assuntos. Para que exista uma real segurança do fluxo da informação há a ne- cessidade deste sistema interagir com os usuários de algu- ma forma. Essa interação é o elo mais fraco na corrente da segurança, sendo responsável pela fuga e / ou vazamento da informação. A fuga de informação também ocorre através de equipa- mentos (notebooks/computadores) furtados contendo infor- mações a todos os níveis da empresa. 6. Fraudes de Terceiros Atividades fraudulentas cometidas por empregados, con- sumidores, fornecedores, agentes, corretores ou adminis- tradores terceiros contra a organização com a finalidade de ganho pessoal (ex. apropriação indébita de ativos físi- cos, financeiros ou de informação) expõe a organização à perda financeira. 7. Fraudes da Gerência Fraudes cometidas pela Gerência (ex. relato inexato inten- cional da declaração financeira ou apresentação inadequa- da das capacidades ou intenções da organização) podem afetar adversamente as decisões dos investidores externos. 8. Conduta Anti-Ética Uso não autorizado de ativos físicos, financeiros ou de informa- ção da empresa por empregados ou outros expõem a organiza- ção a um gasto desnecessário de recursos ou a perda financeira. 52Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 9. Infra-Estrutura O risco da organização não ter a infra-estrutura de informá- tica (ex. hardware, redes, software, pessoas e processos) adequada para suportar as exigências das informações atu- ais e futuras do negócio em um modo efi ciente, com baixo custo e bem-controlada. 7.5 CLASSIFICAÇÃO DOS PERIGOS Não há um tipo de classifi cação de riscos que seja consensual, exaustivo e aplicável a todas as organizações; a classifi cação deve ser desenvolvi- da de acordo com as características de cada organização, contemplan- do as particularidades da sua indústria, mercado e setor de atuação. Por exemplo: os estoques de materiais de consumo são menos relevantes para um banco do que para uma indústria, onde pode representar um dos principais fatores de risco. Analogamente, as variáveis relacionadas ao “risco de mercado” são cruciais para um banco e podem não ser tão relevantes para determinada organização manufatureira. O IBGC sugere a seguinte classifi cação de riscos, conforme a Matriz abaixo: Figura 8 Fonte: Guia de Orientação de Gerenciamento de Riscos – IBGC - 2007 53Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo A Norma de Gestão de Riscos da FERMA – Federation of European Management Associations sugere a seguinte classificação: Estratégicos - Relacionados com os objetivos estratégi- cos da organização a longo prazo. Podem afetar por áreas como disponibilidade de capital, riscos de soberania e po- líticos, alterações jurídicas e regulamentares, reputação e alteração ao meio ambiente físico. Operacionais - Relacionados com os assuntos cotidianos com os quais a organização é confrontada quando se esfor- ça para atingir os seus objetivos estratégicos. Financeiros - Relacionadas com a gestão e controle efica- zes dos meios financeiros da organização e com os efeitos de fatores externos como, por exemplo, disponibilidade de crédito, taxas de câmbio, movimento das taxas de juros e outro tipo de orientações do mercado. Gestão do conhecimento - Relacionados com a gestão e controle eficazes dos recursos do conhecimento e com a produção, proteção e comunicação destes. Esta categoria engloba fatores externos como a utilização não autorizada ou abusiva da propriedade intelectual, as falhas de energia na zona e tecnologia competitiva. Do lado dos fatores inter- nos podem referir-se avarias nos sistemas ou a perda de funcionários chave. Conformidade - Relacionados com temas como saúde e segurança, meio ambiente, práticas comerciais, proteção do consumidor, proteção de dados, assuntos regulamenta- res e legislação laboral. Na área bancária os riscos são classificados como Riscos de Merca- do, Crédito e Operacionais. Ponto importante para as empresas é possuir uma classificação de seus riscos para que possa enxergar de forma estratégia sua exposi- ção e respectiva consequência. 54Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo Podemos especificar a Classificação dos riscos da seguinte forma: 1. Estratégicos; 2. Financeiros: abrangendo tanto a área de crédito como de mercado; 3. Operacional; 4. Conformidade/Legal. Na ótica estas quatro categorias abrangem todas as empresas. Pode- mos especificar a Classificação dos riscos da seguinte forma: 1. Estratégicos - Sua grande iniciativa falha, Seus clientes abandonam, Seu setor chega a uma bifurcação na estrada, Um concorren- te aparentemente invencível aparece, Sua marca perde a força, Seu setor torna-se zona de lucro zero, Sua empresa para de crescer. 2. Riscos Financeiros - Risco de Taxas de Juros, Taxas de Câmbio, Commodi- ties, Ações, Liquidez, Derivativos, Hedge, Concentração (mercado), Inadimplência, Degradação de Crédito, Degra- dação das Garantias, Soberano, Financiador, Concentra- ção (crédito). 3. Risco Operacional - Risco de Overload, Obsolescência, Presteza e Confiabili- dade, Equipamento, Erro Não Intencional, Fraudes, Qualificação, Produtos & Serviços, Modelagem, Sistêmico, Concentração (operacional), Imagem, Catástrofe. 4. Conformidade/Legal - Risco de Regulamentação, Legislação e ou Normas e Polí- ticas, Tributário, Contrato. 55Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo 7.6 IdENTIFICANdO OS FATORES dE RISCOS É necessário o desmembramento do perigo em fatores ou causas, que podem estar dentro do controle da Unidade de Negócio ou se- rem incontroláveis. Os fatores de risco são na realidade a origem e ou causa de cada perigo. Para compreender o risco – a condição – a soma
Compartilhar