Brasiliano, Antonio Gestão e análise de riscos corporativos

Prévia do material em texto

2a E
DIÇ
ÃO
 - IS
O 3
1.00
0
Gestão de Riscos
Antonio Celso Ribeiro Brasiliano
Gestão e Análise de
 Riscos coRpoRAtivos:
método bRAsiliAno AvAnçAdo
Antonio Celso Ribeiro Brasiliano
São Paulo, 2010 
20 Edição
Gestão e Análise de 
 Riscos coRpoRAtivos:
método bRAsiliAno AvAnçAdo
Dados Internacionais de Catalogação na Publicação (CIP) 
(Câmara Brasileira do Livro, SP, Brasil)
Brasiliano, Antonio Celso Ribeiro
Gestão e análise de riscos corporativos : Método Brasiliano avançado / 
Antonio Celso Ribeiro
Brasiliano. -- São Paulo : Sicurezza, 2010.
Bibliografia. 
ISBN 978-85-87297-19-8
1. Administração de riscos 2. Análise de risco - Método Brasiliano 3. 
Planejamento estratégico 4. Risco - Administração I. Título.
09-10600 CDD-658.155
Índices para catálogo sistemático:
1. Gestão e análise de riscos corporativos : Planejamento estratégico : 
Administração de empresas 658.155
Titulo Original:
Gestão e análise de riscos corporativos : Método Brasiliano avançado
© Copyright 2010 by Antonio Celso Ribeiro Brasiliano
2a edição, Novembro 2010
Todos os direitos reservados. É proibida a reprodução desta obra por 
qualquer meio, em seu todo ou em partes, sem autorização expressa do 
autor e do editor.
Direitos dessa edição cedidos por contrato para:
Sicurezza Gestão de Riscos Corporativos, Editora e Distribuidora Ltda
Endereço fiscal: Rua Damasio Rodrigues Gomes, 301 - Jardim Cupece 
São Paulo - SP - Cep 04652-150
Telefone: 11 5531 6171
Email: editora@sicurezzaeditora.com.br
Coordenação: Enza Cirelli
Projeto Gráfico : Agencia BM Design - contato@agenciabmdesign.com.br
Fotolito, impressão e acabamento: JF Artes Gráficas
Ao meu neto Antonio, guerreiro da terceira geração, 
que renova constantemente a energia da minha vida.
Prefácio
O Processo de Gestão de Riscos Corporativos, no Brasil, ainda é novo 
e pouco aplicado, devendo ser implantado e revisado pelo menos anu-
almente pelo seu gestor, envolvendo toda a empresa. 
Este livro, Gestão e Análise de Riscos Corporativos, tem a finalidade de 
ajudar os gestor de riscos a implantar um processo lógico de gestão e 
análise de riscos, possuindo critérios, métodos e ferramentas que já são 
utilizadas em inúmeras empresas no Brasil e no mundo. Descrevo também 
neste livro a importância da ISO 31000 e seu framework, que será empre-
gado pelo mundo a partir de seu lançamento, em novembro de 2009.
O objetivo do gestor de riscos possuir um processo lógico de gestão 
de riscos (GR) é a manutenção da competitividade da empresa neste 
nosso mundo extremamente turbulento. A gestão de riscos corporati-
vos deve estar em perfeita consonância com os objetivos estratégicos 
da empresa, coincidindo com seu horizonte temporal.
Meu objetivo é reunir neste livro as informações e orientações da ativi-
dade de quem gerencia riscos: a compreensão e preparação do Pro-
cesso de Gestão e Análise de Riscos Corporativos, já alinhado com as 
diretrizes da ISO 31000.
Em todos os meus prefácios escrevo aos colegas que se, por acaso, 
uma enorme tentação vier bater às suas portas, no sentido de não ten-
tar colocar em prática os conceitos aqui abordados, pensem no que 
Normam Vaghum disse:
“Sonhe grande, ouse fracassar.”
Sucesso e Sorte a todos nós!! 
Antonio Celso Ribeiro Brasiliano
abrasiliano@brasiliano.com.br
Setembro de 2009
Sumário 
Prefácio
1. Introdução 7
2. Objetivos Estratégicos da Gestão de Riscos Corporativos 8
3. ISO 31000 – Mudança de Paradigma 15
4. Framework do Processo de Gestão e Análise 
de Riscos Corporativos – Método Brasiliano 22
5. Comunicação e Consulta 27
6. Contextos Estratégicos 32
7. Identificação dos Perigos e dos Fatoresde Riscos 42
8. Análise de Riscos – Método e Critérios 78
9. Avaliação de Riscos – Matriz de Riscos 88
10. Nível de Riscos - Processos – 
Departamentos – Unidades - Edificações 91
11. Tratamento dos Riscos – Plano de Ação - Ferramentas 103
12. Monitoramento e Análise Crítica dos Riscos 117
13. Conclusão 119
Bibliografia
Sobre o Autor
 7Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
1. Introdução
As empresas devem estar comprometidas com seus clientes, acionis-
tas, parceiros comerciais e com a sociedade em que atua, focando 
esforços em reduzir os riscos existentes e/ou os que possam se ma-
nifestar no futuro e também na maximização das oportunidades de 
negócio. Para tanto, é necessário conhecer os riscos que a afetam e 
seus impactos sobre os seus negócios. 
Os riscos permeiam todos os níveis das atividades do negócio e, se não 
forem gerenciados adequadamente, poderão resultar em perdas finan-
ceiras, deterioração da imagem e reputação ou desencadear uma crise.
O gerenciamento de riscos tem se tornado um assunto de suma impor-
tância no meio empresarial, uma vez que a conscientização da neces-
sidade de administração dos riscos potenciais é, hoje, uma questão 
de competitividade e sobrevivência.
Para que seja eficaz, o gerenciamento de riscos deve fazer parte da 
cultura de qualquer empresa e deve estar inserido em sua filosofia, 
nas práticas e nos processos de negócio.
O Método Avançado de Análise e Resposta aos Riscos Corporativos 
– Método Brasiliano fornece um processo para a identificação dos 
perigos, avaliação dos seus Fatores de Riscos, análise e avaliação 
dos riscos corporativos. Este método descreve os passos a serem 
percorridos, as ferramentas a serem utilizadas, os critérios a ado-
tar na probabilidade, impacto, além de estabelecer priorização de 
ações a serem executadas. É uma ferramenta de gestão, alinhada 
com a Futura ISO 31000.
 8Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
2. Objetivos Estratégicos da 
Gestão de Riscos Corporativos
2.1 PREMISSAS ESTRATÉGICAS 
A premissa inerente ao gerenciamento de riscos corporativos é que 
toda organização existe para gerar valor às partes interessadas. Todas 
as organizações enfrentam incertezas, e o desafio de seus administra-
dores é determinar até que ponto aceitar essa incerteza, assim como 
definir como essa incerteza pode interferir no esforço para gerar valor 
às partes interessadas. 
Incertezas representam riscos e oportunidades, com potencial para 
destruir ou agregar valor. O gerenciamento de riscos corporativos 
possibilita aos administradores tratar com eficácia as incertezas, bem 
como os riscos e as oportunidades a elas associadas, a fim de melho-
rar a capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e 
objetivos para alcançar o equilíbrio ideal entre as metas de crescimen-
to e de retorno de investimentos e os riscos a elas associados, e para 
explorar os seus recursos com eficácia e eficiência na busca dos obje-
tivos da organização. Os objetivos estratégicos do gerenciamento de 
riscos corporativos, segundo as premissas da Metodologia COSO são: 
1.	 	Alinhar	o	apetite	a	risco	com	a	estratégia	adotada	–	os admi-
nistradores avaliam o apetite a risco da organização ao anali-
sar as estratégias, definindo os objetivos a elas relacionados 
e desenvolvendo mecanismos para gerenciar esses riscos.
2.	 	Fortalecer	as	decisões	em	resposta	aos	riscos	–	o ge-
renciamento de riscos corporativos possibilita o rigor na 
 9Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
identificação e na seleção de alternativas de respostas aos 
riscos – como evitar, reduzir, compartilhar e aceitar os riscos.
3.	 Reduzir	as	surpresas	e	prejuízos	operacionais	–	organi-
zações adquirem melhor capacidade para identificar even-
tos em potencial e estabelecer respostas a estes, reduzindo 
surpresas e custos ou prejuízos associados.4.	 Identificar	e	administrar	riscos	múltiplos	e	entre	empre-
endimentos	 –	 toda organização enfrenta uma gama de 
riscos que podem afetar diferentes áreas da organização. 
A gestão de riscos corporativos possibilita uma resposta 
eficaz a impactos inter relacionados e, também, respostas 
integradas aos diversos riscos.
5.	 Aproveitar	oportunidades	–	pelo fato de considerar todos 
os eventos em potencial, a organização posiciona-se para 
identificar e aproveitar as oportunidades de forma proativa.
6.	 Otimizar	o	 capital	 –	a obtenção de informações adequa-
das a respeito de riscos possibilita à administração conduzir 
uma avaliação eficaz das necessidades de capital como um 
todo e aprimorar a alocação desse capital.
Essas qualidades, inerentes ao gerenciamento de riscos corporativos 
ajudam os administradores a atingir as metas de desempenho e de 
lucratividade da organização, e evitam a perda de recursos. O geren-
ciamento de riscos corporativos contribui para assegurar comunica-
ção eficaz e o cumprimento de leis e regulamentos, bem como evitar 
danos à reputação da organização e suas conseqüências. Em suma, 
o gerenciamento de riscos corporativos ajuda a organização a atingir 
seus objetivos e a evitar os perigos e surpresas em seu percurso.
2.2 EVENTOS – RISCOS E OPORTUNIDADES
Os eventos podem gerar impacto tanto negativo quanto positivo 
ou ambos. Os que geram impacto negativo representam riscos que 
 10Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
podem impedir a criação de valor ou mesmo destruir o valor existente. 
Os de impacto positivo podem contrabalançar os de impacto negativo 
ou podem representar oportunidades, que por sua vez representam a 
possibilidade de um evento ocorrer e influenciar favoravelmente a rea-
lização dos objetivos, apoiando a criação ou a preservação de valor. A 
direção da organização canaliza as oportunidades para seus proces-
sos de elaboração de estratégias ou objetivos, formulando planos que 
visam ao aproveitamento destes.
2.3 DEFINIÇÃO DE GERENCIAMENTO 
DE RISCOS CORPORATIVOS
A gestão de riscos corporativos trata riscos e oportunidades que 
afetam a criação ou a preservação de valor, sendo definido, pela me-
todologia COSO da seguinte forma:
O gerenciamento de riscos corporativos é um processo conduzido em 
uma organização pelo conselho de administração, diretoria e demais 
empregados, aplicado no estabelecimento de estratégias, formuladas 
para identificar em toda a organização eventos em potencial, capazes 
de afetá-la, e administrar os riscos de modo a mantê-los compatível 
com o apetite a risco da organização e possibilitar garantia razoável 
do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamen-
to de riscos corporativos é:
1. um processo contínuo que flui através da organização;
2. conduzido pelos profissionais em todos os níveis da 
organização;
3. aplicado à definição das estratégias;
4 - aplicado em toda a organização, em todos os níveis e uni-
dades, e inclui a formação de uma visão de portfólio de to-
dos os riscos a que ela está exposta;
 11Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
5 - formulado para identificar eventos em potencial, cuja ocor-
rência poderá afetar a organização, e para administrar os 
riscos de acordo com seu apetite a risco;
6 - capaz de propiciar garantia razoável para o conselho de 
administração e a diretoria executiva de uma organização;
7 - orientado para a realização de objetivos em uma ou mais 
categorias distintas, mas dependentes. 
Essa definição é intencionalmente ampla e adota conceitos fundamen-
tais sobre a forma como as empresas e outras organizações adminis-
tram riscos, possibilitando uma base para sua aplicação em organi-
zações, indústrias e setores. O gerenciamento de riscos corporativos 
orienta seu enfoque diretamente para o cumprimento dos objetivos 
estabelecidos por uma organização específica e fornece parâmetros 
para definir a eficácia desse gerenciamento de riscos.
2.4 REALIZAÇÃO DE OBJETIVOS
Com base na missão ou visão estabelecida por uma organização, a ad-
ministração estabelece os planos principais, seleciona as estratégias 
e determina o alinhamento dos objetivos nos níveis da organização.
Essa estrutura de gerenciamento de riscos corporativos é orientada a 
fim de alcançar os objetivos de uma organização e são classificados 
em quatro categorias:
1. Estratégicos – metas gerais, alinhadas com o que suportem 
à sua missão.
2. Operações – utilização eficaz e eficiente dos recursos.
3. Comunicação – confiabilidade de relatórios.
4. Conformidade – cumprimento de leis e regulamentos aplicáveis.
Essa classificação possibilita um enfoque nos aspectos distintos do ge-
renciamento de riscos de uma organização. Apesar de dessas catego-
rias serem distintas, elas se inter-relacionam, uma vez que determinado 
 12Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
objetivo pode ser classificado em mais de uma categoria, tratam de 
necessidades diferentes da organização e podem permanecer sob a 
responsabilidade direta de diferentes executivos. Essa classificação 
também permite diferenciar o que pode ser esperado de cada catego-
ria de objetivos. A salvaguarda dos recursos, outra categoria utilizada 
por algumas organizações, também é descrita.
Em razão do fato dos objetivos relacionados com a confiabilidade e re-
latórios e o cumprimento de leis e regulamentos estarem sob controle 
da organização, pode-se esperar que o gerenciamento de riscos cor-
porativos forneça uma garantia razoável em relação ao atendimento 
desses objetivos. Entretanto, a realização de objetivos estratégicos e 
operacionais está sujeita à ação de eventos externos nem sempre sob 
o controle da organização; da mesma forma, em relação a esses ob-
jetivos, o gerenciamento de riscos corporativos é capaz de propiciar 
uma garantia razoável que a diretoria executiva e o conselho de ad-
ministração, na função de supervisão, serão informados, no momen-
to adequado, o quanto a organização está avançando na direção do 
atendimento dos objetivos.
2.5 COMPONENTES DO GERENCIAMENTO 
DE RISCOS – METODOLOGIA COSO – ERM 
O gerenciamento de riscos corporativos é constituído de oito compo-
nentes inter-relacionados, segundo a Metodologia COSO – ERM (En-
terprise Risk Management): 
	 Ambiente	 Interno	 –	o ambiente interno compreende o tom 
de uma organização e fornece a base pela qual os riscos são 
identificados e abordados pelo seu pessoal, inclusive a filoso-
fia de gerenciamento de riscos, o apetite a risco, a integridade 
e os valores éticos, além do ambiente em que estes estão.
	 Fixação	 de	 Objetivos	 –	 os objetivos devem existir an-
tes que a administração possa identificar os eventos em 
 13Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
potencial que poderão afetar a sua realização. O geren-
ciamento de riscos corporativos assegura que a admi-
nistração disponha de um processo implementado para 
estabelecer os objetivos que propiciem suporte e estejam 
alinhados com a missão da organização e sejam compatí-
veis com o seu apetite a riscos.
	 Identificação	de	Eventos	–	os eventos internos e externos 
que influenciam o cumprimento dos objetivos de uma orga-
nização devem ser identificados e classificados entre ris-
cos e oportunidades. Essas oportunidades são canalizadas 
para os processos de estabelecimento de estratégias da 
administração ou de seus objetivos.
	 Avaliação	de	Riscos	–	os riscos são analisados, considerando-
se a sua probabilidade e o impacto como base para determinar 
o modo pelo qual deverãoser administrados. Esses riscos são 
avaliados quanto à sua condição de inerentes e residuais.
	 Resposta	a	Risco	–	a administração escolhe as respostas 
aos riscos - evitando, aceitando, reduzindo ou comparti-
lhando – desenvolvendo uma série de medidas para alinhar 
os riscos com a tolerância e com o apetite a risco.
	 Atividades	 de	 Controle	 –	 políticas e procedimentos são 
estabelecidos e implementados para assegurar que as res-
postas aos riscos sejam executadas com eficácia. 
	 Informações	 e	 Comunicações	 –	as informações relevan-
tes são identificadas, colhidas e comunicadas no prazo que 
permitam que cumpram suas responsabilidades. A comu-
nicação eficaz também ocorre em um sentido mais amplo, 
fluindo em todos níveis da organização.
	 Monitoramento	 –	 a integridade da gestão de riscos 
corporativos é monitorada e são feitas as modificações 
necessárias. O monitoramento é realizado através de ativi-
dades gerenciais contínuas ou avaliações independentes 
ou de ambas as formas.
 14Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
A rigor, o gerenciamento de riscos corporativos não é um processo em 
série pelo qual um componente afeta apenas o próximo. É um proces-
so multidirecional e interativo segundo o qual quase todos os compo-
nentes influenciam os outros.
Informações e Comunicações
Monitoramento
Atividades de Controle
Resposta ao Risco
Avaliação de Riscos
Fixação de Objetivos
Ambiente Interno
Estr
atég
ico
Ope
raci
ona
l
Com
uni
caç
ão
Con
form
idad
e
Figura	1	-	Visão	Tridimensional	da	Metodologia	COSO	-	ERM
2.6 RELACIONAMENTO ENTRE OBJETIVOS E OS 
COMPONENTES DA METODOLOGIA COSO - ERM
Existe um relacionamento direto entre os objetivos, que uma organiza-
ção empenha-se em alcançar, e os componentes do gerenciamento de 
riscos corporativos, que representam aquilo que é necessário para o 
seu alcance. Esse relacionamento é apresentado em uma matriz tridi-
mensional em forma de cubo.
As quatro categorias de objetivos (estratégicos, operacionais, de co-
municação e conformidade) estão representadas nas colunas verti-
cais. Os oito componentes nas linhas horizontais e as unidades de 
uma organização na terceira dimensão. Essa representação ilustra a 
capacidade de manter o enfoque na totalidade do gerenciamento de 
riscos de uma organização, ou na categoria de objetivos, componen-
tes, unidade da organização ou qualquer um dos subconjuntos.
 15Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
3. ISO 31000 - Mudança de Paradigma
3.1 CONTEXTO
Durante os anos de 2007 e 2008 uma série de questões de riscos des-
de a crise de liquidez nos mercados financeiros até as preocupações 
emergentes sobre terrorismo, clima, disponibilidade de alimentos, infra 
estrutura e energia, focou a atenção global na fragilidade sistêmica dos 
processos estratégicos das nações e consequentemente do mundo. 
Uma conscientização do risco e gerenciamento de risco é cada vez 
mais vista como um pré-requisito para controle efetivo tanto no setor 
privado e como público. 
Dentro deste contexto é que neste segundo semestre de 2009 será lan-
çada oficialmente a ISO 31000, que possui como desafio integrar os dife-
rentes conceitos da Gestão de Riscos Corporativos. A norma está sendo 
desenvolvida por uma comissão especial da ISO (International Organiza-
tion for Standardization) e teve sua numeração definida como ISO 31000. 
A ISO 31000 surgiu da necessidade de harmonizar padrões, regulamen-
tações e frameworks publicados anteriormente e que de alguma forma 
estão relacionados com a gestão de riscos. A origem da norma, que 
pode ser aplicada por empresas ou indivíduos e fornece diretrizes para 
implementação de gestão de riscos em organizações de qualquer tipo, 
tamanho ou área de atuação, vem da necessidade das corporações 
de lidar com as incertezas que podem afetar os seus objetivos. Estes 
objetivos podem estar relacionados com várias atividades da organiza-
ção, desde as iniciativas estratégicas como as atividades operacionais, 
processos ou projetos. Assim, a norma pode ser aplicada aos vários 
tipos de riscos ligados aos diferentes setores da organização, tais como 
 16Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
financeiro, saúde e meio ambiente, tecnologia da informação, seguran-
ça empresarial, seguros, e de projetos, entre outros, incluindo a visão 
moderna de que risco também é oportunidade.
A ISO 3100 surge também para integrar as diversas metodologias e 
terminologias, pois hoje ainda há falta de consenso em relação à termi-
nologia e aos conceitos utilizados para a gestão de riscos.
O resultado mais comum dessa equação é que a gestão de riscos aca-
ba sendo tratada de forma ISOlada, fazendo com que vários gestores 
( saúde, meio ambiente, segurança de TI e empresarial, legal, finan-
ceiro, seguros, entre outros) trabalhem em ilhas departamentais, o que 
ocasiona a utilização de terminologias, sistemas, critérios e conceitos 
diferentes para cada uma das áreas da empresa. Ou seja cada depar-
tamento não possui o denominado impacto cruzado, não enxerga o 
impacto do risco que está estudando em outras áreas e ou processos. 
A ISO 31000 possui processo consistente e uma estrutura abrangente 
para ajudar a assegurar que o risco será gerenciado de forma eficaz, 
eficiente e coerentemente. Por esta razão a abordagem é genérica 
fornecendo os princípios e diretrizes para gerenciar qualquer forma de 
risco de uma maneira sistemática, transparente e confiável, dentro de 
qualquer escopo e contexto. 
Segundo o texto do Projeto ABNT/CEE-63 Projeto 63.000.01-001 de 
agosto de 2009, projeto este elaborado pela Comissão de Estudo Es-
pecial de Gestão de Riscos da ABNT, previsto para ser equivalente 
à ISO 31000, descreve na sua página 04 e 05, as possibilidades da 
gestão de riscos nas empresas: 
- aumentar a probabilidade de atingir os objetivos;
- encorajar uma gestão proativa;
- estar atento para a necessidade de identificar e tratar os 
riscos através de toda organização;
- melhorar a identificação de oportunidades e ameaças; 
- atender às normas internacionais e requisitos e regulamen-
tos pertinentes;
 17Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
- melhorar o reporte das informações financeiras;
- melhorar a governança corporativa;
- melhorar a confiança das partes interessadas;
- estabelecer uma base confiável para a tomada de decisão 
e o planejamento;
- melhorar os controles;
- alocar e utilizar eficazmente os recursos para o tratamento 
dos riscos;
- melhorar a eficácia e a eficiência operacional;
- melhorar o desempenho em saúde e segurança, bem como 
proteção ao meio ambiente;
- melhorar a prevenção de perdas e a gestão de incidentes;
- minimizar perdas;
- melhorar a aprendizagem organizacional; e 
- aumentar a resilência da organização. 
3.2 ORGANIZAÇÃO DA NORMA
3.2.1	Organização
A norma possui a seguinte organização: 
Introdução
 1. Escopo
 2. Termos e Definições
 3. Princípios
 4. Estrutura
 5. Processo
 6. Anexos: A Atributos de uma gestão de riscos avançada 
 18Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
3.2.2	Estrutura
O sucesso da gestão de riscos depende da estrutura de gestão que 
fornece os fundamentos e os arranjos que irão incorporá-la através da 
organização, em todos os níveis. A estrutura descreve os componen-
tes necessários da estrutura para gerenciar riscos e a forma como eles 
se inter-relacionam. O diagrama abaixo foi retirado do Projeto ABNT/
CEE-63 Projeto 63.000.01-001 de agosto de 2009 (página 15), projeto 
este elaboradopela Comissão de Estudo Especial de Gestão de Ris-
cos da ABNT, previsto para ser equivalente à ISO 31000:
Figura	2	-	Relacionamento	entre	os	componentes	da	estrutura	para	gerenciar	riscos
3.2.3	Processo
O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 
de agosto de 2009, projeto este elaborado pela Comissão de Estudo 
Especial de Gestão de Riscos da ABNT, previsto para ser equivalente 
à ISO 31000, página 20 e 21 é: 
Convém que o processo de gestão de riscos seja: 
- parte integrante da gestão;
- incorporado na cultura e nas práticas, e 
- adaptado aos processo de negócio da organização. 
 19Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Ele compreende as seguintes atividades:
Figura	3	-	Processo	de	gestão	de	riscos
Genéricamente o processo estruturado sugerido possui sete fases 
claramente identificadas, sendo um processo retro alimentativo. Ou 
seja segue os princípios do ciclo da qualidade, PDCA – Plan – Do – 
Check – Action. 
A fase de comunicação e consulta abrange todas elas e é inter-relacio-
nada. Abrange tanto a comunicação interna e externa, assegurando que 
os responsáveis e partes interessadas compreendam os fundamentos 
sobre os quais as decisões são tomadas e as respectivas razões. 
A fase do estabelecimento do contexto é entender os fatores e as 
variáveis externas, incluindo os fatores chaves, as tendências e as 
relações com as partes interessadas externas e suas percepções 
de valores. Já no contexto interno é entender seus objetivos estra-
tégicos, a cultura, processos, estrutura e estratégia. No contetxo 
estabelece o processo de gestão de riscos com sua estrutura, seus 
 20Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
critérios e métodos que a organização deverá utilizar. Define-se me-
tas e objetivos além de responsabilidades e o apetite ao risco que a 
organização quer possuir. 
A	fase	da identificação	de	riscos, no processo de avaliação de ris-
cos, é a listagem dos perigos que o processo, departamento e ou 
empresa possui com as respectivas fontes de riscos. 
A identificação deve ser crítica, pois um risco que não é identificado 
nesta fase não será incluído em análises posteriores. Fica claro que 
esta é a fase estratégica pois é nesta que se entende os fatores de 
riscos, os fatores facilitadores da existência do risco na empresa.
A fase de análise de riscos desenvolve a compreensão dos riscos. 
Com a compreensão dos riscos é que a empresa poderá tomar de-
cisão sobre seu tratamento. Nesta fase, estima-se a Probabilidade e 
Consequência do risco na empresa. A análise envolve a apreciação 
das causas e as fontes de risco, suas conseqüências positivas e nega-
tivas, e a probabilidade de que essas conseqüências possam ocorrer. 
A norma não especifica critérios e métodos, sendo que a organização 
é que deve escolher, tendo em vista as características do negócio.
A fase da avaliação de riscos é para auxiliar na tomada de decisões 
com base nos resultados da análise de riscos, sobre quais riscos 
necessitam de tratamento e a prioridade para a implementação do 
tratamento. A avaliação de riscos envolve comparar o nível de risco 
encontrado durante a análise de riscos. Deve-se utilizar uma Matriz de 
Riscos como ferramenta de gestão. 
A	 fase	 de	Tratamento	 de	Riscos envolve um processo cíclico com-
posto por: 
- a avaliação do tratamento já realizado;
- a decisão se os níveis de risco residual são toleráveis;
- se não forem toleráveis, a definição e implementação de um 
novo tratamento;
- a avaliação e eficácia desse tratamento. 
 21Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
As opções de tratamento são as universais: 
- a ação de evitar o risco;
- a tomada ou aumento do risco – se o risco for positivo;
- a remoção da fonte de riscos;
- a alteração da probabilidade;
- a alteração das conseqüências;
- o compartilhamento do risco; e
- a retenção do risco por uma decisão consistente e bem 
embasada. 
A	última	 fase,	monitoramento	 e	 análise	crítica é a fase da checa-
gem ou das vigilâncias regulares. Podem ser regulares – periódicas 
ou acontecerem em resposta a um fato específico. Deve haver uma 
definição clara e direta das responsabilidades de quem vai realizar o 
monitoramento e análise crítica. 
3.2.4	Registros	do	Processo	de	Gestão	de	Riscos			
As atividades de gestão de riscos devem ser rastreáveis. Ou seja deve 
haver registros, pois estes fornecem os fundamentos para melhoria 
dos métodos e ferramentas, bem como de todo o processo. 
3.3 CONCLUSÃO
O grande desafio no desenvolvimento da ISO 31000 estava em esta-
belecer uma linguagem comum, bem como padronizar as melhores 
práticas e abordagens para que as organizações possam implementar 
a gestão de riscos em seus processos.
Por se tratar de uma proposta de convergência alinhada com a visão 
integrada de ERM (Enterprise Risk Management), a nova norma não 
concorre com outras orientações já existentes, fornecendo orientações 
e alinhamento com outros conjuntos de regras específicos.
 22Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
4. Framework do Processo de 
Gestão e Análise de Riscos 
Corporativos – Método Brasiliano
4.1 VISÃO GERAL DO MÉTODO
O gerenciamento do risco é uma parte do processo de gerenciamento 
empresarial. O gerenciamento do risco é um processo de múltiplas 
facetas, aspectos adequados dos quais são freqüentemente melhores 
realizados por uma equipe múltipla disciplinar. É um processo interati-
vo de melhoria contínua.
O Método Avançado de Gestão e Análise de Riscos Corporativos – 
Método Brasiliano possui como elementos principais do processo o 
mostrado na figura abaixo, que estão alinhados com a Futura Norma 
ISO 31000. Os elementos principais do processo estão integrados no 
ciclo do P (Plan) D (Do) C (Check) A (Action). 
No Método Brasiliano sugerimos ferramentas e critérios nas fases de 
identificação, análise e avaliação de riscos. Estas ferramentas e crité-
rios são frutos da experiência da Brasiliano & Associados na implanta-
ção de projetos de Gestão de Riscos nas empresas clientes.
 23Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Figura	4	-	Fases	do	Método	Brasiliano	–	Adaptado	da	ISO	31000
Figura	5	-	Ciclo	PdCA	x	Fases	de	Gestão	e	
Análise	de	riscos	do	Método	Brasiliano
 24Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
4.2 DESCRIÇÃO DOS ELEMENTOS 
PRINCIPAIS DO MÉTODO 
4.2.1	Comunicação	e	Consulta	
A comunicação e consulta é a forma como vai estabelecer o processo e a 
estratégia de comunicação com as partes interessadas. É uma fase que 
permeia todo o processo de gestão e análise de riscos. É extremamente 
estratégico, pois sem a comunicação não vai existir processo de gestão 
de riscos tendo em vista não sensibilizar os usuários do processo. 
4.2.2	Contextos	Estratégicos		
O estabelecimento do contexto é dividido em três níveis. O primeiro diz 
respeito ao entendimento da empresa, através da compreensão dos ob-
jetivos estratégicos e organizacionais, a cultura e como ela – empresa – 
pensa sobre a questão de gestão de riscos. O segundo nível é sobre as 
variáveis externas incontroláveis que poderão interferir ou expor os obje-
tivos estratégicos da empresa. Na verdade há necessidade de construir 
cenários de riscos estratégicos. O terceiro nível é sobre a Política de 
Gestão de Riscos da empresa, onde será detalhado a estrutura que se 
vai trabalhar e quais critérios e metodologia a empresa vai utilizar. 
4.2.3	Identificação	dos	Perigos	e	dos	Fatores	de	Riscos	
Esta terceira fase possui três objetivos: 
1. Identificar e listaros perigos que a empresa, unidades, pro-
cessos e ou departamentos estão expostos. A listagem deve 
ser realizada através de reuniões do tipo BRAINSTORMING, 
levantando tanto os perigos conhecidos como os desconheci-
dos. Os perigos desconhecidos são aqueles que nunca acon-
teceram, porém podem ocorrer, mesmo que remotamente;
2. Identificar os fatores de Riscos. Os Fatores de Riscos, 
também chamados de Fatores Facilitadores e ou Fontes 
de Riscos, são os eventos que podem potencializar a 
 25Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
concretização dos perigos. São variáveis controláveis e in-
controláveis. Utilizamos para isso a Ferramenta de Gestão 
o Diagrama de Causa e Efeito; 
3. Avaliar os Fatores de Riscos. A avaliação dos fatores de ris-
cos é a mensuração dos respectivos fatores com o objetivo 
de identificar quais são os fatores de maior importância e 
ou motricidade. Ou seja quais são os fatores que devem 
ser tratados, quais fatores interferem no contexto de riscos. 
Utilizamos para isso duas Ferramentas de Gestão: a Matriz 
SWOT e ou a Matriz de Impactos Cruzados. 
4.2.4	Análise	de	Riscos
Nesta fase estabelecemos critérios para os dois parâmetros univer-
sais: a Probabilidade e o Impacto. Os critérios para os dois parâme-
tros são de suma importância para a elaboração do estudo de análise 
de riscos. O Cruzamento destes dois parâmetros tem como resultado 
uma Matriz de Riscos. 
4.2.5	Avaliação	de	Riscos	–	Nível	de	Riscos		
Comparar os níveis de riscos em relação ao critério pré-estabelecido. 
A relevância dos riscos possui como parâmetro a Matriz de Riscos. 
O resultado da matriz de riscos é o grau de criticidade, ou seja, qual é 
a priorização que a empresa deve tratar cada risco, frente ao seu ape-
tite ao risco. A matriz é dividida em quadrantes e para cada quadrante 
há uma estratégia de tratamento e priorização. Cabe ressaltar que é 
nesta fase também que estabelece o Grau de Riscos dos Processos 
estudados e ou das Unidades/Sites Empresariais. 
4.2.6	Respostas	aos	Riscos	–	Plano	de	Ação
O Plano de Ação é o tratamento dos riscos, ou seja qual será a res-
posta que a empresa terá que operacionalizar. Aceitar, Reter, Reduzir, 
Transferir, Explorar e ou Evitar? Desenvolver e implementar um pla-
no específico de gerenciamento o qual inclui consideração de provi-
 26Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
mento de fundos. O Plano de Ação é o conjunto de medidas organi-
zacionais, sistemas técnicos de prevenção e monitoração, recursos 
humanos que gerenciarão os riscos. O Plano de Ação é elaborado 
com base nos Fatores de Riscos visando mitigar e diminuir as proba-
bilidades dos riscos. 
4.2.7	Monitoração	e	Análise	Crítica	
Esta fase diz respeito a monitorar e revisar o desempenho das ações 
e do sistema de gerenciamento de risco e proceder a mudanças que 
possam afetá-lo.
 27Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
5. Comunicação e Consulta
5.1. IMPORTÂNCIA DA COMUNICAÇÃO
A comunicação e consulta são importantes aspectos a serem considera-
dos em cada fase do processo de gestão e análise de riscos corporativos.
É importante desenvolver um plano de comunicação com as partes 
envolvidas internas e externas, logo no primeiro estágio do processo. 
A comunicação envolve diálogo entre as partes envolvidas, tendo 
como foco a consulta e não somente a comunicação de via única. 
A comunicação interna e externa eficaz é importante para assegurar 
que os responsáveis pela implementação da gestão de riscos e os 
investidores compreendam as bases sobre as quais as decisões são 
tomadas, e por que determinadas ações são necessárias.
A percepção do risco pode variar em função de diferentes hipóteses, 
conceitos e necessidades, e de questões e interesses das partes envol-
vidas, por estarem relacionados ao risco ou aos assuntos em discussão. 
As partes envolvidas tendem a julgar a aceitabilidade de um risco ba-
seadas em sua própria percepção do risco. 
Uma vez que as partes envolvidas podem ter um impacto significativo 
nas decisões tomadas, é importante que sua percepção do risco, bem 
como sua percepção dos benefícios, seja, identificadas e documenta-
das, e as razões subjacentes, compreendidas e abordadas.
 28Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
5.2 CONCEITO DE ENDOMARKETING
Endomarketing é um conceito novo que objetiva fortalecer as relações 
internas da empresa. O endomarketing consiste em realizar ações de 
marketing voltadas para seu público interno, com a finalidade de pro-
mover a integração entre os variados departamentos da organização, 
visando compartilhar, neste caso de gestão e análise de riscos cor-
porativos a importância, critérios, valores e objetivos estratégicos da 
implantação do Gestão de Riscos na empresa entre os usuários.
Como um dos objetivos do endomarketing é a integração, onde o 
público interno irá melhor interagir, cumprindo com os objetivos da 
gestão e análise de riscos corporativos com maior facilidade. O ferra-
mental primordial é o treinamento e a divulgação. O treinamento inter-
no motiva e valoriza as variadas funções dos colaboradores, visando 
conquistar a confiança e maximizando a produtividade. Já a divulga-
ção faz com que todos os resultados e metas do processo de gestão 
e análise de riscos estejam sendo circulados, reforçando os critérios 
e metodologia do processo de GR, bem como interage todos os fun-
cionários, fazendo com que haja um sentimento de time, de equipe. 
Todos se sentem comprometidos.
5.3 ENDOMARKETING ESPECÍFICO 
PARA A GESTÃO E ANÁLISE DE RISCOS
O Profissional de gestão de riscos necessitam entender e saber uti-
lizar os recursos que possuem, para poder sobressair e destacar o 
processo, reforçando as medidas preventivas e pró-ativas. 
O endomarketing na gestão de riscos é um trabalho de conscientiza-
ção dos riscos e de seus controles e sistemas . É um grande desafio 
para o departamento de marketing e recursos humanos implementar 
junto com a gestão de riscos um programa eficiente e prático.
 29Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
O grande desafio é saber vender que o processo de gestão e análise 
de riscos corporativos será útil para todos os usuários, pois terão con-
dições de possuir uma visão de antecipação dos possíveis problemas. 
Com esta visão os colaboradores passam a prospectar cenários de 
riscos, agindo de forma pró ativa e não somente reagindo aos pro-
blemas. Há a necessidade da implementação do endormaketing para 
que possa ser compreendido e haja uma forte colaboração por parte 
do seu público interno. 
O endomarketing na gestão e análise de riscos possui três premis-
sas básicas:
1. O público alvo de sua campanha são todos os colabora-
dores da organização, considerados como cliente interno. 
Como todo “Cliente”, este só pode ser conquistado e retido 
com um serviço onde haja qualidade;
2. O cliente interno como o externo possui expectativas e es-
tas devem ser superadas, portanto a gestão de riscos tem 
de compreender a expectativa e cultura dos colaboradores 
para realizar um ajuste fino no programa de divulgação; 
3. A excelência da operacionalização do processo de gestão e 
análise de riscos corporativos significa envolver os colabo-
radores e comprometê-los com os objetivos do GR.
Essas três premissas trazem como conseqüência direta o entendi-
mento por parte dos colaboradores do que é a Gestão, Análise de 
Riscos e sua função. O endomarketing passará a estimular o GR nos 
seguintes aspectos: 
• conscientização da importância na prevenção dos sistemas 
e processosexistentes; 
• orientação para o público interno em respeitar normas e 
procedimentos. 
A Gestão de Riscos deve planejar o processo de comunicação como 
parte integrante da sua Política . O processo de endomarketing deve ser 
 30Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
realizado em conjunto com o departamento de Recursos Humanos da 
empresa e marketing, pois necessita conhecimento e informação espe-
cífica do público interno, informações estas que o RH já deve possuir.
Deve-se ter em mente que o treinamento é a principal alavanca do pro-
cesso de endomarketing. O treinamento precisa ser percebido como 
momento ótimo para o envolvimento do colaborador, para valorizá-lo 
como pessoa e comprometê-lo com os objetivos da empresa. O treina-
mento sempre é um investimento com retorno garantido em termos de 
qualidade , excelência e dedicação. 
A empresa que não puder se vender para seu público interno, tam-
pouco venderá para o externo. E isto é muito perigoso em uma época 
de competitividade agressiva e grande turbulência, como a que esta-
mos vivendo.
Um programa de endomarketing transmite confiança e credibilidade, 
ao mesmo tempo em que os valores compartilhados pela cultura orga-
nizacional, irão com certeza incentivar a postura pró-ativa em vez da 
reativa, assumindo desta forma um papel cada vez mais criativo, su-
gerindo soluções viáveis e lutando para que toda a organização possa 
cumprir seus objetivos. 
5.4 FASES DE UM PROGRAMA DE COMUNICAÇÃO 
Ao lado um framework com as fases de um programa completo de 
comunicação, que a área de gestão de riscos deve operacionalizar. 
 31Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Figura	6	-	Framework
 32Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
6. Contextos Estratégicos
6.1 GENERALIDADES
Ao estabelecer o contexto, a organização articula seus objetivos e de-
fine os parâmetros externos e internos a serem levados em considera-
ção ao gerenciar riscos, e estabelece o escopo e os critérios de risco 
para o restante do processo. 
Portanto temos três contextos a serem definidos e alinhados: 
- O Contexto Empresarial - Interno;
- O Contexto Externo – Cenários;
- O Contexto de Gestão de Riscos – Metodologia e critérios. 
6.2 CONTEXTO EMPRESARIAL 
6.2.1	Componentes	
O contexto empresarial diz respeito a identificação dos objetivos es-
tratégicos da empresa, seus fatores críticos de sucesso, sua estrutura 
organizacional, sua cultura e o ambiente interno no qual a organização 
busca atingir seus objetivos.
O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 
de agosto de 2009 (páginas 21 e 22), projeto este elaborado pela Co-
missão de Estudo Especial de Gestão de Riscos da ABNT, previsto 
para ser equivalente à ISO 31000, descreve sobre o ambiente interno: 
“O contexto interno é algo dentro da organização que pode influenciar 
a maneira pela qual uma organização gerenciará os riscos. Convém 
que ele seja estabelecido, por que: 
 33Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
a) a gestão de riscos ocorre no contexto dos objetivos da 
organização; 
b) convém que os objetivos e os critérios de um determinado 
projeto, processo ou atividade sejam considerados tendo 
como base os objetivos da organização como um todo, e 
c) algumas organizações deixam de reconhecer oportunida-
des para atingir seus objetivos estratégicos, de projeto ou 
de negócios, o que afeta o comprometimento, a credibilida-
de, a confiança e o valor organizacional. 
É necessário compreender o contexto interno. Isto pode incluir, mas 
não está limitado: 
- à governança, estrutura organizacional, funções e 
responsabilidades; 
- às políticas, objetivos e estratégias implementadas para 
atingi–los; 
- às capacidades, entendidas em termos de recursos e co-
nhecimento (por exemplo, capital, tempo, pessoas, proces-
sos, sistemas e tecnologias); 
- aos sistemas de informação, fluxos de informação e proces-
sos de tomada de decisão (formais e informais); 
- às relações com as partes interessadas internas, e suas 
percepções e valores. 
- às normas, diretrizes e modelos adotados pela organização, e 
- à forma e extensão das relações contratuais.”
Para isso sugerimos que o gestor disponha de um check list com o 
objetivo de melhor identificar as variáveis que compõem o contexto 
empresarial. Abaixo uma sugestão genérica, a título de exemplo:
1. A Empresa atua em qual segmento? Quais são os seus pro-
dutos e/ou serviços?
2. Atualmente, qual é a posição que da Empresa ocupa no 
ranking de seu segmento de atuação?
 34Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
3. Quais são os concorrentes diretos da Empresa? E os 
indiretos?
4. Quais são os fornecedores chave para da Empresa?
5. Quais são os objetivos estratégicos de médio prazo? 
6. A Empresa dispõe de Código de Conduta ou outras políticas 
relativas às práticas de negócio (valores éticos)?
7. Os colaboradores conhecem e entendem a(s) política(s) 
existentes na Empresa?
8. A Empresa pratica alguma política de incentivo para atingir 
suas metas? Ex.: Bônus para colaboradores.
9. Há algum meio de monitoramento que tenha por finalida-
de verificar a efetiva prática da(s) política(s) existente(s) na 
Empresa?
10. Atualmente, qual é a estrutura organizacional da Empresa? 
(Organograma).
11. O Organograma geral atende às necessidades de negócio 
da Empresa? Caso não, qual a necessidade que julga ne-
cessária e por quê?
12. Considerando a estrutura organizacional apresentada quais 
são as áreas consideradas como “áreas chave” e respecti-
vas atividades críticas em termos de faturamento?
13. A Estrutura Organizacional da Empresa é descentralizada, 
semi-integrada ou de sistema integrado?
6.3	CONTEXTO	EXTERNO	–	CENÁRIOS		
O contexto externo é o ambiente externo, onde estão inseridas as va-
riáveis incontroláveis. Entender o contexto externo é importante para 
entender quais são as variáveis que podem dificultar ou expor os obje-
tivos estratégicos e os respectivos Fatores Críticos de Sucesso. 
O contexto externo pode incluir, mas não está limitado a: 
 35Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
- os ambientes cultural, social, político, legal, regulamentar, 
financeiro, tecnológico, econômico, natural e competitivo, 
quer seja internacional, nacional, regional ou local; 
- os fatores–chave e as tendências que tenham impacto so-
bre os objetivos da organização; e 
- as relações com as partes interessadas externas e suas per-
cepções e valores. 
Podemos exemplificar os componentes do contexto externo: 
- Localização física da empresa: posição geográfica da insta-
lação (rios, estradas, elevação, condições climáticas, etc.);
- Configuração sócio-econômica da área em que a empresa 
está instalada (população vizinha, status social, área urba-
na/rural, instalações policiais);
- Situação político-financeira do país (legislação pertinente, 
identificação e análise dos órgãos que legitimam, planos 
governamentais e política econômica e financeira);
A gestão de Riscos poderá buscar a informação destas variáveis, de 
maneira direta ou indireta, através de duas fontes:
-	 Fontes	Primárias:	são as fornecidas no ambiente da em-
presa (troca de informações);
-	 Fontes	 Secundárias:	 fornecidas pelos órgãos governa-
mentais (colaboração integrada).
O nível de detalhamento e profundidade dependerá da necessidade e 
da influência do impacto sobre a empresa.
A natureza do ambiente muda com muita rapidez, conduzindo, à alte-
rações políticas e sociais. Esta rapidez exige da empresacapacidade 
impressionante de resposta e adaptação. Como exemplo de proble-
mas ambientais externos, podemos citar:
- Há previsões de recessão econômica, no país, o que au-
mentará o desemprego. Qual será a influência deste fato 
sobre a empresa? Aumentam as possibilidades de saque, 
 36Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
furto, roubo, mudança de relacionamento? A empresa está 
preparada para receber este impacto?
- As condições climáticas podem afetar a empresa? Ela está 
preparada para reagir a uma inundação? Existe plano de 
emergência com esta finalidade?
- Uma guerra pode ocorrer proximamente no Oriente Médio? 
Qual o impacto na minha empresa, uma multinacional, que 
apoia a intervenção militar? Há possibilidade de sabotagem 
ou ameaça de bomba? 
Estas indagações devem ser analisadas e seu impacto para a empre-
sa projetado. A gestão de riscos abrange toda a conjuntura ambiental, 
devendo avaliar todos os seus ângulos.
6.2.2	Cenários	Prospectivos	Brasil	–		
Segurança	Empresarial	–	Incertezas	Críticas
A Brasiliano & Associados e seus consultores construíram cenários em 
segurança Pública e Privada até 2020. A abordagem escolhida foi a 
Lógica Intuitiva e o método para construir os cenários estratégicos em 
segurança pública e privada para o Brasil foi o da GBN, descrito por 
Schwartz (1996). 
A opção pela lógica intuitiva teve como parâmetro básico a questão 
da forte interpretação subjetiva, uma vez que privilegia a evolução do 
presente para o futuro, partindo da análise das forças motrizes e do 
possível comportamento entre elas. As questões ligadas à segurança 
pública e privada devem estar interligadas pelo campo da sociologia, 
da política e da economia, devendo serem interpretadas por processo 
estruturado mas de grande amplitude, visando fornecer flexibilidade 
e total criatividade.
A questão principal é a questão que motivou a construção dos cenários 
estratégicos alternativos em segurança pública e privada. São elas: 
• Questão	 Principal:	 Cenários para a segurança pública 
e privada.
 37Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
• Horizonte	temporal	–	17 anos – 2003 a 2020
• Espaço	geográfi	co:	Brasil
Foram identifi cadas as incertezas críticas. As incertezas críticas são 
compostas pelas variáveis incertas (variáveis que se originam das per-
guntas para as quais ainda não se tem resposta) e que sejam de gran-
de importância para a questão principal ou exercem grande impacto na 
questão principal, caso ocorram. São as variáveis que determinarão a 
construção dos cenários. O estudo de seus possíveis comportamentos 
fornecerá informações aos planejadores que lhes permitirão preparar-
se para os diversos comportamentos plausíveis dessas variáveis. 
Para o caso da segurança pública e privada - empresarial no Brasil, 
foram identificadas duas incertezas críticas: 
- Condições Sócio-econômicas do Brasil; 
- Reformas na Segurança Pública e no Judiciário.
Com base nas duas incertezas críticas foram criados quatro cenários, 
que foram construídos e se movimentam em torno dos eixo vertical e 
horizontal. São eles: 
 
Segurança Pública
Lógica dos cenários
Melhora nas Condições
Sócio-Econômicas
Agravamento nas Condições
Sócio-Econômicas
Inefi ciência da
Reforma da Segurança
Pública e no Judiciário
Reforma na
Segurança Pública 
e no Judiciário
Lei de Gerson
Carandiru
Ordem e Progresso
Luta Inglória
Figura	7	-	Segurança	Pública	lógica	dos	Cenários
Fonte:	divisão	de	Pesquisas	-	Brasiliano	&	Associados
 38Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
FIlOSOFIAS	dOS	CENÁRIOS
A filosofia dos cenários sintetiza o movimento ou a direção fundamental 
da Questão Principal. Ela constitui a idéia-força de cada cenário. Quatro 
cenários, em princípio se formam no cruzamento das incertezas críticas:
	 Ordem	 e	 progresso	 – Caso haja melhoria nas condições 
sócio-econômicas e reforma eficiente na segurança pública 
e no judiciário. É o melhor cenário. Caem os índices do cri-
me organizado e dos eventos de violência urbana.
	 luta	inglória	– Caso a reforma tenha sucesso, mas não seja 
acompanhada da melhoria da situação sócio-econômica. 
Pode haver uma ligeira diminuição do crime organizado, 
mas a massa de operação dos crimes continua muito ativa 
devido às condições de pobreza e desigualdade.
	 lei	de	Gerson	– O cenário do crime instituído. Melhora a situ-
ação sócio-econômica, mas não há reforma da segurança pú-
blica e do judiciário. O crime organizado se fortalece para tirar 
proveito do aumento da riqueza e da distribuição de renda.
	 Carandiru	– Não há melhora na situação sócio-econômica 
nem reforma na segurança pública e no judiciário. É o pior 
cenário. Crime organizado e crimes derivados da violência 
urbana seguem em níveis alarmantes. 
Com base nestes Cenários estratégicos podemos prospectar os ce-
nários de curto prazo na área da segurança pública e privada. Como 
exemplo citamos algumas prospectivas: 
Roubo	de	carga,	Tráfico	de	drogas		e	Pirataria:	
 O crime organizado crescerá e se estruturará de tal forma 
que provocará o enfraquecimento dos poderes legais cons-
tituídos. A freqüência e aumento, destes tipos de crime exi-
girão investimentos pesados da iniciativa privada em geren-
ciamento de riscos.
 39Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Violência	Urbana	e	Seqüestro:	
 Os crimes de seqüestro e a violência continuarão a aconte-
cer, não alterando suas tendências, possibilitando impactos 
conseqüentes para outros tipos de crime. Ocorrerá redução 
pouco significante, tendo em vista as suas dinâmicas táticas.
Fraudes	e	Fuga	de	informação:	
 Fraudes e o crime cibernético crescerão a níveis preocu-
pantes, obrigando as empresas a alterarem seus meios de 
proteção e implantarem forte gerenciamento de riscos. 
Conflitos	Sociais:
 Tendo em vista as características da sociedade brasileira, 
mesmo com o esgarçamento do tecido social, os conflitos so-
ciais tendem a serem concretizados a médio e longo prazo. 
Terrorismo	Criminoso:
 As demonstrações de força, tanto para a polícia como 
para a população e sociedade, tendem cada vez mais a 
ficarem violentas. O tumulto, a desorganização, o medo 
na população será uma arma das facções para poderem 
impor clima de terror.
6.4	CONTEXTO	dA	GESTÃO	dE	RISCOS		
6.4.1	Componentes
O contexto da gestão de riscos diz respeito a estrutura organizacional 
da área, ou seja como que a empresa pretende gerenciar seus riscos, 
quais serão os critérios e metodologias a serem utilizadas. Isto tudo 
deve estar formalizada na Política de Gestão de Riscos da Empresa. 
O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 
de agosto de 2009, projeto este elaborado pela Comissão de Estudo 
Especial de Gestão de Riscos da ABNT, previsto para ser equivalente 
à ISO 31000, nas suas páginas 22 e 23 descreve contexto do processo 
 40Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
de gestão de riscos: “... irá variar de acordo com as necessidades de 
uma organização. Ele pode envolver, mas não está limitado : 
- à definição das metas e objetivos das atividades de gestão 
de riscos; 
- à definição das responsabilidades pelo processo e dentro 
da gestão de riscos; 
- à definição do escopo, bem como da profundidade e da 
amplitude das atividades da gestão de riscos a serem reali-
zadas, englobando inclusões e exclusões específicas; 
- à definição da atividade, processo, função, projeto, produto, 
serviço ou ativo em termos de tempo e localização; 
- à definição das relações entre um projeto, processo ouativi-
dade específicos e outros projetos, processos ou atividades 
da organização; 
- à definição das metodologias de avaliação de riscos; 
- à definição da forma como são avaliados o desempenho e a 
eficácia na gestão dos riscos; 
- identificação e especificação das decisões que têm que ser 
tomadas, e 
- à identificação, definição ou elaboração dos estudos neces-
sários, de sua extensão e objetivos, e dos recursos requeri-
dos para tais estudos. A atenção para estes e outros fatores 
pertinentes pode ajudar a assegurar que a abordagem ado-
tada para a gestão de riscos é apropriada às circunstân-
cias, à organização e aos riscos que afetam a realização de 
seus objetivos.” 
6.4.2	Critérios	de	Risco	
Convém que a organização defina os critérios a serem utilizados para 
avaliar a significância do risco. Os critérios devem ser definidos no 
início de qualquer processo de gestão de riscos e sejam analisados 
criticamente de forma contínua. 
 41Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 
de agosto de 2009, projeto este elaborado pela Comissão de Estudo 
Especial de Gestão de Riscos da ABNT, previsto para ser equivalente à 
ISO 31000, nas suas páginas 23 e 24 descreve os seguintes aspectos: 
- a natureza e os tipos de causas e de consequências que 
podem ocorrer e como elas serão medidas; 
- como a probabilidade será definida; 
- a evolução no tempo da probabilidade e/ou consequência(s); 
- como o nível de risco deve ser determinado; 
- os pontos de vista das partes interessadas; 
- o nível em que o risco se torna aceitável ou tolerável, e 
- se convém que combinações de múltiplos riscos sejam le-
vadas em consideração e, em caso afirmativo, como e quais 
combinações convém que sejam consideradas.”
O ideal é a definição clara e objetiva através de um documento estrutura-
do, que deve ser a Política de Gestão de Riscos. Na experiência da Bra-
siliano & Associados sugerimos que a política tenha os seguintes tópicos: 
1. Objetivos
2. Definições e Conceitos dos termos a serem utilizados
3. Descrição do Processo de Gestão e Análise de Riscos
 3.1 Identificação dos Riscos – Ferramenta
 3.2 Análise de Riscos – Critérios de Probabilidade e 
 Impacto
 3.3 Avaliação de Riscos – Matriz de Riscos
4. Avaliação do Nível de Riscos 
5. Respostas aos Riscos 
6. Priorização das ações
7. Monitoramento e Auditoria
8. Anexos – Dicionários de Riscos – conceituação dos riscos 
que a empresa irá utilizar
 42Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
7. Identificação dos Perigos 
e dos Fatores de Riscos 
7.1 CONTEXTO 
A identificação dos perigos e de seus fatores significa a compreensão 
das origens de cada perigo. Deve-se buscar responder por que o pe-
rigo existe na empresa. Quais são as condições que potencializam a 
concretização do evento estudado. 
A compreensão da origem do perigo é imperiosa para a eficácia no trata-
mento, na priorização que a empresa vai poder dedicar para mitigar aquela 
situação. Somente após o entendimento do porque da existência de cada 
perigo, é que se poderá sugerir medidas eficazes para reduzir riscos.
A identificação dos perigos abrange as seguintes fases: 
1. Conhecimento das Condições do processo, do departa-
mento e ou da Unidade que estamos estudando;
2. Listagem dos Perigos – Relacionar os perigos conhecidos e 
os desconhecidos;
3 . Definir os perigos, com o objetivo da empresa possuir um 
dicionário de riscos e falar a mesma linguagem;
4. Classificar os perigos, de acordo com a política e critério 
estabelecido no Contexto Estratégico;
5. Identificar os Fatores de Riscos ou os também chamados 
Fatores Facilitadores ou Fontes de Risco, através da ferra-
menta Diagrama de Causa e Efeito;
6. Identificar a Motricidade dos Fatores de Riscos, utilizando uma das 
ferramentas a Matriz SWOT ou a Matriz de Impactos Cruzados. 
 43Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Esta é a fase mais estratégica do processo de gestão e análise de 
riscos, pois sem identificar os perigos e seus fatores de riscos con-
cretamente, o estudo passa a ser superficial. A superficialidade do 
estudo coloca em exposição os objetivos estratégicos da empresa. 
Portanto o gestor deve investir tempo e metodologia nesta terceira 
fase do processo. 
7.2 CONHECENDO AS CONDIÇÕES DE RISCO
Para possuir uma visão holística e bem acurada dos perigos e de seus 
Fatores de Riscos há a necessidade de realizar uma avaliação das 
condições que estaremos realizando o estudo. Isto significa que pode 
ser desde um processo, ou um conjunto de processos, ou os proces-
sos de um departamento ou até mesmo as condições de controle e 
segurança da empresa.
Após saber e conhecer o negócio, suas estratégias, informações ad-
quiridas na fase 2 – Contextos Estratégicos - o gestor de riscos e pas-
sa a verificar as reais condições a serem levantadas. 
Os dados devem ser extraídos de observações e de visitas “in loco” 
na empresa, área ou processo, através de entrevistas com os gesto-
res, análise das plantas baixas, estudo das normas existentes, se-
guindo os testes:
a)	Teste	de	Compreensão:	
 Permite conhecer o funcionamento de todo o processo exis-
tente, bem como o fluxo operacional da unidade;
b)	Teste	de	Observância:	
 Permitirá verificar a validação dos processos, normas e sis-
temas integrados aplicados e utilizados, na empresa. 
Este estudo das condições deve responder a pelo menos duas perguntas: 
1) O que pode acontecer? Lista de perigos
 44Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
2) Como e porque pode acontecer? Causas e Cenários de Riscos
Podemos utilizar como referência a ferramenta: 
2W	1H	-		What?		Why?		How?
O processo de conhecer as condições é um diagnóstico que deve 
responder a pergunta básica: “qual a situação real da empresa, pro-
cessos e ou departamentos quanto aos seus aspectos de controle e 
segurança, frente a sua política de gestão de riscos e aos seus obje-
tivos estratégicos?”
Está análise deve ser efetuada da forma mais realista possível, pois 
qualquer distorção prejudicará todo o resto do processo de desenvol-
vimento e implantação de medidas preventivas e mitigatórias 
Qualquer empresa esta inserida dentro de um contexto, onde uma mul-
tiplicidade de variáveis e forças pode provocar mudanças ou abalar 
as estruturas organizacionais. Este contexto, que poderemos chamar 
de ambiente, varia constantemente e deve ser encarado tanto sob o 
ponto de vista interno, como externo.
Sob o ponto de vista da gestão de riscos e a variação permanente do 
ambiente cria oportunidades ou ameaças à empresa.
O diagnóstico corresponde a uma análise, ou uma fotografia e possui 
duas premissas básicas que devem ser consideradas:
A) O ambiente onde a empresa esta inserida e suas múltiplas 
variáveis.
B) O ambiente proporciona simultaneamente oportunidades que 
devem ser usufruídas e as ameaças que devem ser evitadas.
A análise do ambiente interno e externo deve ser integrada e contí-
nua. A empresa deve ter pleno conhecimento de seus pontos fortes e 
fracos para enfrentar as diversas situações, sejam contingenciais ou 
de rotina.
Para realizar o diagnóstico, enfocando as variáveis internas e externas, 
a política de gestão de riscos e já devem estar claramente definidas. 
 45Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
7.2.1	Análise	das	Variáveis	Externas	
A análise das varáveis externas tem por finalidade estudar a relação 
existente entre a empresa e seu ambiente, em termos de oportuni-
dades e ameaças.Este estudo já deve ter sido realizado frente aos 
objetivos estratégicos da empresa, na fase 2 – Contexto Estratégico. 
7.2.2	Análise	das	Variáveis	Internas
A análise das variáveis interna da empresa tem por finalidade eviden-
ciar as qualidades e as deficiências dos processos, controles e siste-
mas que a corporação possui.
A visão para a realização deste diagnóstico deve ser conjuntural, 
abrangendo todos os segmentos da organização. 
Quando se inicia o diagnóstico, deve-se ter definido: quais são os pro-
cessos a serem estudados e quais controles e sistemas estão ope-
racionalizados. Sem estes dois parâmetros é difícil avaliar os pontos 
fortes e fracos de um sistema e ou processo. 
Listamos abaixo, a título de exemplo os itens básicos a serem analisados: 
1. Cultura dos Colaboradores;
2. Turno de Trabalho dos Colaboradores;
3. Finalidade da Empresa;
4. Relação Colaboradores-Empresa;
5. Áreas Físicas;
6. Serviços Contratados;
7. Experiência Anterior;
8. Indenização;
9. Barreira Perimetral;
10. Segurança de Edifícios;
11. Sistema de Iluminação;
12. Controle de Chaves;
13. Controles Internos;
 46Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
14. Proteção a Incêndios;
15. Corpo de Segurança;
16. Sistemas Integrados;
17. Planos Formalizados Existentes: Segurança, Emergência e 
de Continuidade de Negócios.
Listamos outro check-list na área de processos, a título de exemplo:
1. A Empresa aplica algum meio de conciliação das informa-
ções das áreas chave?
2. A Empresa dispõe de unidades de negócio localizadas fora de 
sua Sede. Elas são convenientemente monitoradas quanto à 
produção, resultados, ambiente, meios, controles, etc.? Como?
3. A Empresa dispõe de estoque para peças e/ou produtos 
acabados?
4. Quais são os tipos de controles utilizados pelas áreas chave 
em suas atividades críticas? (Relatórios, planilhas, etc).
5. A Alta Administração dá a devida atenção aos seus consi-
derados, controles internos?
6. Há uma clara estrutura dos papéis e responsabilidades indi-
viduais dos colaboradores no contexto da Empresa? (Des-
crição de cargos e o que cada um contempla).
7. As equipes das áreas estão bem dimensionadas, conside-
rando inclusive os recursos necessários para a boa execu-
ção de suas atividades?
8. Os colaboradores possuem pleno conhecimento de suas 
atividades (importância, o que fazem; por que fazem)?
9. A Empresa possui programa de Reciclagem/Treinamentos 
Esporádicos para com seus colaboradores?
10. Caso sim, qual é a frequência?
11. Quais são as ferramentas tecnológicas disponíveis para a 
execução das atividades da Empresa? 
 47Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
12. Os recursos de TI atuais atendem às necessidades de exe-
cução e controle das atividades/operações da Empresa?
13. Existe um plano de treinamento específico para o usuário 
dos sistemas de informação? 
14. Existe um plano de instrução de negócios/recuperação de 
desastre formalizado?
15. Os sistemas dos aplicativos utilizados atendem às necessi-
dades do processo envolvido?
16. Os sistemas dos aplicativos utilizados são vulneráveis a 
acessos e alterações de dados?
17. Existem procedimentos formalizados para garantir a segu-
rança da informação?
18. São realizados backup’s periódicos para as atividades/infor-
mações críticas do processo?
19. As informações críticas transmitidas interna ou externamen-
te são criptografadas durante o processo?
20. Existe um responsável de segurança de informação a nível 
executivo?
21. Existem sistemas e controles específicos para captura de 
dados relativos a eventos de segurança, incluindo todas as 
fontes válidas, por exemplo nomes de usuários? 
22. Existem procedimentos periódicos de análise desses dados 
e eventos?
7.2.3	Formas	de	Realizar	um	diagnóstico
A melhor maneira de realizar um diagnóstico é colher as informações 
em campo, ou seja, olhar o que realmente está acontecendo. Há três 
maneiras de realizar a busca destas informações:
A)	Entrevistas	
 As entrevistas, geralmente nos níveis institucional, inter-
mediário e operacional têm por objetivo conhecer como 
 48Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
pensam tanto as pessoas que operam, como os usuários 
do processo.
B)	Verificação	de	documentos
 A verificação de documentos, tais como planos e normas, 
tem por meta conhecer o que preconizam as condutas e 
qual é a política de riscos da empresa.
C)	Trabalho	de	Campo
O trabalho de campo tem por finalidade comparar se o que está 
escrito e falado realmente acontece.
O ideal é que o diagnóstico possa ser realizado a partir destes três mé-
todos, para garantir uma noção clara e específica das reais condições. 
7.3 LISTAGEM DOS PERIGOS
7.3.1	Contexto	
A identificação deve incluir todos os perigos, estejam ou não sob o con-
trole da Unidade de Negócio. O objetivo é gerar uma lista abrangente de 
eventos que possam afetar a Unidade de Negócio. Esses perigos são en-
tão estudados detalhadamente, a fim de identificar o que pode acontecer. 
Operacionalmente, os perigos são identificados a partir do mapea-
mento dos diversos processos da empresa, entrevistas com os gesto-
res envolvidos, testes de auditoria e reuniões de Brainstorming.
7.3.2	Técnica	do	Brainstorming
O levantamento dos perigos e ou eventos deverá sair das reuniões de 
“brainstorming”. O propósito deste tipo de reunião é identificar tan-
to os perigos conhecidos como os desconhecidos. Ou seja aqueles 
eventos que nunca ocorreram na Unidade e ou processo.
A equipe deverá possuir um líder, visando direcionar os assuntos. Não 
deve haver censura e nem hierarquia em reuniões deste tipo, visando 
 49Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
não inibir a criatividade dos componentes da equipe. Algumas regras 
são importantes e devem ser seguidas: 
1. Expor as idéias com o máximo de espontaneidade, sem 
exercer autocensura.
2. Todas as idéias têm interesse, mesmo que pareçam “idéias 
loucas”. São essas, às vezes, as que contêm “algo de novo” 
e com valor.
3. Nenhuma idéia pode ser contestada ou debatida durante o 
“brainstorming”.
4. Quando um participante tiver uma idéia a apresentar, sugerida 
por outra já exposta por alguém, terá prioridade sobre os demais.
5. Importante é a quantidade das idéias apresentadas. 
Em geral, pela nossa experiência, o número de reuniões pode chegar a três, 
desde que os participantes da equipe façam suas lições de casa. Estudar 
as questões relativas aos riscos corporativos de suas empresas. A duração 
de cada reunião de “brainstorming” deve ser no máximo de uma hora e 
trinta minutos. Além deste tempo, estas ficam ineficazes, sem rendimento. 
Ao final das reuniões, deverá haver um consenso, por parte da equipe 
multidisciplinar, nos perigos levantados. 
7.4 DEFINIÇÃO DOS PERIGOS 
Em seguida à identificação dos perigos há a necessidade de definir, 
conceituar os perigos com o objetivo da empresa possuir um dicioná-
rio de riscos. Ao mesmo tempo há uma compreensão igualitária por 
toda a empresa sobre o conceito dos perigos identificados.
Abaixo segue, a título de exemplo, uma pequena listagem de definição 
e conceito de perigos. São eles: 
1.	Roubo/Assalto
 O roubo é uma agressão externa, através de uma ação planejada 
e armada, com o intuito de subtrair numerário (Posto Bancário). 
 50Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
2.	 Sabotagem	Interna
 A sabotagem interna pode ser realizada por colaboradores 
da empresa, ou seja pessoas que possuem e conhecem os 
processos de serviços e ou industriais.Teria dois focos: 
- as áreas críticas dos processos, tendo como objeti-
vo principal paralisar as atividades industriais, pre-
judicando desta forma suas atividades essenciais. 
- linha de produtos, tendo como objetivo atingir a 
imagem e sua respectiva credibilidade no merca-
do, atingindo a qualidade e distribuição no merca-
do consumidor. 
3.	 Sabotagem	Externa
 A sabotagem externa é realizada por pessoas estranhas a 
empresa. Desta forma seria um acesso não autorizado, po-
dendo ser desde uma intrusão pelo perímetro ( fragilidade da 
barreira perimetral) como falha nos acessos as áreas críticas. 
 Teria também dois focos: 
- as áreas críticas dos processos, tendo como objeti-
vo principal paralisar as atividades industriais, pre-
judicando desta forma suas atividades essenciais. 
- linha de produtos, tendo como objetivo atingir a 
imagem e sua respectiva credibilidade no merca-
do, atingindo a qualidade e distribuição no merca-
do consumidor. 
4.	 desvio	Interno
 O Desvio Interno de bens existentes na empresa. O des-
vio interno é focado, principalmente, nos produtos da em-
presa que possuam atratividade para comercialização no 
mercado paralelo. É a chamada “Operação Formiga”, ou 
seja os produtos são retirados da empresa de forma sis-
temática e constante, em quantidade e ou volumes que 
 51Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
não chamem muito a atenção. Geralmente os autores são 
colaboradores em conluio com terceiros. 
 Os autores agem de forma planejada, aproveitando as fragi-
lidades do processo de controle. 
5.	 	Fuga	de	Informação	
 Este risco está relacionado à questão da fuga involuntária, 
quando o ator – colaborador não age com a intenção, mas 
é induzido a falar sobre determinados assuntos. Para que 
exista uma real segurança do fluxo da informação há a ne-
cessidade deste sistema interagir com os usuários de algu-
ma forma. Essa interação é o elo mais fraco na corrente da 
segurança, sendo responsável pela fuga e / ou vazamento 
da informação.
 A fuga de informação também ocorre através de equipa-
mentos (notebooks/computadores) furtados contendo infor-
mações a todos os níveis da empresa. 
6.	 Fraudes	de	Terceiros
 Atividades fraudulentas cometidas por empregados, con-
sumidores, fornecedores, agentes, corretores ou adminis-
tradores terceiros contra a organização com a finalidade 
de ganho pessoal (ex. apropriação indébita de ativos físi-
cos, financeiros ou de informação) expõe a organização à 
perda financeira.
7.	 Fraudes	da	Gerência
 Fraudes cometidas pela Gerência (ex. relato inexato inten-
cional da declaração financeira ou apresentação inadequa-
da das capacidades ou intenções da organização) podem 
afetar adversamente as decisões dos investidores externos.
8.	 Conduta	Anti-Ética
 Uso não autorizado de ativos físicos, financeiros ou de informa-
ção da empresa por empregados ou outros expõem a organiza-
ção a um gasto desnecessário de recursos ou a perda financeira.
 52Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
9.	 Infra-Estrutura
 O risco da organização não ter a infra-estrutura de informá-
tica (ex. hardware, redes, software, pessoas e processos) 
adequada para suportar as exigências das informações atu-
ais e futuras do negócio em um modo efi ciente, com baixo 
custo e bem-controlada.
7.5 CLASSIFICAÇÃO DOS PERIGOS
Não há um tipo de classifi cação de riscos que seja consensual, exaustivo 
e aplicável a todas as organizações; a classifi cação deve ser desenvolvi-
da de acordo com as características de cada organização, contemplan-
do as particularidades da sua indústria, mercado e setor de atuação. Por 
exemplo: os estoques de materiais de consumo são menos relevantes 
para um banco do que para uma indústria, onde pode representar um 
dos principais fatores de risco. Analogamente, as variáveis relacionadas 
ao “risco de mercado” são cruciais para um banco e podem não ser tão 
relevantes para determinada organização manufatureira.
O IBGC sugere a seguinte classifi cação de riscos, conforme a Matriz abaixo: 
Figura	8
Fonte:	Guia	de	Orientação	de	Gerenciamento	de	Riscos	–	IBGC	-	2007
 53Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
A Norma de Gestão de Riscos da FERMA – Federation of European 
Management Associations sugere a seguinte classificação: 
	 Estratégicos	 - Relacionados com os objetivos estratégi-
cos da organização a longo prazo. Podem afetar por áreas 
como disponibilidade de capital, riscos de soberania e po-
líticos, alterações jurídicas e regulamentares, reputação e 
alteração ao meio ambiente físico.
	 Operacionais	 - Relacionados com os assuntos cotidianos 
com os quais a organização é confrontada quando se esfor-
ça para atingir os seus objetivos estratégicos.
	 Financeiros	- Relacionadas com a gestão e controle efica-
zes dos meios financeiros da organização e com os efeitos 
de fatores externos como, por exemplo, disponibilidade de 
crédito, taxas de câmbio, movimento das taxas de juros e 
outro tipo de orientações do mercado.
	 Gestão	do	conhecimento	- Relacionados com a gestão e 
controle eficazes dos recursos do conhecimento e com a 
produção, proteção e comunicação destes. Esta categoria 
engloba fatores externos como a utilização não autorizada 
ou abusiva da propriedade intelectual, as falhas de energia 
na zona e tecnologia competitiva. Do lado dos fatores inter-
nos podem referir-se avarias nos sistemas ou a perda de 
funcionários chave.
	 Conformidade	 - Relacionados com temas como saúde e 
segurança, meio ambiente, práticas comerciais, proteção 
do consumidor, proteção de dados, assuntos regulamenta-
res e legislação laboral.
Na área bancária os riscos são classificados como Riscos de Merca-
do, Crédito e Operacionais. 
Ponto importante para as empresas é possuir uma classificação de 
seus riscos para que possa enxergar de forma estratégia sua exposi-
ção e respectiva consequência.
 54Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Podemos especificar a Classificação dos riscos da seguinte forma: 
1. Estratégicos; 
2. Financeiros: abrangendo tanto a área de crédito como de 
mercado;
3. Operacional; 
4. Conformidade/Legal.
Na ótica estas quatro categorias abrangem todas as empresas. Pode-
mos especificar a Classificação dos riscos da seguinte forma: 
1. Estratégicos
 - Sua grande iniciativa falha, Seus clientes abandonam, Seu 
setor chega a uma bifurcação na estrada, Um concorren-
te aparentemente invencível aparece, Sua marca perde a 
força, Seu setor torna-se zona de lucro zero, Sua empresa 
para de crescer. 
2. Riscos Financeiros 
 - Risco de Taxas de Juros, Taxas de Câmbio, Commodi-
ties, Ações, Liquidez, Derivativos, Hedge, Concentração 
(mercado), Inadimplência, Degradação de Crédito, Degra-
dação das Garantias, Soberano, Financiador, Concentra-
ção (crédito). 
3. Risco Operacional
 - Risco de Overload, Obsolescência, Presteza e Confiabili-
dade, Equipamento, Erro Não Intencional, 
 Fraudes, Qualificação, Produtos & Serviços, Modelagem, 
Sistêmico, Concentração (operacional), Imagem, Catástrofe.
4. Conformidade/Legal
 - Risco de Regulamentação, Legislação e ou Normas e Polí-
ticas, Tributário, Contrato.
 55Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
7.6	IdENTIFICANdO	OS	FATORES	dE	RISCOS		
É necessário o desmembramento do perigo em fatores ou causas, 
que podem estar dentro do controle da Unidade de Negócio ou se-
rem incontroláveis. Os fatores de risco são na realidade a origem e 
ou causa de cada perigo. Para compreender o risco – a condição – a 
somade todos os fatores, há a necessidade de dissecar o fluxo de 
cada processo. 
Existem vários modelos para dissecar o fluxo de cada processo e se-
parar os seus fatores ou fontes de risco. 
No Processo da Brasiliano & Associados, optamos em utilizar a ferra-
menta da qualidade o Diagrama de Causa e Efeito, o chamado Diagra-
ma de Ishikawa ou Espinha de Peixe. 
Esta ferramenta serve para identificar fatores que causam problemas 
para os eventos estudado. Em 1953 o Professor Karou Ishikawa, da 
Universidade de Tóquio - Japão sintetizou as opiniões dos engenheiros 
de uma fábrica na forma de um diagrama de causa e efeito, enquanto 
eles discutiam problemas de qualidade. O diagrama bem detalhado 
apresenta a forma de uma espinha de peixe. 
O diagrama passou a ser implantado na gestão da qualidade e de 
outros processos empresariais. O diagrama da qualidade possui seis 
macro causas ou fatores de detalhamento. São denominados de 6M: 
Mão de Obras, Método, Meio Ambiente, Máquina, Material e Monitora-
mento. O diagrama abaixo exemplifica:
 56Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Figura	9
A Brasiliano & Associados adaptou a ferramenta para ser utilizada tan-
to na gestão de riscos como na segurança empresarial. 
Os Macro fatores podem ser variáveis e adaptáveis para cada situa-
ção. O importante é o gestor definir quais serão as macro causas a 
serem utilizadas de acordo com cada análise. 
No caso da segurança empresarial inserimos seis novas macro cau-
sas tendo em vista serem elas as que mais causam problemas para 
o segmento. São elas: Meios Organizacionais, Recursos Humanos da 
Segurança, Meios Técnicos Passivos, Meios Técnicos Ativos, Ambien-
te Interno e Ambiente Externo. 
A descrição dos macro fatores são: 
-	 Meios	Organizacionais: é o levantamento se na empresa 
possui normas de rotina e de emergência, políticas de tra-
tamento de riscos, gerenciamento de riscos entre outras. A 
não formalização ou o não detalhamento pode ser um fator 
de infl uência para a concretização do perigo. 
-	 Recurso	Humano	da	Segurança: é o levantamento do nível de 
qualifi cação, quantidade, posicionamento tático da equipe. 
-	 Meios	Técnicos	Passivos: é o levantamento da não exis-
tência de recursos físicos, tais como lay-out de portaria, sa-
las, resistências de paredes, vidros entre outros. 
 57Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
-	 Meios	Técnicos	Ativos: é o levantamento da não existên-
cia de sistemas eletrônicos, indo desde CFTV, controle de 
acesso, sensoriamento, sistemas de rastreamento e cen-
trais de segurança.
-	 Ambiente	Interno:	é o levantamento do nível de relaciona-
mento dos colaboradores e empresa. Inclui desde políticas 
de remuneração até políticas de recursos humanos.
-	 Ambiente	Externo:	é o levantamento de cenários prospec-
tivos, identifi cando fatores externos incontroláveis, mas que 
infl uenciam na concretização de perigos. Inclui o levanta-
mento dos índices de criminalidade, estrutura do crime or-
ganizado, mercados paralelos, estrutura do judiciário, cor-
rupção policial, ambiência no em torno, entre outros. 
Figura	10
Ao lado um exemplo de um Diagrama para o estudo do perigo Desvio Interno: 
 58Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
F
ig
u
ra
	1
1
 59Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Na área de gestão de riscos corporativos já utilizamos outros seis 
macro fatores, são eles: Fatores Estratégicos, Processos, Recursos 
Humanos, Infra Estrutural Patrimonial,Tecnologia da Informação – TI e 
Ambiente Externo. 
 A descrição dos macro fatores são: 
-	 Fatores	Estratégicos: Influência do nível de conhecimento 
do risco no ambiente organizacional para a materialização 
do risco;
-	 Processos: Influência da formalização de normas e políti-
cas existentes na empresa para a materialização do risco; 
-	 Recursos	Humanos	/	Pessoas:	Influência do nível da equi-
pe envolvida, considerando-se perfil e qualificação, para a 
materialização do risco, bem como do nível de relaciona-
mento dos colaboradores e empresa;
-	 Infra	Estrutura	Patrimonial: Influência da existência de re-
cursos físicos e sistemas eletrônicos para a materialização 
do risco;
-	 Tecnologia	da	Informação	–	TI	(Hardware	e	Software): In-
fluência dos sistemas de informação utilizados pela empre-
sa para a materialização do risco;
-	 Ambiente	Externo	–	AE: Influência das variáveis externas 
incontroláveis para a materialização do risco. 
O diagrama de causa e efeito fica assim exemplificado:
 60Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
C
A
U
S
A
S
E
V
E
N
TO
R
H
Te
cn
ol
og
ia
 T
I
(H
ar
dw
ar
e 
e 
S
of
tw
ar
e)
Fa
to
re
s
E
st
ra
té
gi
co
s
E
FE
IT
O
A
m
bi
en
te
E
xt
er
no
P
ro
ce
ss
o
In
fr
a-
E
st
ru
tu
ra
F
ig
u
ra
	1
2	
-	
d
ia
g
ra
m
a	
C
au
sa
	e
	E
fe
it
o
 61Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
F
ig
u
ra
	1
3
 62Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Os Fatores de Riscos da Metodologia Coso podem também serem coloca-
dos no diagrama de causa e efeito, neste caso com cinco macro fatores. 
E
FE
IT
O
E
V
E
N
TO
C
A
U
S
A
S
E
co
nô
ni
co
M
ei
o 
A
m
bi
en
te
P
ol
íti
co
S
oc
ia
l
Te
cn
ol
óg
ic
o
A
m
bi
en
te
E
xt
er
no
P
ro
ce
ss
o
In
fr
a-
E
st
ru
tu
ra
R
H
Te
cn
ol
og
ia
F
ig
u
ra
	1
4
 63Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Os Fatores de Riscos da ISO 27005 Gestão de Riscos do Sistema de 
Informação podem serem colocados no diagrama de causa e efeito, 
com seis macro fatores.
Lo
ca
liz
aç
ão
In
st
al
aç
ão
S
of
tw
ar
e 
R
ed
e
H
ar
dw
ar
e
O
rg
an
iz
aç
ão
R
ec
ur
so
s
H
um
an
os
E
FE
IT
O
C
A
U
S
A
S
E
V
E
N
TO
F
ig
u
ra
	1
5
 64Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Portanto a utilização do Diagrama de Causa e Efeito como Ferramenta 
de Identifi cação de Fontes de Riscos é extremamente prática, além de 
dar ao gestor uma visão das variáveis que potencializam os seus riscos. 
A técnica para detalhar os fatores é fazendo a pergunta POR QUE? 
Até esgotar o respectivo fator. O objetivo é identificar quais sub-fatores 
influenciam na concretização do perigo. O risco passa ser então o so-
matório dos fatores. O Diagrama de Ishikawa é o risco, é a condição. 
Podemos exemplificar pelo diagrama abaixo:
Figura	16
7.7 IDENTIFICAÇÃO DA MOTRICIDADE 
DOS FATORES DE RISCOS 
Após a identificação dos vários fatores de riscos ou também chama-
dos de fatores facilitadores, o analista precisa enxergar estrategica-
mente quais são os fatores comuns a todos os perigos e quais são os 
mais motrizes. Ou seja quais são os que podem de fato potencializar 
os perigos estudados.
 65Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
7.7.1	Ferramenta	-	Matriz	Swot	(Forças	–	Fraquezas	–		
Oportunidades	–	Ameaças	)
A Brasiliano & Associados adaptou a ferramenta gerencial utilizada pelos 
gestores para identificar os pontos fracos, fortes, oportunidades e ame-
aças do contexto empresarial. A ferramenta é a Matriz SWOT - FOFA, 
que em inglês significa SWOT - Strengths - Weaknesses - Opportunities – 
Threats e em português– Forças – Fraquezas – Oportunidades – Ameaças.
A avaliação das forças e fraquezas dizem respeito as condições dos 
sistemas e processos preventivos, ou seja processos que a empre-
sa possui domínio de ação e decisão. São os chamados Fatores de 
Riscos Internos, variáveis internas. Os fatores de riscos considerados 
incontroláveis dizem respeito a ambiência externa, podendo ser nega-
tiva – Ameaças e ou positivas – Oportunidades.
A matriz possui quatro células, avaliadas quantitativamente, utilizan-
do-se dois parâmetros: 
a)	 Magnitude	significa o tamanho ou grandeza que a variável 
ou evento possui perante a empresa. Caso aconteça, po-
sitivamente ou negativamente, o quanto ela vai influenciar 
no contexto como um todo. A magnitude é ranqueada, uti-
lizando-se uma pontuação, que varia de –3 a +3, dentro do 
seguinte parâmetro: + 3 (alto); + 2 (médio);+ 1 (baixo), para 
cada elemento positivo (força ou oportunidade) e –1 (baixo); 
-2 (médio); -3 (alto) para cada variável negativa (fraqueza 
e ameaça). No nosso caso podemos ter como parâmetro 
para poder dar a nota da magnitude na célula da fraqueza 
e ameaça o número de vezes que as variáveis aparecem no 
diagrama de causa e efeito. É uma forma mais objetiva de 
saber a magnitude do Fator de Risco, pois se um Fator de 
Risco aparece 5 vezes em seis perigos estudados, significa 
que esta variável é de “grande”magnitude.
b)	 Importância	significa a prioridade que esta variável deve 
possuir perante a conjuntura da empresa. É uma nota 
 66Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
subjetiva com base na experiência da equipe que está 
avaliando. Utilizamos também três níveis de pontuação: 
3 (muito importante); 2 (média importância); 1 (pouca im-
portância). Neste caso, não há contagem negativa , pois o 
critério Importância sempre é positivo.
 
 
 
 
Figura	17	-	Matriz	Fofa	da	Brasiliano&Associados
Para ranquear os itens em cada célula, podemos multiplicar a avalia-
ção da magnitude e da importância. Os fatores de riscos ranqueados 
com maior numeração, positiva e negativa, são considerados motri-
zes. Motrizes porque devem receber maior atenção. 
A matriz SWOT - FOFA demonstra o conjunto de Fatores de Riscos (Fra-
quezas e Ameaças), e seus pontos fortes e oportunidades. Com esta 
fotografi a o analista enxergará seus pontos de maior fragilidade. Se for-
mos observar sob o ponto de vista das fraquezas e ameaças contidas 
na Matriz SWOT, podemos afi rmar que a Matriz SWOT é um resumo de 
todos os diagramas de causa e efeito, sem listar os fatores repetidos. 
Podemos utilizar como exemplo a seguinte matriz preenchida:
 67Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
F
ig
u
ra
	1
8
 68Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Ponto importante na matriz SWOT – FOFA é que as fraquezas são 
oriundas dos diagramas de causa e efeito, são os resumos dos fatores 
de riscos que a empresa possui autonomia sobre eles. Exemplo: se 
formos estudar o diagrama de causa e efeito da segurança empresa-
rial teremos o recurso humano, ambiente interno, meios técnicos ati-
vos, meios técnicos passivos, meios organizacionais. As ameaças são 
as variáveis incontroláveis do ambiente externo, também oriundas do 
diagrama de causa e efeito. As variáveis negativas (fraquezas e ame-
aças) da Matriz SWOT – FOFA são o resumo dos vários diagramas de 
causa e efeito, sendo a base do Plano de Ação. 
A matriz é uma ferramenta de gestão, fácil enxergar as principais defi ci-
ências e quais são as possibilidades de reversão da situação existente. 
 A Matriz SWOT/FOFA adaptada para a gestão de riscos visualiza o 
todo, enquanto que o diagrama de causa e efeito visualiza somente o 
perigo estudado. 
Figura	19
 69Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Por esta razão há a necessidade de elaborar um diagrama para cada 
perigo. A Matriz SWOT/FOFA é o resumo estratégico dos fatores de 
riscos dos perigos, concentrados na fraqueza e ameaças. A grande 
vantagem é que além de visualizar as deficiências e pontos fracos, a 
Matriz SWOT/FOFA também enxerga quais são seus pontos positivos. 
Daí a necessidade de ranquear cada fator para podermos ter a real 
visão da situação da empresa. 
O tratamento adequado dos pontos fortes, fracos, ameaças e opor-
tunidades proporcionam para o gestor de riscos o caminho para re-
modelar a situação, indicando quais são os fatores a serem tratados 
prioritariamente. A Matriz SWOT/FOFA é a base para as respostas do 
Plano de Ação.
A figura abaixo exemplifica uma matriz FOFA preenchida de forma 
objetiva.
Figura	20
 70Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Ao observarmos a Matriz acima podemos notar que a prioridade será 
dada com critério nas numerações mais altas negativas, o que quer 
dizer que o gestor de riscos tem possibilidade de poder ranquear suas 
ações. No exemplo acima as prioridades são: 
Ações Prioridades
Norma de Rotina, Sistema de CFTV, 
Segregação de Acesso, Endomarketing, 
Circulação Interna
 Prioridade 1, todos os 
fatores com pontuação
 -9.
Controle de Acesso, Integração de Sistemas, 
Sensoriamento Interno, Qualificação nos 
RH de Segurança, Controle de Terceiros via 
cadastramento
Prioridade 2, todos os 
fatores com pontuação
 -6.
Central de Segurança, Sensoriamento 
perimetral e Blindagem de portaria
Prioridade 3, todos os 
fatores com pontuação
 -3 e -2.
7.7.2	Matriz	de	Impactos	Cruzados
dESCRIçÃO	dA	METOdOlOGIA
Esta ferramenta é a mesma empregada na Construção de Cenários, adap-
tada para avaliar a influência de um Fator de Riscos sobre outros Fatores 
de Riscos. Ou seja, leva em conta a interdependência entre várias ques-
tões formuladas, possibilitando que o estudo que se esteja realizando ad-
quira um enfoque mais global, mais sistêmico e, portanto, mais de acordo 
com uma visão prospectiva. Esta ferramenta técnica tem o objetivo de 
buscar e hierarquizar os Fatores de Riscos mais determinantes e impor-
tantes entre todos aqueles identificados no estudo. Por causa da flexibi-
lidade da análise de Impactos Cruzados, a técnica pode ser aplicada a 
uma imensa variedade de problemas, daí porque tornou-se amplamente 
difundida na Prospectiva e tem sido usada em estudos das oportunida-
des de introdução de produtos, de mercado, estabelecimento de política 
externa, formulação de objetivos institucionais, na comunicação, defesa, 
ecologia, educação, recursos naturais e em muitos outros assuntos. Por 
esta razão estamos empregando Impactos Cruzados para identificar os 
fatores de Riscos mais influentes e importantes no contexto estudado. 
 71Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
A técnica de impactos cruzados pode ser descrita, sucintamente, do se-
guinte modo: Dispostos em uma confi guração matricial, com o eixo ver-
tical signifi cando às forças motrizes e o horizontal as dependências. A 
diagonal principal da matriz é inutilizada. Os dados entram sempre na 
VERTICAL, ou seja, de cima para baixo, onde é colocado um peso (valor 
numérico em uma escala ajustada) que representa a infl uência de cada 
evento coluna sobre a probabilidade incondicional do evento linha. A ma-
triz de Impactos Cruzados deve ser preenchida, utilizando-se uma tabela, 
que permite que se atribuam valores de 0 a 3, para quantifi car o efeito 
(impacto) que a ocorrência do Fator de Riscos destacado poderá causar 
sobre os demais Fatores de Riscos. Os valores seguem a seguinte tabela:
TABELA: Critério Grau de Interdependência
Influência Nota
ALTA 3
MÉDIA 2
BAIXA 1
NÃO INTERFERE OAo somar os valores das colunas com as linhas, obtêm-se, através dos 
resultados das colunas, a motricidade de cada fator de risco, e através 
das linhas horizontais o valor de sua dependência. Exemplificamos a 
matriz abaixo, com seis eventos: 
Figura	21:	Matriz	de	Impactos	Cruzados
 72Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Esta matriz possui de especial a influência da ocorrência de um Fa-
tor de Riscos sobre a probabilidade de outros ocorrerem, definindo 
esta influência como impacto. Pode-se então elaborar a matriz de 
motricidade versus dependência. Para tanto, basta calcular os pontos 
médios de motricidade e de dependência, aplicando as fórmulas a se-
guir, e construir o gráfico, onde o eixo dos x corresponde aos valores 
de dependência e o eixo dos y aos da motricidade. 
	 VM	+	vM	 PM	=	Ponto	Médio	da	Motricidade
	 PM	=	____________	 VM	=	Valor	mais	alto	de	motricidade
	 2	 vM	=	Valor	mais	baixo	da	motricidade
	 Vd	+	vd	 Pd	=	Ponto	Médio	da	dependência
	 Pd	=	____________	 Vd	=	Valor	mais	alto	da	dependência
	 2	 vd	=	Valor	mais	baixo	da	dependência
DEPENDÊNCIA
M
O
T
R
I
C
I
D
A
D
E
motriz
independente dependente
ligação
Figura	22:	Plano	de	Motricidade	X	dependência
 73Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
As variáveis motrizes (quadrante II) são as que condicionam o restante 
do sistema. Já as variáveis de ligação (quadrante I) são muito motri-
zes, mas têm grande dependência das demais. São as que fazem a 
ligação entre as variáveis motrizes e as dependentes (quadrante III). 
Por sua natureza instável, qualquer ação sobre elas terá repercussão 
sobre as outras e um efeito de retorno sobre si próprio que virá amplia-
do ou atenuado em função da impulsão inicial. 
As variáveis dependentes (quadrante III) são pouco motrizes e mui-
to dependentes, seu comportamento é explicado pelo das variáveis 
motrizes e de ligação. Já as variáveis independentes (quadrante IV) 
são aquelas pouco motrizes e pouco dependentes. São geralmente 
tendências de peso ou fatores relativamente desligados do sistema, 
e que não constituem determinantes do futuro, podendo ser excluídas 
da análise.
EMPREGO	dA	MATRIz	dE	IMPACTOS	CRUzAdOS
Com o objetivo de demonstrar a praticidade da matriz de impactos 
Cruzados na gestão de riscos, segue abaixo uma descrição de uma 
empresa que sofre roubo de carga na distribuição urbana, na cidade 
do Rio de Janeiro.
 74Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Fase	1:	Construção	do	diagrama	de	
Causa	e	Efeito	do	Risco	Roubo	de	Carga:
F
ig
u
ra
	2
3
 75Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Fase	2:	Elaboração	da	Matriz	de	Impactos	Cruzados
Obs: Não pode misturar os fatores de riscos controláveis com os 
incontroláveis.
F
ig
u
ra
	2
4
 76Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Fase	3:	Construção	da	Matriz	Interpretação	dos	Fatores	de	Risco
D
E
P
E
N
D
Ê
N
C
IA
M O T R I C I D A D E
m
ot
ri
z
de
pe
nd
en
te
lig
aç
ão
15
1;
2;
3
5
4;
6;
7;
8;
9;
10
;
11
;1
2;
13
;1
4
in
de
pe
nd
en
te
F
ig
u
ra
	2
5
 77Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Fase	4:	Análise	e	Interpretação
As variáveis consideradas de ligação são as mais importantes, de-
vendo ser tratadas com maior criticidade, pois são interdependentes. 
As variáveis motrizes também devem ser olhadas com criticidade pois 
são elas que alavancam as outras variáveis. 
As varáveis dependentes são as menos críticas, pois dependem de 
outras para que possa a acontecer. As variáveis independentes são 
consideradas franco atiradoras. 
No caso da empresa do RJ, temos 11 variáveis no quadrante I e II. A 
interpretação é o tratamento concentrado nestes 11 fatores de riscos. No 
conjunto de 15 variáveis, estas 11 representam 75% do total. Isto significa 
que se a empresa não tratar estes fatores de risco ao mesmo tempo, po-
derá ter um resultado muito pequeno no seu contexto. É obrigatório que a 
empresa trate os 11 fatores de riscos de modo imediato.
Os 11 fatores de riscos que devem ser tratados são: 
 4 – RH desmotivada;
 6 – Falta de Treinamento;
 7 – Política de Punição;
 8 - Política de Treinamento – Endomarketing;
 9 – Revisão de Normas;
 10 – Disque Denúncia;
 11 – Descrédito no Processo de GR; 
 12 – Falta de Código de Ética;
 13 – Falta de Sensibilização;
 14 – Constante quebra de normas;
 15 - Falta de Meta para a área de Logística. 
Realmente podemos observar que os fatores de riscos alavancadores 
para o roubo de carga não é somente a implantação de equipes de se-
gurança e sistemas de rastreamento, mas processos organizacionais 
e de boas práticas.
 78Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
8. Análise de Riscos
8.1 INTRODUÇÃO
A análise de riscos visa promover o entendimento do nível de risco e 
de sua natureza, auxiliando na definição de prioridades e opções de 
tratamento aos perigos identificados. Por meio dela, é possível saber 
qual a chance, a probabilidade dos riscos virem a acontecer e calcular 
seus respectivos impactos na empresa, sob o ponto de vista financei-
ro, operacional, legal e de sua imagem.
A análise de riscos pode ser realizada em diversos momentos, tais 
como o início de um novo projeto, como parte da gestão contínua, ou 
como o estudo do que pode ocorrer após os riscos terem sido trata-
dos. Em linhas gerais, por meio de análise, verifica-se e compara-se o 
nível atual de riscos com os sistemas e controles existentes.
É importante ressaltar que a avaliação de riscos pode ser realizada 
com vários graus de detalhamento, dependendo do risco, da finalida-
de da análise e das informações, dados e recursos disponíveis. A aná-
lise de riscos aqui descrita será a qualitativa (subjetiva), privilegiando 
o Fator Humano. Consiste na utilização de critérios pré-estabelecidos 
com uma escala de valoração para a determinação do nível do risco. 
A metodologia a ser utilizada para a avaliação de riscos possui os dois 
parâmetros universais e estabelecidos pela nova ISO 31000:
a) Saber qual a chance, a probabilidade, dos perigos virem a 
acontecer, frente à condição existente – risco;
b) Calcular o impacto e ou a conseqüência.
 79Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
A análise de riscos é uma forma do gestor de riscos da empresa acom-
panhar a evolução de suas exposições de maneira geral.
8.2	dESCRIçÃO	dO	MÉTOdO	
dE	ANÁlISE	dE	RISCOS		
8.2.1	Grau	de	Probabilidade	-	GP
Conforme já foi descrito em tópicos anteriores, a opção escolhida foi 
o emprego de técnicas subjetivas, também chamadas de Lógica In-
tuitiva. Lógica Intuitiva porque existe um processo estruturado e leva 
em consideração a expertise e experiência da equipe que está reali-
zando o estudo. O método completo fornece como resultado prático 
o matriciamento dos riscos, que é o cruzamento da probabilidade de 
ocorrência versus o impacto no negócio, levando-se em consideração 
os critérios da imagem, financeiro, legal e operacional. 
O GP possui dois critérios: O Critério dos Fatores de Riscos – FR e o 
Critério da Exposição - E. O GP está alicerçado em uma fórmula sim-
ples, que calcula de forma direta, através da multiplicação dos dois 
critérios, o nível de possibilidade do perigo e ou evento vir a aconte-
cer, frente à condição existente. O GP pode ser classificado tanto de 
forma subjetiva como de forma objetiva. 
 80Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAnoAvAnçAdo
O Grau de Probabilidade – GP é a conseqüência da multiplicação dos 
fatores de riscos versus o critério da exposição. É uma multiplicação 
direta, onde cada critério possui uma escala de valoração 1 a 5. 
8.2.2	Critérios	do	GP		
CRITÉRIO	dO	FATOR	dE	RISCOS	–	“FR”
Este critério possui seis sub critérios, estudados na fase da identifica-
ção da origem de cada perigo. Os sub critérios possuem uma escala 
de valoração que mede o grau de influência para a concretização do 
perigo. Neste caso julgamos qual o nível de influência, por sub-critério, 
para que o perigo seja concretizado. É uma nota subjetiva, com base 
no diagrama de causa e efeito. Ou seja, a nota deve estar coerente 
com o diagrama de causa e efeito realizado. Em cada macro fator o 
gestor deverá realizar uma análise para verificar qual será o nível de 
influência daquele Macro Fator na concretização do perigo estudo. O 
gestor também deve olhar a Matriz SWOT e ou a de Impactos Cruza-
dos, com o objetivo de verificar o grau de motricidade dos fatores de 
riscos dentro daquela macro causa. Por exemplo no diagrama abaixo, 
digamos que na macro causa Meios Organizacionais os fatores proce-
dimentos e políticas tiveram grau -9 da Matriz SWOT e endomarketing 
-6. Qual nota poderíamos dar, na escala de 1 a 5,de influência na po-
tencialização do perigo desvio interno? Deverá ser pelo menos 4 ou 5. 
Seria incoerente dar uma nota 2 ou até 3, Porque? Como podemos dar 
uma nota 3, que é média, se dos três fatores listados, temos dois com 
grau máximo. Portanto a Matriz SWOT passa a ser um balizador para o 
gestor na análise do nível de influência.
 81Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
F
ig
u
ra
	2
6
 82Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Os seis Macro Fatores de Riscos, que compõem o diagrama de causa 
e efeito, que podem variar de acordo com o negócio e ou processo es-
tudado, possuem uma escala de valoração que mede o nível de influ-
ência para a concretização do perigo. A Tabela abaixo valora a escala: 
Nível do Fator de Risco
Escala Pontuação
Influencia Muito 5
Influencia 4
Influencia Medianamente 3
Influencia Pouco 2
Influencia Muito Pouco – quase nada 1
Após o estudo e análise pontuamos Cada Macro Fator, efetuando a soma 
do resultado e dividindo por seis. Porque seis? Por que existem seis ma-
cro fatores. Se forem cinco macro fatores? Dividimos por cinco. Ressal-
tamos que há a necessidade do gestor decidir na fase 2 do processo – 
Contexto Estratégico – os critérios e metodologias entre elas este, com o 
objetivo de evitar fazer uma salada russa em seu processo de gestão de 
riscos. Podemos citar como exemplo tanto os Fatores de Riscos da área 
da segurança empresarial como para a gestão de riscos corporativas:
	 MO	+	RH	+	MTA	+	MTP	+	AE	+	AI
	 FR	=	_____________________________
	 6
	 FE	+	RH	+	TI	+	IP	+	AE	+	P
	 FR	=	_____________________________
	 6
 83Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Legenda
Segurança Gestão de Riscos
MO= meios organizacionais FE= fatores estratégicos
RH= recursos humanos RH= recursos humanos
MTA= meios técnicos ativos TI= tecnologia da informação
MTP= meios técnicos passivos IP= infra estrutura patrimonial
AE= ambiente externo AE= ambiente externo
AI= ambiente interno P= processos
CRITÉRIO	dA	EXPOSIçÃO	
Assim como no tópico anterior, o critério de exposição possui uma 
escala de valoração que mede a freqüência que os perigos costumam 
manifestar-se na empresa ou em empresas similares. Ponto importante 
é avaliar sob três óticas: as condições passadas, presentes e futuras. 
Não deve nunca, olhar somente o passado. Se o gestor olhar somente 
a freqüência com foco no passado ele estará fazendo uma projeção, 
não levando em consideração as variáveis presentes e futuras. Será 
um grande erro estratégico. A tabela abaixo sugere a valoração:
Critério da Exposição
Escala Pontuação
Uma ou mais vezes por mês 5
Uma ou mais vezes por ano 4
Uma ou mais vezes a cada 5 anos 3
Uma ou mais vezes a cada 10 anos 2
Remotamente possível 1
8.2.3	Grau	de	Probabilidade	
O GP é o resultado da multiplicação do valor final do fator de risco 
versus o critério da exposição, conforme demonstrado abaixo:
GP	=	FR	x	E
 84Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Esta multiplicação direta representa o grau de probabilidade, sendo 
que o valor máximo obtido é 25, com a classificação dividida em cinco 
níveis. Para transformar esta classificação subjetiva em uma classifi-
cação objetiva, basta multiplicar pelo fator 4. Por que fator 4? Porque 
estamos fazendo uma equivalência entre o número máximo obtido na 
multiplicação direta entre os dois fatores (fator de riscos x fator de 
exposição) que é 25 e a porcentagem da probabilidade máxima que é 
100%. Desta forma temos a tabela a seguir:
Escala Nível de Probabilidade
1 - 5 Baixa 4% a 20%
5,01 - 10 Média 20,01 a 40%
10,1 - 15 Alta 40,01 a 60%
15,01 - 20 Muito Alta 60,01 a 80%
20,01 - 25 Elevada 80,01 a 100%
Verifica-se que sempre teremos um risco residual de 4%.
Considere	o	seguinte	exemplo:	
No diagrama de Desvio Interno do tópico anterior, as notas dadas fo-
ram às seguintes: 
Fator de Risco Nota de Influência (1-5)
MO 4
RH 5
MTA 4
MTP 3
AE 3
AI 5
Total 24
Dividindo-se 24 por 6 temos a nota 4, o FR é 4. 
 85Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Se o nível de exposição for considerado como 5, ou seja, o desvio interno 
tende a acontecer mais de uma vez ao mês nas condições de hoje e futu-
ra, se nada for feito, teremos um GP de 20. Se formos à tabela, verifi camos 
que o nível de risco é ALTO. Se quisermos transformar este nível ALTO em 
porcentagem basta multiplicar por 4%, teremos 80% de probabilidade do 
risco de Desvio Interno vir a ocorrer na Unidade de Negócio Estudada. 
8.2.4	Relevância	do	Impacto
Para mensurar o impacto, não devemos levar em consideração somente 
a questão fi nanceira. Com o objetivo do gestor obter uma visão holística 
do impacto há a necessidade de projetar todas as conseqüências que 
os perigos causam. Ao calcular o impacto, é possível identifi car o quanto 
cada tipo de risco pode prejudicar a competitividade empresarial. A Bra-
siliano & Associados optou em estudar a relevância do impacto levando 
em consideração quatro fatores de impacto: a imagem, o fi nanceiro, o 
operacional e o legal. Isso não quer dizer que o gestor tenha que seguir 
estes quatro fatores, há por exemplo clientes nossos que ao invés de ter 
estes quatro fatores de impacto decidiu inserir a questão de recursos 
humanos. Como já dissemos, é uma questão de decisão da empresa.
Outro ponto importante é que na nossa metodologia cada fator de im-
pacto possui um peso diferenciado, tendo em vista seu grau de impor-
tância para a empresa. Ou seja teremos no final uma média pondera-
da, ao invés de uma média aritmética. 
Os fatores de impacto – FI são: 
Figura	27
 86Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Podemos sugerir por Fator de Impacto a seguinte escala de valoração 
como uma diretriz:
Imagem: 
Escala Pontuação
De Caráter Internacional 05
De Caráter Nacional 04
Regional 03
Local 02
De Caráter Individual 01
Financeiro: 
Escala Pontuação
Massivo 05
Severo 04
Moderado 03
Leve 02
Insignificante 01
Legal: 
Escala Pontuação
Perturbações Muito Graves 05
Graves 04
Limitadas 03
Leves 02
Muito Leves 01
Operacional: 
Escala Pontuação
Perturbações Muito Graves 05
Graves 04
Limitadas 03
Leves 02Muito Leves 01
 87Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
8.2.5	determinação	do	Nível	de	Impacto	
O Nível de Impacto é o resultado da soma dos resultados de cada fator 
de impacto (multiplicação do peso versus a nota), dividido pela soma 
dos pesos, conforme demonstrado abaixo:
	 Imagem	+	Financeiro	+	Operacional	+	legislação
Nível	de	Impacto	=		___________________________________
	 11(soma	dos	pesos	4+3+2+2)
O nível de impacto possui a seguinte classificação:
Grau de Impacto Nível de Impacto
4,51 – 5,00 Catastrófico
3,51 – 4,50 Severo
2,51 – 3,50 Moderado
1,51 – 2,50 Leve
1,00 – 1,50 Insignificante
Exemplo: Considere os valores definidos a seguir para a determinação 
do Nível do Impacto.
Fator de Impacto Peso Nota - Avaliação do Gestor Resultado
Imagem 4 4 16
Financeiro 3 5 15
Operacional 2 3 6
Legal 2 4 8
Total ____ _________________ 45
Nível de Impacto = 45/11
Nível de impacto = 4,09. Este risco possui um nível de impacto consi-
derado Severo. 
 88Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
9. Avaliação de Riscos – 
Matriz de Riscos 
9.1 MATRIZ DE RISCOS
Com o objetivo de visualizar e, ao mesmo tempo, implementar uma 
forma de tratamento de cada risco, o resultado da avaliação dos riscos 
será apresentado em um mapa de riscos (Matriz de Riscos), permitin-
do o acompanhamento da dinâmica dos riscos. 
A matriz de riscos demonstra os pontos de cruzamento (horizontal e 
vertical) da probabilidade de ocorrência e do impacto. Desta forma, 
pela divisão da matriz em quatro níveis de criticidade podemos avaliar 
o nível de vulnerabilidade e sua influência nos objetivos da Unidade de 
Negócio da empresa. Quanto maior for à probabilidade e o impacto de 
um risco, maior será o nível do risco. Os riscos plotados em cada nível 
terão um tratamento específico, a saber:
 89Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
F
ig
u
ra
	2
8
 90Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Os riscos terão os seguintes tratamentos, de acordo com o quadrante 
em que estiver localizado:
	 Quadrante	I	(Vermelho):	Os riscos existentes no quadran-
te I são aqueles que têm alta probabilidade de ocorrência 
e poderão resultar em impacto extremamente severo, caso 
ocorram. Exigem a implementação imediata das estratégias 
de proteção e prevenção, ou seja, ação imediata;
	 Quadrante	II	(laranja):	No quadrante II, localizam-se ame-
aças que poderão ser muito danosas à empresa, poden-
do possuir muito baixa probabilidade e alto impacto como 
baixo impacto e alta probabilidade. Estas ameaças devem 
possuir respostas rápidas, que para isso devem estar pla-
nejadas e testadas em um plano de contingência, emergên-
cia, continuidade de negócios, além de ações preventivas. 
A diferença do quadrante I é que as ações podem ser im-
plementadas com mais planejamento e tempo. São eventos 
que devem ser constantemente monitorados;
	 Quadrante	 III	 (Amarelo):	No quadrante III, estão os riscos 
com alta probabilidade de ocorrência, mas que causam con-
seqüências gerenciáveis à empresa. Os riscos classificados 
neste quadrante devem ser monitorados de forma rotineira e 
sistemática, podendo também possuir planos de emergência;
	 Quadrante	IV	(Verde):	Os riscos classificados no quadrante 
IV possuem baixa probabilidade e pequeno impacto, repre-
sentando pequenos problemas e prejuízos. Estes riscos so-
mente devem ser gerenciados e administrados, pois estão 
na zona de conforto. 
 91Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
10. Nível de Risco
10.1 APETITE AO RISCO – NÍVEL DE RISCO
A metodologia COSO disserta sobre o apetite a risco: “como sendo 
a quantidade de riscos, no sentido mais amplo, que uma organização 
está disposta a aceitar em sua busca para agregar valor. O apetite a 
risco reflete toda a filosofia administrativa de uma organização e, por 
sua vez, influência a cultura e o estilo operacional desta.
Muitas organizações consideram esse apetite de forma qualitativa, 
categorizando-o como elevado, moderado ou baixo, enquanto outras 
organizações adotam uma abordagem quantitativa que reflete e equi-
libra as metas de crescimento, retorno e risco. 
Uma organização dotada de um maior apetite a risco poderá desejar 
alocar grande parcela de seu capital para áreas de alto risco como 
mercados recém-emergentes. Por outro lado, uma organização com 
um reduzido apetite a risco poderá limitar seu risco de curto prazo 
investindo apenas em mercados maduros e mais estáveis.
O apetite a risco está diretamente relacionado à estratégia da organi-
zação e é levado em conta na ocasião de definir as estratégias, visto 
que a estas expõem a organização a diferentes riscos. O gerencia-
mento destes ajuda a administração a selecionar uma estratégia ca-
paz de alinhar a criação de valor com o apetite a risco.
O apetite a risco orienta a alocação de recursos entre as unidades de 
negócios e as iniciativas, levando em consideração os riscos e o plano da 
unidade para gerar o retorno desejado dos recursos investidos. A adminis-
tração considera o apetite a risco ao alinhar sua organização, seu pessoal 
e seus processos, e prepara a infra-estrutura necessária para responder e 
 92Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
monitorar riscos com eficácia.” ( Metodologia COSO, publicado no Brasil 
pela AUDIBRA e PriceWaterHouseCoopers – 2007, página 20). 
Portanto a Matriz sugerida pelo Método Brasiliano poderá possuir qua-
drantes diferentes, dependendo do tipo de apetite ao risco que a em-
presa possui. Uma empresa mais tradicional e com aversão ao risco 
poderá ampliar a área tida como vermelha e diminuir sua área de con-
forto. Já uma empresa mais agressiva poderá ter seus quandrantes 
vermelhos menores. 
Podemos ver nos exemplos abaixo uma matriz de riscos com qua-
drantes de acordo com o nível de risco modificado de acordo com os 
objetivos da empresa. 
 93Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Probabilidade
5
ELEVADA
4
MUITO 
ALTA
3
ALTA
2
MÉDIA
1
BAIXA
IN
S
IG
N
IF
IC
A
N
TE
LE
V
E
M
O
D
E
R
A
D
O
S
E
V
E
R
O
C
AT
A
S
TR
Ó
FI
C
O
1
2
3
4
5
Im
p
ac
to
LE
G
E
N
D
A
PROBABILIDADE
5
B
A
A
A
A
4
B
B
A
A
A
3
B
B
B
A
A
2
C
C
B
B
A
1
D
C
C
B
B
1
2
3
4
5
IM
PA
C
TO
N
IV
E
IS
 D
E
 T
R
A
TA
M
E
N
TO
A
A
çã
o 
Im
ed
ia
ta
 - 
In
to
le
rá
ve
l
B
A
çã
o 
M
éd
ia
 e
 C
ur
to
 P
ra
zo
C
M
on
ito
ra
m
en
to
 e
 G
es
tã
o
D
R
is
co
 C
on
tro
lá
ve
l
IM
PA
C
TO
5
C
at
as
tró
fi c
o
4
S
ev
er
o
3
M
od
er
ad
o
2
Le
ve
1
In
si
gn
ifi 
ca
nt
e
P
R
O
B
A
B
IL
ID
A
D
E
5
E
le
va
da
4
M
ui
to
 A
lta
3
A
lta
2
M
éd
ia
1
B
ai
xa
9
5
1
8
7
3 2 4
6
Podemos verificar que o quadrante IV (cinza escuro) é um só, o que 
significa que a tolerância ao risco é baixa. 
F
ig
u
ra
	2
9
 94Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
10.2 NÍVEL DE RISCO - PROCESSO
O nível do risco é um índice que pode ser calculado anualmente, se-
mestralmente, de acordo com o negócio da empresa, com o objetivo 
de mensurar o grau de risco dos processos analisados. O objetivo é o 
de facilitar o monitoramento e acompanhamentoda evolução do risco 
no processo, no departamento e ou unidade .
Para calcular o nível do risco, é necessário utilizar as variáveis já iden-
tificadas na etapa anterior de Avaliação de Riscos – Grau de Proba-
bilidade (GP) e Impacto (I), conforme metodologia de cálculo abaixo:
O Nível de risco é a multiplicação da média do Grau de Probabilidade 
de todos os riscos vezes a média do Impacto de todos os riscos.
Média	do	Nível	de	Risco:	Média	do	GP	x	Média	do	I
Segue a tabela de Conversão abaixo, como sugestão:
NÍVEL DE RISCO
1 a 5 1 Verde
5,1 a 10 2 Amarelo
10,1 a 15 3 Laranja
15,1 a 25 4 Vermelho
É importante ressaltar que quanto maior o nível do risco, maior sua 
criticidade para o processo, conforme figura a seguir:
1 2 3 4
Nível baixo
(seguro)
Nível alto
(perigoso)
 95Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
O nível de risco serve para determinar seu apetite ao risco. A empresa 
pode decidir não tolerar nível de risco em seus processos acima do ní-
vel 3. Isto significa que os riscos plotados no quadrante IV – Vermelho 
- são considerados como INTOLERÁVEIS para a empresa. Estes riscos 
terão ação e tratamento imediatos por parte dos gestores.
10.2.2	A	Avaliação	do	Nível	de	Riscos	por	Processo		
A execução do cálculo do nível de risco por processo há a necessida-
de de mensurar as médias dos Grau de Probabilidade e Impacto, re-
sultando em apenas um valor para o processo a ser avaliado. A Média 
do Grau de Probabilidade deve ter uma equivalência visando também 
o Nível de Riscos possuir como valoração máxima o numeral 25. A 
tabela abaixo mostra a equivalência: 
Escala 1 Escala 2 Nível de criticidade Percentagem
1 – 5 1 Baixo 4% - 20%
5,01 – 10 2 Médio 20,04% - 40%
10,01 – 15 3 Alto 40,04% - 60%
15,01 – 20 4 Muito alto 60,04% - 80%
20,01 – 25 5 Elevado 80,04% - 100%
Resultado da 
multiplicação
GP=FRxE
Equivalência 
para matriz 
de riscos
Equivalência em 
probabilidade
Fator de 
multiplicação 4%
 96Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Podemos exemplificar: 
Perigos GP Impacto
1.Desvio Interno 15,00=3 2,38
2.Assalto 12,7=3 3,85
3.Fuga de Informação 15,3=5 3,54
4.Sabotagem 15,0=3 3,54
5.Incêndio 11,7=3 3,23
6.Responsabilidade Civil 7,0=2 3,54
7.Roubo de Carga 11,7=3 3,23
8.Recursos Humanos 12,5=3 2,15
9.Acesso a Confidencialidade 10,7=3 1,23
Total 28 25,77
Média 3,11 2,97
Nível de Risco 3,11 x 2,97 = 9,24
Conferindo com a Tabela o Nível de Risco Abaixo, podemos classificar 
o processo como nível 2 – Amarelo de risco. Dependendo da política 
da empresa, este processo encontra-se como tolerável. 
Nível de risco
1 a 5 1 Verde
5,1 a 10 2 Amarelo
10,1 a 15 3 Laranja
15,1 a 25 4 Vermelho
 97Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
10.3 GRAU DE RISCO DAS UNIDADES 
DE NEGóCIO E EDIFICAÇÕES - GRU
10.3.1	Introdução
O grau de risco da Unidade de Negócio tem por objetivo fazer a em-
presa enxergar de forma estratégica o nível de criticidade de suas Uni-
dades e Edificações. É um processo integrado para ajudar os gestores 
a modelarem seus riscos e respectivas unidades. A determinação do 
Grau de Criticidade – GC será alcançado através de dois critérios:
1. Média dos Graus de Probabilidade dos Riscos – MGPR
2. Importância Estratégica da Instalação – IEI
10.3.2	Média	dos	Graus	de		
Probabilidade	dos	Riscos	-	MGPR		
A média dos graus das probabilidades dos riscos – MGPR é conse-
guido através da soma dos GP de cada risco que a Unidade possui 
e dividido pelo número deles. Desta forma poderemos calcular o nível 
de criticidade, que a instalação, edificação possui. Os parâmetros da 
tabela de criticidade abaixo são os mesmos do Grau de probabilidade. 
Escala Nível de criticidade Percentagem
1 – 5 Baixo 4% - 20%
5,01 – 10 Médio 20,01% - 40%
10,01 – 15 Alto 40,04% - 60%
15,01 – 20 Muito alto 60,04% - 80%
20,01 – 25 Elevado 80,04% - 100%
Exemplo: Considere os valores definidos a seguir para a determinação 
do Grau de Probabilidade das Unidades de Negócio.
 98Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Unidade de 
Negócio
Grau de Probabilidade dos Riscos nas UN
MGPR
Nível de 
Criticidade
Assalto
Fuga de 
Informação
Sabotagem Incêndio
UM 1 5,00 15,00 12,00 8,00 40/4 = 10,00
10
Média
UM 2 12,00 15,00 18,00 14,00 59/4 = 14,75
14,75
Muito Alto
UM 3 11,00 23,00 14,00 7,00 55/4 = 13,75
13,75
Alto
UM 4 6,00 4,00 5,00 2,00 17/4 = 4,25
4,25
Baixa
10.3.3	Importância	Estratégica	da	Instalação	-	IEI		
O nível de importância estratégica da instalação poderá ser obtido 
utilizando os mesmos critérios do nível do impacto, levando-se em 
consideração caso aconteça eventos de forma geral na instalação, ou 
seja, vendo a instalação de forma holística. A diferença deste estudo é 
o enfoque, pois não estamos visualizando mais um evento, mas sim se 
a Unidade sofrer um impacto e não puder operar. Qual o impacto para 
a empresa? Portanto levamos em consideração os quatro fatores de 
impacto – FI: Imagem, Financeiro, Operacional e Legal, com os mes-
mos pesos. Os fatores de Importância Estratégica da Instalação são: 
Figura	30
 99Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Imagem: 
Escala Pontuação
De Caráter Internacional 05
De Caráter Nacional 04
Regional 03
Local 02
De Caráter Individual 01
Financeiro: 
Escala Pontuação
Massivo 05
Severo 04
Moderado 03
Leve 02
Insignificante 01
Legal: 
Escala Pontuação
Perturbações Muito Graves 05
Graves 04
Limitadas 03
Leves 02
Muito Leves 01
Operacional: 
Escala Pontuação
Perturbações Muito Graves 05
Graves 04
Limitadas 03
Leves 02
Muito Leves 01
 100Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
10.3.4	determinação	do	Nível	de	Importância	
O Nível de Importância é o resultado da soma dos resultados de cada 
fator de impacto (multiplicação do peso versus a nota), dividido pela 
soma dos pesos, conforme demonstrado abaixo:
	 Imagem	+	Financeiro	+	Operacional	+	legal
Nível	de	Importância	=		___________________________________
	 11(soma	dos	pesos	4+3+2+2)
Os parâmetros da tabela de Importância Estratégica são os mesmos 
do Impacto. 
Grau de Impacto Nível de Impacto
4,51 – 5,00 Catastrófico
3,51 – 4,50 Severo
2,51 – 3,50 Moderado
1,51 – 2,50 Leve
1,00 – 1,50 Insignificante
Exemplo: Considere os valores definidos a seguir para a determinação 
do Grau de Importância Estratégica das Instalações
Unidade 
de Negócio
Grau de Importância Estratégica da Instalação
IEI
IEI
Nível de 
Importância
Imagem
(4)
Financeiro
(3)
Legal
(2)
Operacional
(2)
UN 1 3 x 4 = 12 4 x 3 = 12 2 x 2 = 4 4 x 2 = 8 36/11 = 3,27
3,27
Moderado
UN 2 4 x 4 = 16 3 x 3 = 9 3 x 2 = 6 4 x 2 = 8 39/11 = 3,54
3,54
Alta
UN 3 2 x 4 = 8 2 x 3 = 6 4 x 2 = 8 3 x 2 = 6 28/11 = 2,54
2,54
Moderado
UN 4 1 x 4 = 4 1 x 3 = 3 4 x 2 = 8 2 x 2 = 4 19/11 = 1,72
1,72
Leve
 101Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
10.3.5	Matriz	de	Criticidade	das	Instalações	
Com o objetivo de visualizar e, ao mesmo tempo, priorizar o tratamento 
das suas instalações, o resultado da avaliação de criticidade de cada 
instalação será apresentado em uma Matriz de Criticidade. 
A matriz de Criticidade demonstra os pontos de cruzamento (horizon-
tal e vertical) das condições de segurança versus importância estra-
tégica. Desta forma, pela divisão da matriz em três níveis podemos 
avaliar a criticidade das instalações de forma estratégica e holística. 
As instalações plotadas em cadanível terão um tratamento específi-
co, a saber:
As Unidades terão os seguintes tratamentos, de acordo com o qua-
drante em que estiver localizado:
Quadrante	I	(Vermelho):	As unidades localizadas no quadrante I são 
aquelas que têm alto grau de risco e poderão resultar em impacto ex-
tremamente severo, caso ocorram. Exigem a implementação imediata 
das estratégias de proteção e prevenção, ou seja, ação imediata;
Quadrante	 II	 (laranja):	 No quadrante II, localizam-se as unidades 
devem receber tratamento com médio e curto prazo. Possuem cruza-
mento do grau de risco com médio e grande nível de riscos e elevado 
impactos. São unidades que devem ser constantemente monitoradas;
Quadrante	III	(Amarelo):	No quadrante III, estão as unidades com alto 
grau de riscos mas que causam conseqüências gerenciáveis à empre-
sa. As unidades classificadas neste quadrante devem ser monitoradas 
de forma rotineira e sistemática, podendo também possuir planos de 
emergência;
Quadrante	IV	(Verde):	As unidades classificadas no quadrante IV es-
tão na zona de conforto, devendo ser gerenciadas e administradas. 
 102Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
Matriz de Criticidade das Instalações
Probabilidade
A
ELEVADA
B
MUITO 
ALTA
C
ALTA
D
MÉDIA
E
BAIXA
IN
S
IG
N
IF
IC
A
N
TE
LE
V
E
M
O
D
E
R
A
D
O
S
E
V
E
R
O
C
AT
A
S
TR
Ó
FI
C
O
1
2
3
4
5
Im
p
ac
to
LE
G
E
N
D
A
PROBABILIDADE
5
B
B
A
A
A
4
C
B
B
A
A
3
D
C
B
A
A
2
D
D
C
B
A
1
D
D
C
B
B
1
2
3
4
5
IM
PA
C
TO
N
IV
E
IS
 D
E
 T
R
A
TA
M
E
N
TO
A
A
çã
o 
Im
ed
ia
ta
B
A
çã
o 
M
éd
ia
 e
 C
ur
to
 P
ra
zo
C
M
on
ito
ra
m
en
to
 e
 G
es
tã
o
D
R
is
co
 C
on
tro
lá
ve
l
IM
PA
C
TO
5
C
at
as
tró
fi c
o
4
S
ev
er
o
3
M
od
er
ad
o
2
Le
ve
1
In
si
gn
ifi 
ca
nt
e
P
R
O
B
A
B
IL
ID
A
D
E
5
E
le
va
da
4
M
ui
to
 A
lta
3
A
lta
2
M
éd
ia
1
B
ai
xa
U
ni
da
de
 1
U
ni
da
de
 2
U
ni
da
de
 3
U
ni
da
de
 8 U
ni
da
de
 1
0
U
ni
da
de
 1
1
U
ni
da
de
 7
U
ni
da
de
 6
U
ni
da
de
 5
U
ni
da
de
 4
U
ni
da
de
 9
F
ig
u
ra
	3
1
 103Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
11. Tratamento dos Riscos – 
Plano de Ação – Ferramentas 
11.1 ESTRATÉGIAS DE TRATAMENTO DOS RISCOS
Depois de identificados, avaliados e mensurados, deve-se definir qual 
o tratamento que será dado aos riscos. Na prática, a eliminação total 
dos riscos é impossível. Nesse contexto, a Matriz de Riscos e a Clas-
sificação do Nível de Riscos apóia a priorização e visa direcionar os 
esforços relativos a novos projetos e planos de ação elaborados, a fim 
de minimizar os eventos que possam afetar adversamente e maximizar 
aqueles que possam trazer benefícios para a organização. 
É recomendável alinhar a estrutura de controles internos aos objetivos 
estratégicos e ao nível de exposição desejado pela organização. A 
alta administração poderá determinar seu posicionamento frente aos 
riscos, considerando seus efeitos, grau de aversão e resposta, com-
plementada por uma análise de custo-benefício.
A ISO 31000 descreve o processo cíclico: 
- a avaliação do tratamento de riscos já realizado; 
- a decisão se os níveis de risco residual são toleráveis; 
- se não forem toleráveis, a definição e implementação de um 
novo tratamento para os riscos, e a avaliação da eficácia 
desse tratamento. 
As opções de tratamento de riscos não são necessariamente mutu-
amente exclusivas, ou adequadas em todas as circunstâncias. As 
opções podem incluir os seguintes aspectos: 
 104Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
a) a ação de evitar o risco ao se decidir não iniciar, ou descon-
tinuar, a atividade que dá origem ao risco; 
b) a tomada ou o aumento do risco na tentativa de tirar proveito 
de uma oportunidade; 
c) a remoção da fonte de risco; 
d) a alteração da probabilidade; 
e) a alteração das consequências; 
f) o compartilhamento do risco com outra parte ou partes (in-
cluindo contratos e fi nanciamento do risco); e 
g) a retenção do risco por uma decisão consciente e bem 
embasada. 
O diagrama abaixo exemplifi ca as estratégias de tratamento dos riscos:
Estratégicas de Gestão de Riscos
Risco inerente ao 
modelo de negócio ou ás 
operações normais
manter o risco, 
precifi car ou 
planejar conforme 
grau de tolerância
controlar ou 
diversifi car o risco
necessita que 
alguém esteja 
disposto e tenha 
capacidade 
fi nanceira para 
correr o risco
poder aumentar o 
grau de exposição 
medida em 
que possibilita 
vantagens 
competitivas
qualquer ação que 
elimine totalmente 
a fonte de um risco 
específi co
Fora da estratégia, uma 
vez que o custo do controle 
é superior ao risco
Sim ACEITAR
Reter Reduzir Transferir Explorar Evitar
REJEITAR Não
Figura	32
O Guia de Orientação para Gerenciamento de Riscos Corporativos, em 
suas páginas 23 e 24, descreve as estratégias de tratamento aos riscos: 
- Evitar	o	Risco: decisão de não se envolver ou agir de forma 
a se retirar de uma situação de risco. 
- Aceitar	o	Risco: neste caso, apresentam-se quatro alternati-
vas: reter, reduzir, transferir/compartilhar ou explorar o risco.
 105Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
- Reter: manter o risco no nível atual de impacto e probabili-
dade. Exemplo: a diretoria da empresa decide nada investir 
em melhorias da área de informática, assumindo que as per-
das e erros atualmente sabidos e esperados de informações 
internas para o processo de decisão e de gestão são (ris-
cos) toleráveis.
- Reduzir: ações são tomadas para minimizar a probabili-
dade e/ou o impacto do risco.Exemplo: uma organização 
financeira identificou e avaliou o risco de seus sistemas 
permanecerem inoperantes por um período superior a três 
horas e concluiu que não aceitaria o impacto dessa ocorrên-
cia. A organização investiu no aprimoramento de sistemas 
de auto-detecção de falhas e de backup para reduzir a pro-
babilidade de indisponibilidade do sistema.
- Transferir	e/ou	Compartilhar: atividades que visam redu-
zir o impacto e/ou a probabilidade de ocorrência do risco 
através da transferência ou, em alguns casos, do comparti-
lhamento de uma parte do risco. Exemplo: uma concessio-
nária de energia elétrica identificou e avaliou os riscos de 
falhas naturais com danos elétricos em seus equipamentos 
turbo-geradores e de potência de grandes usinas. Após 
analisar a melhor estratégia a ser adotada no que tange 
às despesas possíveis com franquia vis-à-vis os prêmios 
de risco a serem contratados, constitui-se um seguro des-
tes equipamentos junto ao mercado, transferindo este ris-
co operacional categorizado como de alto impacto e baixa 
freqüência, inerente ao processo de operação e manuten-
ção. Devem ser transferidos por meio de seguro os riscos 
tidos como catastróficos (riscos de baixa freqüência e alta 
severidade), os riscos de alta freqüência que provoquem 
cumulativamente perdas relevantes e todos aqueles cujo 
custo de transferência seja inferior ao custo de retenção. 
Os custos de seguro obtidos no mercado podem subsidiar 
a decisão sobre retenção versus transferência dos riscos. 
 106Gestão e AnAlise de RiscoscoRpoRAtivos: Método BRAsiliAno AvAnçAdo
Além de identificar os riscos que deseja transferir, os gesto-
res de seguros precisam conhecer profundamente a dinâ-
mica das operações da organização e o fluxo de informa-
ções que garantirá a adequação do contrato de seguro por 
toda a vigência das apólices, normalmente de 12 meses. A 
transferência do risco não necessariamente elimina todas 
as potenciais perdas e, por isto, é necessário dispor de um 
adequado plano de contingência. 
- Explorar: aumentar o grau de exposição ao risco na medi-
da em que isto possibilita vantagens competitivas. Exemplo: 
uma empresa produtora de petróleo usa as informações so-
bre o mercado futuro para especular no mercado de deriva-
tivos, aumentando sua exposição ao preço da commodity.
Deverão ser avaliados e monitorados os impactos positivos e negati-
vos da ocorrência dos eventos, considerando:
• Risco inerente: risco natural; ausência de qualquer ação 
que a direção possa realizar para alterar a probabilidade de 
ocorrência ou de impacto.
• Risco residual: resultante do processo de tomada de ações 
e aplicação das melhores práticas de controles internos ou 
da reposta da organização ao risco.
11.2 RECURSOS 
Os recursos têm por finalidade, com base no levantamento e análise 
de risco, propor as soluções possíveis, para mitigar a possibilidade 
dos riscos levantados virem a se concretizar.
Na realidade, os recursos irão dimensionar os meios técnicos, orga-
nizacionais e humanos, sempre com foco no usuário, que podem re-
duzir os riscos.
Os meios técnicos são divididos em ativos e passivos. Os meios ativos 
são aqueles que estão alicerçados na tecnologia e que reagem na 
 107Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
identificação e detecção dos riscos. Os meios passivos são estáticos, 
são as barreiras físicas ou mecânicas que têm por finalidade impedir, 
dissuadir e dificultar a concretização dos mesmos. 
Os recursos estratégicos darão uma visão macro do quanto estes po-
dem fazer frente aos riscos, projetando sua eficácia. Estes podem ser 
divididos em três grupos:
11.2.1	Meios	Humanos
Podem ser enquadrados como o pessoal encarregado de cuidar de 
determinados processos, tanto preventivamente como contingencial 
mente com qualificação e formação necessária.
11.2.2	Meios	Técnicos
Surgem em apoio aos meios humanos e têm como finalidade precípua 
realizar a detecção e a intervenção nos eventos.
11.2.3	Organizacionais	
Os procedimentos e normas padronizados e formalizados têm como 
meta coordenar e integrar os meios técnicos e humanos. Os meios 
organizacionais incluem os seguintes planos:
- Plano	de	prevenção: descrição dos sistemas, processos, 
medidas preventivas e a respectiva responsabilidade. 
- Plano	de	emergência: elaborado para prever o que fazer, 
como fazer e quem deve fazer, quando houver a falha do 
plano de prevenção ou, de alguma forma, quando o risco 
concretizar. Trata também de ações e medidas do que fazer 
após o evento ter sido concretizado. 
- Plano	 de	 continuidade	 de	 negócios	 e	 gestão	 de	 crise: 
como sendo o planejamento e a realização de ações que 
têm como objetivo assegurar a continuidade das operações 
dos processos de negócio da empresa, na eventualidade 
de uma indisponibilidade prolongada dos recursos que dão 
 108Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
suporte à realização dessas operações (equipamentos, sis-
temas de informação, instalações, pessoais e informações).
- Plano	de	manutenção: responsável pela implementação da 
fiscalização do funcionamento dos variados sistemas e pro-
cessos implantados.
- Plano	de	auditoria: responsável pelo controle e avaliação 
de todo o sistema, medindo o grau de eficácia, eficiência e 
economicidade. Este plano deve ser elaborado, para men-
surar, de fato e de direito, se o sistema está realmente cum-
prindo com os objetivos propostos. 
A solução, além de sugerir os recursos, estabelece os objetivos quali-
tativos de cada solução. Os objetivos podem ser descritos:
• dETECTAR	 O	 RISCO: significa identificá-lo antes que o 
evento concretize-se, ou seja, basicamente projetar um sis-
tema que atue preventivamente.
• INIBIR	 -	dISSUAdIR	O	AGENTE	AGRESSOR: o agressor 
sente-se psicologicamente impedido de tentar agredir o sis-
tema e/ou processo, pois, a utilização dos variados proces-
sos, provoca sua desistência. 
• IMPEdIR	A	AGRESSÃO: através da implantação de bar-
reiras, sejam elas físicas, eletrônicas, ou organizacionais, 
o agressor não cumpre sua finalidade, sendo detectado e 
desistindo da agressão. 
• RETARdAR	A	AGRESSÃO: quando se implanta uma série 
de barreiras, com o objetivo do agressor deixar rastros e ou 
trilhas, para que desta forma haja condições da gerência de 
riscos reagir à contingência.
• RESPONdER	À	AGRESSÃO: a resposta pode ser tanto a huma-
na, como a vinda da força de reação para combater a contingên-
cia, quanto eletrônica, como o fechamento de portas, elevado-
res, dutos de ar condicionado, entre outros. Com qualquer meio, 
o importante é que a agressão tenha uma resposta efetiva. 
 109Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
a) É imperativo que a solução tenha uma integração efetiva com os 
variados departamentos da empresas. 
A solução fará a integração dos variados subsistemas e processos, 
combinando a tecnologia, a arquitetura do sistema e a área operacional 
da Unidade de Negócio. A integração efetiva destes elementos gerará 
um sistema preventivo, com rápida resposta às ameaças do ambiente
11.3 METODOLOGIA PARA ELABORAR O PLANO DE AÇÃO 
O Plano de Ação deverá ser elaborado utilizando-se a técnica das 
perguntas: 5W e 2 H. 
WHAT WHO WHEN WHERE WHY HOW HOW	MUCH
O QUE? QUEM? QUANDO? ONDE? POR QUE? COMO? QUANTO CUSTA?
Podemos citar como exemplo a as perguntas detalhadas:
-	 WHAT	=	O	QUE	FAzER?	
 Nesta pergunta respondemos quais são as variáveis que 
iremos tratar, quais sistemas integrados iremos implantar. 
Exemplo: treinaremos nossa equipe; implantaremos um sis-
tema de CFTV; e assim por diante. O importante é estar lin-
cado com a Matriz de Vulnerabilidade e SWOT – FOFA.
-	 WHO	=	QUEM	FAzER?	
 Nesta pergunta respondemos quem é o responsável, po-
dendo ser uma pessoa, grupo de pessoas e ou um depar-
tamento. Exemplo: Recursos Humanos, Segurança; João da 
Silva. Esta pergunta é muito importante, pois sem designar 
responsáveis, o plano não terá chance de ser implementado. 
-	 WHEN	=	QUANdO?
 Nesta pergunta respondemos o horizonte temporal que de-
veremos implantar cada variável e ou sistema. Exemplo: até 
31 de agosto de 2008. O ideal é que coloque-se uma data 
 110Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
limite, evitando horizontes temporais sem limite de data, 
como exemplo implantar o sistema de CFTV num prazo de 
seis meses. Este tipo de horizonte é considerado vago. To-
das as variáveis devem ter um horizonte temporal específico. 
-	 WHERE	=	ONdE?
 Nesta pergunta respondemos quais são os departamentos 
e locais da empresa que os sistemas serão implantados. 
Exemplo: Portaria Principal; Acesso da Diretoria; Acesso 
CPD. O importante é deixar claras as áreas específicas, 
com o objetivo do Plano de Ação não se tornar genérico. 
-	 WHY	=	POR	QUE?
 Nesta pergunta respondemos quais são os perigos que es-
tamos mitigando, tendo em vista a implantação das variá-
veis. A pergunta pode suprir mais de um perigo, fazendo 
desta forma a otimização da ação. Exemplo: assalto na em-
presa, sabotagem e fuga de informação. 
-	 HOW	=	COMO?
 Nesta pergunta respondemos de que forma poderemosim-
plantar o sistema. Pode ser em fases ou de uma única vez. 
É importante definir esta questão, pois depende Exemplo: 
O sistema de CFTV será implantado em quatro etapas: pri-
meira abrangendo a área periférica da empresa; a segunda 
portaria; a terceira áreas internas e a quarta as áreas consi-
deradas restritas. 
-	 HOW	MUCH	=	QUANTO	CUSTA?	
 Esta pergunta, para os gestores, é a mais importante. Dará a 
projeção de investimento por sistema e variável a ser implanta-
do. É recomendável que também nesta pergunta tenhamos a 
opção de investimento, se será a vista, a prazo ou se a empresa 
vai optar em realizar um aluguel. Exemplo: o sistema de CFTV 
terá um investimento de US$ 130.000,00, sendo o importante é 
estar lincado com a Matriz de Vulnerabilidade e SWOT – FOFA.
 111Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
O Plano de Ação deverá ser elaborado em formato de planilha (Word e 
ou Excel), de tal forma que possa ser visualizado no seu todo. O con-
trole será executado inserindo um farol com três níveis: 
Preto – não realizado; 
Cinza – realizado;
Cinza Claro – está em execução.
Na figura abaixo um modelo de Plano de Ação. 
Figura 33
 112Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
11.4 FERRAMENTA DE APOIO A 
DECISÃO - PRIORIZAÇÃO DAS AÇÕES
11.4.1	Critérios	
A Ferramenta de Apoio a Decisão – Priorização das Ações tem por ob-
jetivo fazer com que o gestor e ou analista possa de forma mais prática 
e objetiva enxergar, através de critérios pré estabelecidos e plotados 
em uma Matriz, as ações que são prioritárias em termos de benefício. 
Os dois macro critérios são:
1. Esforço de Implementação 
2. Benefício Estimado
ESFORçO	dE	IMPlEMENTAçÃO	
O macro critério Esforço de Implementação é conseguido através da 
média ponderada de três sub critérios, com os seguintes pésos:
Figura	34
O sub-critério Custo significa quanto a empresa vai ter que investir, 
é uma visão financeira. O sub-critério Tempo visa identificar qual o 
horizonte temporal estimado para a real implantação da ação e ou sis-
tema. O sub-critério Autonomia é em termos de nível de aprovação, se 
 113Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
dependerá de uma diretoria ou do próprio departamento. A nota varia 
de 1 a 5, de acordo com o nível de esforço. Quanto maior o esforço 
maior a nota. O grau de Esforço de Implementação é conseguido so-
mando-se as notas de cada sub-critério, e dividindo por 09 (somatório 
dos pesos). A partir daí temos a média ponderada:
	 Custo	+	Tempo	+	Autonomia
Esforço	de	Implementação	=		__________________________
	 9	(soma	dos	pesos	4+3+2)
Grau Impacto ........................................Nível 
4,51 – 5,00 ............................................Insatisfatório
3,51 – 4,50 ............................................Ruim
2,51 – 3,50 ............................................Bom
1,51 – 2,50 ............................................Muito Bom
1,00 - 1,50 .............................................Excelente
BENEFÍCIO	ESTIMAdO	
O macro critério Benefício Estimado é conseguido através da média 
ponderada de três sub critérios, com os seguintes pesos: 
Figura	35
 114Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
O sub-critério Impacto no Contexto significa quanto a ação pode gerar 
de resultado no contexto estabelecido. O sub-critério Probabilidade 
de dar certo é a estimativa da ação ser operacionalizada com suces-
so diante da estrutura e recursos da empresa. O sub-critério Eficácia 
Operacional é a estimativa do quanto a ação pode continuar gerando 
de resultado, após sua implantação. A nota varia de 1 a 5, de acordo 
com o nível de benefício. Quanto maior o benefício maior a nota. O 
grau de Benefício Estimado é conseguido somando-se as notas de 
cada sub-critério, e dividindo por 10 (somatório dos pesos). A partir 
daí temos a média ponderada
	 Impacto	no	Contexto	+	Probabilidade	de		
dar	Certo	+	Eficácia	Operacional
Benefício	Estimado	=	_____________________________________
	 10	(soma	dos	pesos	4+3+3)
Grau Impacto ........................................Nível de Impacto
4,51 – 5,00 ............................................Excelente
3,51 – 4,50 ............................................Muito Bom
2,51 – 3,50 ............................................Bom
1,51 – 2,50 ............................................Regular
1,00 - 1,50 .............................................Insuficiente
11.4.2		Matriz	de	Priorização	de	Ações
O resultado do cruzamento dos dois macro critérios é uma Matriz, com 
três quadrantes, onde temos as priorizações. O quadrante I é onde as 
ações devam ser operacionalizadas; o quadrante II exige reavaliação 
e ou ação a médio prazo, e o quadrante III as ações devem ser descar-
tadas. Abaixo um exemplo da Matriz de Priorização de Ações. 
 115Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
ESFORÇO DE IMPLEMENTAÇÃO
ALTO MÉDIO BAIXO
B
A
IX
A
M
É
D
IA
A
LT
A
B
E
N
E
FÍ
C
IO
 E
S
TI
M
A
D
O
5
47
3 1862
F
ig
u
ra
	3
6
 116Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
F
ig
u
ra
	3
7
 117Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
12. Monitoramento e 
Análise Crítica dos Riscos
O monitoramento e a análise crítica devem ser planejados como parte 
do processo de gestão de riscos e deve envolver a checagem ou vi-
gilância regulares. Podem ser periódicos ou acontecer em resposta a 
um fato específico. 
De forma clara e objetiva o monitoramento envolve dois processos: o 
primeiro é a verificação se o Plano de Ação proposto está sendo exe-
cutado. Para isso devemos utilizar o farol sugerido no Plano de Ação, 
com os indicadores de Executado, em execução e não executado. 
Também deve ser acompanhado os resultados das ações e medidas 
propostas. Devem ser acompanhadas para saber se seus objetivos 
foram atingidos e se não foram quais as dificuldades encontradas e as 
ações corretivas. Este é um processo de monitoração. 
O segundo processo de monitoração diz respeito a evolução das 
condições dos riscos identificados e estudados. Neste caso deve-se 
montar um processo de acompanhamento se as condições listadas 
no diagrama de causa e efeito sofrem mudanças e ou alterações do 
ambiente. Este processo de monitoramento é de suma importância e 
deve ser acompanhado diretamente pelo gestor de riscos. Devemos 
lembrar que este foi o maior erro que o próprio americano assume e 
descreve em seu relatório sobre 11 de setembro de 2001. 
O processo descrito no Projeto ABNT/CEE-63 Projeto 63.000.01-001 de 
agosto de 2009 (páginas 26 e 27), projeto este elaborado pela Comis-
são de Estudo Especial de Gestão de Riscos da ABNT, previsto para 
ser equivalente à ISO 31000, descreve as seguintes finalidades: 
 118Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
- garantir que os controles sejam eficazes e eficientes no pro-
jeto e na operação; 
- obter informações adicionais para melhorar a avaliação 
dos riscos; 
- analisar os eventos (incluindo os quase-incidentes), as 
mudanças, tendências, sucessos e fracassos e aprender 
com eles; 
- detectar mudanças no contexto externo e interno, incluindo 
alterações nos critérios de risco e no próprio risco, as quais 
podem requerer revisão dos tratamentos dos riscos e suas 
prioridades; e 
- identificar os riscos emergentes. 
É responsabilidade direta da alta administração a avaliação contí-
nua da adequação e da eficácia de seu modelo de Gestão de Riscos 
Corporativos.119Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
13. Conclusão
Hoje a gestão de riscos é reconhecida como parte integrante de uma 
boa administração. É um processo interativo composto por etapas, 
que, quando realizada em seqüência, possibilita a melhoria da tomada 
de decisão. 
O Método aqui descrito – Método Brasiliano de Gestão e Análise de 
Riscos - é uma técnica para auxiliar o gestor na priorização do trata-
mento de cada perigo, possibilitando integrar as origens de cada risco 
com seu nível de influência para sua concretização e de resposta aos 
riscos. Auxilia de forma direta na construção da matriz de riscos e a 
matriz de priorização de ações. 
Esperamos que com esta técnica possamos facilitar a tomada de de-
cisão dos responsáveis pela gestão de riscos e auxiliar a implantação 
de medidas reais preventivas. 
 120Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
BiBliografia
ALENCAR, Antonio Juarez e SCHMITZ, Eber Assis. Análise de risco em 
gerência de projetos. Rio de Janeiro: Brasport, 2005.
ADAMS, John. Risco. São Paulo: Editora Senac São Paulo, 2009.
BARALDI, Paulo. Gerenciamento de risco: a gestão de oportunidades, 
a criação de controles internos e a avaliação de riscos nas decisões 
gerenciais. Rio de Janeiro: Elsevier, 004.
BRITO, Osias Santana. Gestão de riscos: uma abordagem orientada a 
riscos operacionais. São Paulo: Saraiva, 2007.
BERNSTEIN, Peter L. Desafio aos Deuses: A fascinante História do 
Risco. Rio de Janeiro: Campus, 1997.
BORGERTH, Vânia Maria da Costa. Sox: entendo a Lei Sarbanes-Ox-
ley: um caminho para a informação transparente. São Paulo: Thomson 
Learning, 2007. 
BRASILIANO, Antonio Celso Ribeiro. Análise de Risco – Método Brasi-
liano. São Paulo: Editora Sicurezza, 2006.
BRASILIANO, Antonio Celso Ribeiro e BLANCO, Lucas. Planejamento Tático 
e Técnico em Segurança Empresarial. São Paulo: Editora Sicurezza, 2003.
BRASILIANO, Antonio Celso Ribeiro. A (IN) Segurança nas Redes Em-
presariais: A fuga involuntária das Informações e a Inteligência Com-
petitiva. São Paulo: Editora Sicurezza, 2003.
BRASILIANO, Antonio Celso Ribeiro. Manual de Análise de Riscos 
para a Segurança Empresarial. São Paulo: Editora Sicurezza, 2003.
BRASILIANO, Antonio Celso Ribeiro. Manual de Planejamento: Gestão 
de Riscos Corporativos. São Paulo: Editora Sicurezza, 2003.
BRASILIANO, Antonio Celso Ribeiro. Planejamento da Segurança Em-
presarial. São Paulo: Editora Sicurezza e Cia. das Artes, 1999.
 121Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
BRASILIANO, Antonio Celso Ribeiro & RAPOSO, Heckel. Seqüestro 
Como se Defender. Rio de Janeiro: Forense, 1997.
BRASILIANO, Antonio Celso Ribeiro. Metodologia para Elaborar Cená-
rios Prospectivos em Riscos Corporativos – Revista Proteger, número 
41, nov/dez 2002. 
BRASILIANO, Antonio Celso Ribeiro. Metodologia para a Identifi-
cação de Riscos Estratégicos, Revista Proteger, número 45, abril/
maio 2004. 
BRASILIANO, Antonio Celso Ribeiro.Transformando Informações em 
Inteligência, através da Análise, Revista Proteger, número 48, janeiro /
fevereiro 2005.
BRASILIANO, Antonio Celso Ribeiro. Entendendo o Crime Organizado 
no Brasil, Revista Proteger, número 53, junho/julho 2006.
CERQUEIRA, Jorge Pedreira De e MARTINS, Márcia Copello. Auditoria 
de sistemas de gestão: ISO 9001, ISO 14001, OHSAS 18001, ISO/IEC 
17025, SA8000, ISSO 19011:2002. Rio de Janeiro: Qualitymark, 2004.
CICCO, Francesco De e FANTAZZINI, Mario Luiz. Série Risk Manage-
ment – Tecnologias Consagradas de Gestão de Riscos. Coleção Risk 
Tecnologia, 2003.
CICCO, Francesco De. Série Risk Management - Gestão de Riscos 
AS/NZS 4360: A primeira norma de âmbito mundial sobre sistemas de 
gestão de riscos. Coleção Risk 
COCURULLO, Antonio. Gestão de Riscos Corporativos. São Paulo. 
Scortecci Editora, 2002.
COIMBRA, Fábio. Riscos operacionais: estrutura para gestão em ban-
cos. São Paulo: Saint Paul Editora, 2007.
DAMODARAN, Aswath. Gestão estratégica do risco: uma referência 
para a tomada de riscos empresariais. Porto Alegre: Bookman, 2009.
DIAS, Sergio Vidal dos Santos. Auditoria de processos organizacio-
nais: Teoria, finalidade, metodologia de trabalho e resultados espera-
dos. São Paulo: Atlas, 2006.
FELDMAN, Liliane Bauer. Gestão de Risco e Segurança Hospitalar. 
São Paulo: Martinari, 2008.
 122Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
KIM, W. Chan e MAUBORGNE, Renée. A Estratégia do Oceano Azul: 
Como citar novos mercados e tornar a concorrência irrelevante. Edito-
ra Campus, 2005.
MARSHALL, Christopher. Medindo e Gerenciando Riscos Operacio-
nais em Instituições Financeiras. Rio de Janeiro: Quality Mark, 2001. 
MANZI, Vanessa Alessi. Compliance no Brasil: Consolidação e pers-
pectivas. São Paulo: Saint Paul Editora, 2008. 
MIGLIAVACCA, Paulo Noberto. Controles Internos nas Organizações. 
São Paulo: Edicta, 2004.
PADOVEZE, Clóvis Luis e BERTOLUCCI, Ricardo Galinari. Gerencia-
mento do risco corporativo em controladoria - Enterprise Risk Manage-
ment (ERM). São Paulo: Cengage Learning, 2008.
SALLES JÚNIOR, Carlos Alberto Corrêa. Gerenciamento de riscos em 
projetos. Rio de Janeiro: Editora FGV, 2007.
SLYWOTZKY, Adrian J. e WEBER, Karl. Do risco à oportunidade: As 7 
estratégias para transformar ameaças em fatores de crescimento. Rio 
de Janeiro: Elservier, 2007.
Normas	
ABNT ISO/IEC Guia 73:2005. Gestão de Riscos – Vocabulário – Reco-
mendações para uso em normas. (www.abnt.org.br)
ABNT NBR 15999-1:2007. Gestão de continuidade de negócios – Parte 
1: Código de prático. (www.abnt.org.br).
ABNT NBR ISO/IEC 27001. Tecnologia da Informação – Técnicas de 
Segurança – Sistemas de Gestão de Segurança da Informação - Re-
quisitos. (www.abnt.org.br)
IBGC – INSTITUTO BRASILEIRO DE GESTÃO DE RISCOS CORPORA-
TIVOS. Guia de Orientação para Gerenciamento de Riscos Corporati-
vos (www.ibgc.org.br).
QSP CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE. Sé-
rie Risk Management - Auditoria Baseada em Riscos - Como imple-
mentar a ABR nas organizações: uma abordagem inovadora. (www.
qsp.org.br)
 123Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
QSP CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE. Sé-
rie Risk Management - Gestão de Riscos - Diretrizes para a implemen-
tação da AS/NZS 4360:2004. (www.qsp.org.br)
QSP CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE. Sé-
rie Risk Management - Gestão de Riscos - A norma AS/NZS 4360:2004. 
(www.qsp.org.br)
QSP CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE. 
Série Risk Management – Programas de Compliance – A norma AS 
3806:2006. (www.qsp.org.br)
QSP CENTRO DA QUALIDADE, SEGURANÇA E PRODUTIVIDADE. Co-
leção Risk Tecnologia – A Norma BS 8900 – Diretrizes para a Gestão 
do Desenvolvimento Sustentável. (www.qsp.org.br)
AS/NZS 4360-2004. Risk Management (Australia Standards New Zea-
land – Risk Management) 
FERMA 2003 – Norma de Gestão de Riscos (Federation of European 
Risk Management Associations)
COSO – Gerenciamento de Riscos Corporativos – Estrutura Integra-
da.(www.coso.org/Publications/erm/COSO_ERM_ExecutiveSumma-
ry_Portuguese.pdf)
STANDARDS AUSTRALIA / STANDARDS NEW ZEALAND. HB 203:2006 
- Environmental Risk Management – Principles and process.
STANDARDS AUSTRALIA. HB 292:2006 – A Practitioners Guide to Bu-
siness Continuity Management. 
STANDARDS AUSTRALIA. HB 254:2005 - Governance, Risk Manage-
ment and Control Assurance.
STANDARDS AUSTRALIA / STANDARDS NEW ZEALAND. HB 221:2004 
- Business Continuity Management.
 124Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
SoBre o autor 
Antonio	Celso	Ribeiro	Brasiliano
Doutor em Science et Ingénierie de L’Information et de L’Intelligence 
Stratégique ( Ciência e Engenhariada Informação e Inteligência Es-
tratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris 
– França; Master Degree - Diplome D´Etudes Approfondies (DEA) en 
Information Scientifique et Technique Veille Technologique (Inteligên-
cia Competitiva) pela UNIVERSITE TOULON – Toulon - França; Espe-
cializado em: Inteligência Competitiva pela Universidade Federal do 
Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacio-
nal – Universidad Comillas – Espanha; Segurança Empresarial pela 
Universidad Pontifícia Comillas de Madrid – Espanha; Planejamento 
Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currí-
culos pelo Centro de Estudos de Pessoal do Exército - CEP, Bacharel 
em Ciências Militares, graduado pela Academia Militar das Agulhas 
Negras; Bacharel em Administração de Empresas; Certificado como 
Especialista em Segurança Empresarial – CES pela Associação Bra-
sileira de Segurança Orgânica – ABSO; Autor dos livros:”Análise de 
Risco Corporativo – Método Brasiliano”; “Manual de Análise de Ris-
co Para a Segurança Empresarial”; “Manual de Planejamento: Gestão 
de Riscos Corporativos”; “A (IN)Segurança nas Redes Empresarias: A 
Inteligência Competitiva e a Fuga Involuntária das Informações”; “Pla-
nejamento da Segurança Empresarial: Metodologia e Implantação”; 
Co-Autor dos Livros: “Manual de Planejamento Tático e Técnico em 
Segurança Empresarial”; “Segurança de Executivos” - Noções Anti-Se-
qüestro e Seqüestro: Como se Defender; Atual Coordenador Técnico 
e Professor de Cursos: Especialização (MBA): Gestão em Segurança 
Empresarial, Cursos de Extensão e o Avançado em Segurança Empre-
 125Gestão e AnAlise de Riscos coRpoRAtivos: Método BRAsiliAno AvAnçAdo
sarial, ambos em convênio com a Faculdade de Engenharia de São 
Paulo – FESP – SP e Faculdade de Administração de São Paulo – FAPI 
- SP; Membro do Institute of Internal Auditors IIA; do Instituto dos Audi-
tores Internos do Brasil – AUDIBRA; Membro e Diretor de Planejamento 
Estratégico da Associação Brasileira dos Profissionais de Segurança 
Orgânica – ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresa-
rial 2003 – Contrato pela PENUD/ONU/SENASP; Diretor Executivo da 
BRASILIANO & ASSOCIADOS. 
Editora Sicurezza
trazendo a informação
Confira outras publicações da coleção!!
www.sicurezzaeditora.com.br
Coleção Cenários Prospectivo
•	 A	Importância	da	Comunicação	de	Risco	para	as	Organizações
•	 Cenários	Prospectivos	em	Gestão	de	Riscos	Corporativos:	um	Estudo	de	Caso	Brasileiro
•	 Gestão	da	Continuidade	de	Negócios	e	a	Comunicação	em	Momentos	de	Crise
Coleção Consultoria e Gestão
•	 Gestão	Estratégica	do	Sistema	de	Segurança.	Conceitos,	Teorias,	Processos	e	Prática
•	 Guia	Prático	para	Elaboração	de	Fluxograma
Coleção Gestão de Riscos
•	 Gestão	de	Risco	Operacional	em	Shopping	Center	a	Segurança	que	o	Cliente	não	vê
•	 Gestão	de	Riscos	Operacionais	para	um	Sistema	de	Abastecimento	de	Água
•	 Gestão	de	Risco	Positivo
•	 Gestão	e	Análise	ee	Riscos	CorporaTivos:	Método	BraSiliano	Avançado
Coleção Segurança da Informação
•	 O	Valor	Probatório	do	Documento	Eletrônico
Coleção Segurança Empresarial
•	 Dicas	e	Macetes	do	Gestor	de	Segurança	
•	 Processos	e	Métodos	em:	Prevenção	de	Perdas	e	Segurança	Empresarial
Coleção Segurança Pessoal
•	 Guia	de	Procedimentos	Segurança	Pessoal	
•	 Dicas	de	Segurança
•	 Guia	Prático	do	Agente	de	Segurança
Coleção Segurança Pública
•	 As	Formas	do	Crime
•	 A	Questão	da	Segurança	Privada
•	 Corrupção:	um	Efeito	Sobre	a	Taxa	de	Juros
Coleção Tecnologia da Segurança
•	 Controle	de	Acesso:	Conceitos,	Tecnologias	e	Benefícios
Gestão e Análise de 
 Riscos coRpoRAtivos:
método bRAsiliAno AvAnçAdo
Este novo livro do Professor Brasiliano 
aborda de forma objetiva um framework 
para que as empresas possam implantar 
um processo de Gestão de Riscos Corpo-
rativos – GRC. O livro descreve o Método 
Brasiliano de Gestão de Análise de Ris-
cos, já alinhado com as diretrizes da ISO 
31000. O método conceitua o que é ris-
co, como identificar os fatores de riscos, 
como estimar a probabilidade e as conse-
qüências dos riscos, sugere uma matriz 
de riscos como ferramenta de gestão, e 
descreve também um processo de ela-
boração de plano de ação e de monitora-
mento dos riscos. Este processo faz com 
que as empresas possam, de forma muito 
prática e objetiva, implantar o processo 
de gestão de riscos de forma descentra-
lizada, fazendo com que haja uma maior 
disseminação da metodologia e dos crité-
rios a serem operacionalizados. 
Esta obra cabe com precisão nos proje-
tos a serem implementados de gestão 
de riscos corporativos proporcionando a 
velocidade necessária que, atualmente, 
os gestores necessitam. A metodologia 
desenvolvida pelo professor Brasiliano, 
hoje já implantada em inúmeras em-
presas no Brasil e também no exterior, 
mostrou ser eficiente e de rápido enten-
dimento com alto nível de assertividade. 
Leitura recomendada para Presidentes 
de Empresas, CEO, CFO, Gestores de 
Riscos Corporativos, executivos respon-
sáveis pela área de gestão de riscos, 
auditores internos e externos, gestores 
da segurança empresarial, consultores 
em sistemas de gerenciamento de riscos 
para implantação de controles internos e 
de sistemas de informação de gerencia-
mento de risco corporativo.
 Enza Cirelli 
Diretora de Treinamento da Brasiliano & Associados