ESTRATÉGIA DE GESTÃO DE RISCOS

Processo de gestão de riscos

O ciclo de gestão de riscos

a gestão de riscos envolve três elementos chave: identificação de riscos, análise de riscos e risco
mitigação. A ISO 31000 observa que: As organizações gerenciam riscos antecipando, entendendo e
tentando controlá-lo. Através deste processo, eles se comunicam e consultam as partes interessadas e
monitorar e revisar o risco e os controles que estão modificando o risco.

o ‘ciclo de risco’ (ou ‘ciclo de gestão de risco’) é uma expressão do processo contínuo de risco
monitoramento e gestão, retratados como um ciclo.

Identificar

Fonte de
risco Avaliar

Probabilidade e
impacto do potencial
risco
monitorar

Formular

gestão de riscos
implementar estratégias

gestão de riscos

Alocar

Responsabilidades e recursos
para gerenciar os riscos identificados
 identificação de riscos - o processo de buscar identificar problemas potenciais ou áreas de
incerteza
Avaliação de risco - a apreciação da probabilidade e significância dos potenciais identificados
eventos de risco, ou seja, qual é a probabilidade e quão grave poderia ser? isso geralmente é quantificado usando

fórmula básica: Risco = probabilidade(likely) X impacto(consequência adversa)

Gestão de Riscos e Estratégias de Mitigação

Mitigação de riscos - significa reduzir o impacto adverso de eventos de risco. O objetivo do risco
mitigações para reduzir o risco inerente, a um nível em que o risco residual avaliado seja aceitável para
a organização

Identificar e quantificar a vulnerabilidade permite que uma organização priorize o planejamento e

recursos para enfrentar os riscos mais severos e estabelecer limites de risco definidos nos quais a gestão
Uma ação sobre um problema será acionada.

As estratégias de gestão de riscos são frequentemente classificadas como quatro Ts

Tolerar-(aceitar) o risco: se a probabilidade ou impacto do risco avaliado for insignificante (ou

não há uma maneira viável de reduzir o risco), nenhuma ação adicional pode, por enquanto, ser
exigido, ou, justificado (com base em custo-benefício ou caso de negócio). o risco pode simplesmente ser
reconhecido e registrado ou pode ser sinalizado para monitoramento e reavalição periódica
avaliação, caso a probabilidade ou impacto ou o risco escale para o limite definido
para exposição aceitável. Em ambos os casos, a justificativa para a aceitação do risco deve ser claramente

documentado. A tolerância pode ser uma resposta adequada para risco de baixo nível, dado os concorrentes

demandas por recursos.

 Transferir (ou espalhar) o risco: por exemplo, contratando uma cobertura de seguro, ou não colocando toda a oferta
todos os ovos em uma cesta (em outras palavras, evitando a dupla ou múltipla fonte) - ou usando

termos contratuais para garantir que os custos de eventos de risco serão suportados (ou compartilhados com)
parceiros da cadeia de suprimentos (por exemplo, esclarecendo a responsabilidade por riscos em todas as etapas do contrato,

usando cláusulas de danos liquidados, insistindo em seguros de fornecedores ou compartilhando

responsabilidade pela monitorização de riscos como parte do processo de gestão de contratos. Risco

a transferência reduz a exposição da organização, mas ao custo de seguro, possível perda de

economias de escala (a partir da desagregação) e possível dano à cadeia de suprimentos
relacionamento
Evite (elimine) o risco - se o risco estiver associado a uma decisão específica do projetor
é demasiado grande e não pode ser reduzido, a organização pode considerar não investir ou
engajando-se na atividade ou oportunidade. então, por exemplo, a decisão de terceirizar um núcleo
funcionar ou entrar em um mercado externo politicamente instável pode ser 'deferido' como muito arriscado.

A rescisão evita riscos inaceitáveis - mas nem sempre é possível. Além disso, pode haver
ser perda de oportunidades e sinergias de portfólio
Tratar - (Mitigar, minimizar ou controlar) o risco: tomar medidas ativas para gerenciar o risco em
de tal maneira a reduzir ou minimizar a sua probabilidade ou impacto potencial, ou ambos. em
em relação ao risco de fornecimento, isso pode envolver medidas como: monitoramento de fornecedores e

gestão de desempenho
O planejamento de recuperação, etc., a mitigação de riscos é projetada para criar um nível aceitável de residual.

risco, embora também incorra no custo de medidas de mitigação e possa aumentar a possibilidade
de risco secundário (decorrente de medidas de mitigação)

Tratar ou mitigar risco é frequentemente explicado em termos da aplicação de controles

Os controles preventivos são projetados para limitar a possibilidade de um resultado negativo.

realizado. Exemplos poderiam incluir a separação de funções, supervisão, a exigência por
aprovação e autorizações ou gestão proativa de problemas no campo da reputação
gestão
controles direitivos são projetados para garantir que o resultado desejado seja alcançado, por exemplo.
regulamentações de saúde e segurança, políticas éticas de fornecedores e monitoramento, treinamento de funcionários, o

fornecimento de equipamentos de proteção, o uso de procedimentos de e-procurement

 Os controles de detecção são projetados para identificar quando um evento de risco indesejado ocorreu.

ocorreram. Eles geralmente farão parte do monitoramento, revisão do projeto, auditoria ou relatórios.

processos, como avaliação de fornecedores, revisões de projetos, relatórios de acidentes, clientes e

pesquisas de atitude dos fornecedores etc.

Os controles corretivos são projetados para mitigar o efeito de resultados indesejáveis uma vez que

eles ocorreram. Exemplos incluem recursos legais ou contratuais para violação de

contrato, cláusulas de perdas liquidadas, seguros, gestão de crises e desastres
planos de recuperação etc. seguros e danos são basicamente projetados para restaurar o
organização na mesma situação financeira em que estaria se a perda não tivesse ocorrido
ocorreu.

MONITORAMENTO, RELATÓRIO E REVISÃO DE RISCO.

Um proprietário de risco deve ser nomeado para cada risco identificado, com o objetivo de monitorar o risco.

situação, atualizando o registro de riscos e informando a equipe de gerenciamento de riscos regularmente.

O monitoramento, a relatória e a revisão são partes importantes da gestão de riscos, com o objetivo de;

verificar se o perfil de risco ou a exposição da organização está mudando e identificar

riscos contratuais ou relacionados a relacionamentos que estão surgindo ou se escalando

dar garantia de que os processos de gestão de riscos da organização são eficazes, por
demonstrando a evitação ou mitigação eficaz de riscos
indique onde o processo de gestão de riscos contratuais precisa de melhorias ou onde lições
pode ser aprendido a partir de incidentes críticos e problemas contratuais.

O processo de revisão deve;

garantir que todos os aspectos do processo de gestão de risco sejam revisados pelo menos uma vez por ano

assegure-se de que os riscos em si sejam submetidos a revisão com a frequência apropriada (com
provisão apropriada para a revisão dos riscos pela própria gestão e para a revisão independente
ou auditoria)
 Faça provisões para alertar o nível apropriado de gestão sobre novos riscos ou para
mudanças em riscos já identificados, para que a mudança possa ser tratada de forma adequada.

A revisão pode usar uma série de ferramentas e técnicas

o papel do indivíduo, de grupos de trabalho e de equipes de projeto deve incluir a autoavaliação sobre
de forma contínua e por meio de revisões regulares, auditorias e relatórios, incluindo análise SWOT,
avaliações de fornecedores, avaliações de desempenho de funcionários, sistemas de garantia de qualidade, etc.

A autoavaliação de riscos (RSA) ou avaliação de controle e riscos (CRSA) são controles internos
pelo qual cada área da organização revisa suas próprias atividades usando um
estrutura documentada ou abordagem estruturada de workshop. A RSA permite que os proprietários de risco

demonstrar e desenvolver seu envolvimento no processo de risco e sua compreensão de

questões de gestão de riscos

relatórios departamentais ou relatórios de supervisão exigem que os gerentes relatem para cima
sobre o status atual do risco em suas áreas e sobre o trabalho que eles têm feito para manter o risco
e procedimentos de controle atualizados em suas respectivas áreas
a função de auditoria interna fornece um relatório importante, quase independente e objetivo
sobre a adequação da gestão de riscos

ESTRATÉGIA DE GESTÃO DE RISCO

A frase estratégia de gerenciamento de riscos pode ser usada de duas maneiras diferentes para se referir a;

A formulação de uma abordagem ou plano escolhido para lidar com os riscos identificados. Nesse sentido,
gerentes de risco e equipes em todos os níveis formularão estratégias de gerenciamento de riscos, usando o

ciclo de gestão de riscos e seleção do mais apropriado entre as várias mitigação de riscos
opções (4 Ts)
a formulação de uma estratégia corporativa (em toda a organização), de longo prazo e proativa
estrutura para gerenciar riscos nas organizações e sua cadeia de suprimentos, incluindo
responsabilidades e estruturas de governança; políticas de risco e tolerância; gestão de riscos
processos, procedimentos e planos para reforçar esses arranjos por meio da criação
de uma cultura ciente dos riscos, alinhada com a apetência de risco da organização
A abordagem integrada de nível estratégico para a gestão de riscos envolve os seguintes elementos

gestão integrada de todo o espectro de riscos de uma organização

lidando com o risco como uma questão estratégica, a partir de uma perspectiva corporativa de alto nível

reconhecendo que o sucesso estratégico geralmente depende de assumir riscos

envolvendo todas as funções e níveis de gestão na linha no processo
ligando os 'silos' tradicionais ou disciplinas de risco (por exemplo, financeiros, estratégicos, suprimentos, saúde

e segurança, tecnologia, informação e risco reputacional

A estratégia de gerenciamento de riscos compreende o processo que será implementado para identificar, avaliar,
gerenciar, revisar e relatar sobre o risco organizacional. No entanto, a estratégia deve ir além de
a mecânica da gestão de riscos: deve ter como objetivo incorporar os princípios e valores do risco
conscientização e gestão de riscos em toda a organização e cultura organizacional.
Processo genérico de estratégia de risco

apetite por risco

2. intenções estratégicas

3. política de risco

4. estratégia de gestão de riscos

5. estrutura organizacional
 1. apetite de risco - envolve as expectativas dos acionistas e das partes interessadas na cultura

empreendor
competição, inovação, oportunidades
2. Intenção estratégica - visão ou missão. Valores e princípios chave (inovação?)
responsabilidade
3. política de risco - identificando como as ameaças potenciais podem ser reduzidas a um nível compatível com

apetite de risco da organização; demandas de mercado e objetivos estratégicos e relevantes

orientação e exigência legal
4. estratégia de gerenciamento de riscos - mix de gerenciamento de riscos 4 (ts) ou seja, terminar, transferir, tolerar

e tratar
5. estrutura organizacional - responsabilidades (propriedade de risco, defesa); fóruns para
discussão, compartilhamento de informações; documentação de risco; relatório de eventos de risco, revisão e

aprendizado; monitoramento e revisão dos sistemas de gerenciamento de riscos

Estrutura de governança para Gestão de Riscos

A liderança estratégica é crucial para uma gestão eficaz de riscos. Em particular, há uma alocação clara
de responsabilidade pela gestão de riscos (expresso em uma estrutura de governança), a fim de evitar
exposição ao risco adicional de riscos não gerenciados causando danos ou perdas que poderiam de outra forma ser

evitado, antecipado ou mitigado.

O desenvolvimento de uma estratégia de gestão de riscos coerente, com o conselho de administração assumindo

responsabilidade última pela estrutura de governança e controles internos, garante que a estratégia
o suporte será mantido. o conselho tem um papel fundamental na gestão do risco,
incluindo:

recebimento de opinião anual dos auditores externos e/ou do comitê de auditoria interna,
incluindo uma revisão do processo de gerenciamento de riscos e controle interno
Consideração de questões de risco como elas afetam o planejamento estratégico, a elaboração de políticas e o conselho.

decisões de nível.
revisar periodicamente os riscos como parte do monitoramento dos planos operacionais anuais
Um oficial de contabilidade pode ser nomeado pelo conselho como a pessoa responsável pelos
gestão de risco.

desenvolvimento de uma consciência e compreensão atualizadas dos riscos que poderiam prevenir o

entrega de objetivos corporativos

garantindo que a organização tenha processos e controles de gestão de riscos eficazes em
local
buscando garantir que os processos e controles de risco estão sendo geridos de forma eficaz e
implementado

CULTURA DE GESTÃO DE RISCO

AS/NZS 4360 define gestão de riscos como a cultura, processos e estruturas que são direcionados
em direção à realização de oportunidades potenciais enquanto gerencia consequências adversas. Esta definição
incorpora a conscientização sobre riscos e um apetite de risco apropriado, em toda a organização e não apenas em

termos de políticas e procedimentos, mas no nível de valores fundamentais, atitudes e normas comportamentais

A cransfield school of management identifica 4 variáveis-chave que promovem o sucesso na cadeia de suprimentos

gestão de vulnerabilidades, gestão de continuidade e resiliência

consciência de risco entre a alta administração

consciência de risco como parte integrante da gestão da cadeia de suprimentos

um entendimento por parte de cada funcionário de seu papel na conscientização sobre riscos

uma compreensão de que mudanças nas estratégias de negócios alteram os perfis da cadeia de suprimentos

Criando a cultura de risco desejada

Culturas que são avessas ao risco e disfuncionais (talvez porque a cultura não tenha conseguido se adaptar a
o perfil de risco em mudança da organização) pode ser alterado. As principais ferramentas da mudança cultural

inclua o seguinte

expressão e modelagem consistentes de novos valores por líderes sêniores da gestão e

influenciadores
 mudando valores e crenças subjacentes, por meio de comunicação, educação e
envolvimento dos funcionários na discussão sobre a necessidade de novas ideias e comportamentos: disseminação

novos valores e crenças e encorajando os funcionários a aceitá-los (t e reforçando o

mudança através de recompensas e reconhecimento

incorporando atitudes e comportamentos desejados em políticas, procedimentos, regras, sistemas,

comunicações com funcionários, estilos de gestão etc. para que se tornem parte da rotina
e são apoiados por todas as informações, recursos e controles necessários
usando mecanismos de gestão de recursos humanos para reforçar as mudanças: tornando o
novos valores e critérios de comportamento para recrutamento e seleção, avaliação de funcionários e

recompensas

Recurso para gestão de risco

Os recursos alocados para a gestão de riscos refletirão o setor empresarial da organização.

opera em, a natureza de suas vulnerabilidades e a extensão de sua exposição. Operações como
linhas aéreas, manufatura, extração e cuidados de saúde podem ter um orçamento alto para gestão de riscos, pois

exemplo da necessidade de cumprir com as regulamentações de saúde e segurança. Organizações que têm
tempo e dinheiro investidos na criação de marcas corporativas de alto perfil também alocarão
recursos para a gestão do risco reputacional. Organizações que são altamente dependentes de
As TIC e os sistemas de conhecimento reconhecerão a necessidade de investir em garantia da informação, etc.

Recursos

os recursos de informação - o julgamento de risco deve ser baseado em informações sólidas e isso

exigir um sistema robusto de informações gerenciais (MIS) interno e externo que possa
fornecer dados apropriados e oportunos em formatos adequados. análise ambiental,
a cadeia de suprimentos e a rede de indústrias e benchmarking podem precisar ser configuradas. Risco

um banco de dados e registro podem precisar ser desenvolvidos para começar a construir um risco acessível robusto

compartilhamento de informações e conhecimento. Os recursos de informação incluem; registros internos e

bancos de dados; SIG; DDS etc.

Recursos humanos - a implementação da gestão de riscos requer a alocação de

tempo gerencial e da equipe para identificação, avaliação e atividades de mitigação de riscos. Isto
pode simplesmente estar incorporado nas cargas de trabalho do dia a dia (por exemplo, reuniões de equipe), mas no dia a dia
 cargas de trabalho, mas também pode exigir responsabilidades adicionais, com foco em riscos adicionais

atividades ou camadas adicionais de gestão. os recursos humanos para gestão de riscos incluem:
entrada gerencial, equipe treinada e ciente e comitês de risco e equipes de auditoria
o desenvolvimento de infraestrutura pode ser necessário para novas iniciativas de gerenciamento de riscos,

incluindo o desenvolvimento de sistemas de gestão e informações sobre riscos, modelos,

estruturas de comitê e governança
recursos tecnológicos para apoiar a gestão de riscos podem incluir: gestão de riscos
sistemas de informação, sistemas automatizados de monitoramento e relatórios de risco e tecnologia
medidas de mitigação de risco baseadas

recursos de tempo - incluir a adequada alocação de tempo gerencial e da equipe para risco
atividades de gestão e também agendamento eficaz e gestão do tempo
recursos físicos - inclui instalações seguras e bem mantidas, plantas, maquinários e
veículos, equipamentos de proteção e segurança; instalações de armazenamento seguras e protegidas para

substâncias perigosas e níveis de estoque gerenciados por demanda, etc.

Os recursos financeiros para a gestão de riscos incluem a provisão orçamentária adequada para custos.
de informações, tempo gerencial e da equipe, medidas de mitigação e custos de prosseguimento
oportunidades investimentos, inovação, desenvolvimento de produtos etc