Guia Rápido GRC Sigari 2.0 Rev.01

GERENCIAMENTO DE RISCOS:
Controle estratégico para um processo decisório eficiente
Leôncio Araújo Oliveira, MsC

Elaborado em 14/12/2017
Revisão 00
GERENCIAMENTO DE RISCOS: controle

estratégico para um processo decisório eficiente.
Guia rápido para elaborar e manter um gerenciamento de riscos corporativos em qualquer
organização
Esse guia é um manual de utilização para ajudar a elaborar um gerenciamento de riscos corporativos na sua organização
utilizando a planilha GRC SIGARI 2.0 como ferramenta de auxílio na obtenção de informações na priorização de ações
estratégicas.
0/16
SUMÁRIO
INTRODUÇÃO .............................................................................................................................................................................................................................................. 3
1 RISCOS ...................................................................................................................................................................................................................................................... 4
1.1 O que é risco? .................................................................................................................................................................................................................................... 4
1.2 Como os riscos podem ser gerenciados? .......................................................................................................................................................................................... 4
1.3 Por que a gestão de riscos é importante? ......................................................................................................................................................................................... 5
2 PROCESSO DE GESTÃO DE RISCOS ........................................................................................................................................................................................................... 6
2.1 Identificação ...................................................................................................................................................................................................................................... 6
2.2 Análise ............................................................................................................................................................................................................................................... 6
2.3 Avaliação............................................................................................................................................................................................................................................ 9
2.4 Tratamento (controle) ....................................................................................................................................................................................................................... 9
2.5 Monitoramento ............................................................................................................................................................................................................................... 11
3 PREPARAÇÃO DA EQUIPE ...................................................................................................................................................................................................................... 12
3.1 Brainstorming .................................................................................................................................................................................................................................. 12
3.2 Tamanho do grupo .......................................................................................................................................................................................................................... 12
3.3 Preparação de Informações ............................................................................................................................................................................................................ 13
3.4 Regras para um Brainstorming produtivo ....................................................................................................................................................................................... 13
4 DINÂMICA DE PREENCHIMENTO ........................................................................................................................................................................................................... 14
4.1 Planilha 1 - Home............................................................................................................................................................................................................................. 14
4.2 Planilha 2 - Identificação ................................................................................................................................................................................................................. 16
4.2.1 Categorias de riscos .................................................................................................................................................................................................................. 16
4.3 Planilha 3 - Análise........................................................................................................................................................................................................................... 19
4.4 Planilha 4 - Matriz (antes)................................................................................................................................................................................................................ 20
1/16
4.5 Planilha 5 – Avaliação ...................................................................................................................................................................................................................... 21
4.6 Planilha 6 - Tratamento ................................................................................................................................................................................................................... 22
4.7 Planilha 7 - Matriz (depois) .............................................................................................................................................................................................................. 23
REFERÊNCIAS ............................................................................................................................................................................................................................................. 24
2/16
INTRODUÇÃO
O que leva as pessoas a escalar o Monte Everest e pular de paraquedas? Por que as pessoas tendem a ter mais medo de voar do que de dirigir,
embora o risco de acidentes automobilísticos seja muito maior que o de acidentes aéreos? Por que algumas pessoas utilizam a passarela para
atravessar a rua e outras não? Não existem respostas simples para essas perguntas, mas todas têm algo em comum – o risco. O risco é uma função
tanto da caracterização empírica de risco – geralmente definido como o produto da probabilidade e da magnitude da ocorrência de algum evento –
como dos contextos culturais, sociais e políticos que afetam as reações e percepções das pessoas diante de eventos incertos. Como o serviço público
desempenha papel crucial na tomada de decisões que envolvem riscos, é essencial que os servidores estejam preparados para gerenciá-los
eficazmente.
A planilha GRC SIGARI 2.0 foi criada com a intenção de facilitar o processo de gerenciamento de riscos por parte do gestor. A base utilizada foi a
norma ABNT NBR ISO 31000:2009 - Gestão de riscos - Princípios e Diretrizes, apesar de haver outras metodologias para tal atividade. O
gerenciamento consiste em identificar os riscos, analisar os riscos, avaliar os riscos e tratar os riscos, que fazem parte do processo de avaliação de
riscos da referida norma.
3/16
1RISCOS
1.1 O que é risco?
Risco é “a expressão da probabilidade e do impacto de um evento que possa, potencialmente, afetar a consecução dos objetivos de uma
organização” (TBS, 2001). Risco, nesse sentido, é a probabilidade de ocorrência de um evento futuro – positivo (ganhar na loteria) ou negativo. No
entanto, o aspecto negativo do risco (por exemplo, morrer, perder dinheiro, passar por situações embaraçosas) tende a ser o mais proeminente e a
definição da NBR ISO 31000 reflete essa realidade: risco é “efeito da incerteza nos objetivos" (ABNT 31000, 2009).
DICA IMPORTANTE:
Um efeito de um risco é um desvio em relação ao
esperado que poderá ser positivo ou negativo.
Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes
níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo). O risco é muitas vezes caracterizado pela referência aos
eventos potenciais e às consequências, ou uma combinação destes. A incerteza é o estado, mesmo que parcial, da deficiência das informações
relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade.
1.2 Como os riscos podem ser gerenciados?
Todos nós lidamos rotineiramente com riscos em nossas vidas pessoaise profissionais; no entanto, a gestão de riscos exige que ultrapassemosas
decisões intuitivas e implícitas sobre riscos e adotemos uma abordagemativa, sistemática, holística e integrada. Riscos podem ser
gerenciadosmudando-se tanto a natureza de suas consequências como a probabilidade deque determinada consequência ocorra. Para tanto, é
necessário que saibamosadministrar a atividade ou a situação que gera o risco. Considere, por exemplo,esquiar na neve como problema de gestão
de riscos pessoais. A atividadetem aspectos tanto positivos (por exemplo, a satisfação e a excitação deesquiar) como negativos (por exemplo, o
potencial de gerar lesões ouacidentes). Podemos tomar decisões que reduzam a probabilidade de ocorreremacidentes (por exemplo, esquiar
somente em pistas claramente designadaspara o seu nível de habilidade) ou a severidade de um possível acidente(por exemplo, usando
equipamentos de proteção adequados).
No setor público, uma preocupação central na gestão de riscos é odever de cuidar do bem público – os riscos sempre devem ser
4/16
gerenciadosmantendo-se, em primeiro plano, o interesse público. Nesse contexto, adecisão sobre como a distribuição dos benefícios e das perdas
potenciaisdeve ser equacionada é aspecto importante da gestão de riscos.
1.3Por que a gestão de riscos é importante?
 Ela ajuda a evitar eventos indesejáveis
A gestão eficaz de riscos reduz a probabilidade e a severidade deeventos indesejáveis. Podemos evitar eventos indesejáveis ou negativosprevendo
sistematicamente os riscos, avaliando a sua importância, gerenciandosuas consequências e aprendendo enquanto atravessamos esse ciclo.
 Ela abre oportunidades para inovação
Proteger-se contra todos os riscos é impossível, porque qualqueroportunidade invariavelmente acarreta riscos. Assumirriscos é uma precondição
essencial para o desenvolvimento humano; separássemos de assumir riscos, inovações técnicas e sociais necessárias parasolucionar muitos dos
problemas mundiais desapareceriam.
Nenhum servidor público inovador pode evitar decisões que envolvamriscos; portanto, todos devem possuir as habilidades e
competênciasnecessárias para gerenciar esses riscos. Mas como os servidores públicospodem aprender a gerenciar riscos decorrentes da inovação?
Podemosimaginar três maneiras de fazer isso no trabalho:
1) Com base na experiência pessoal passada e nas experiências de outros;
2) Com base em técnicas de tentativa e erro em áreas em que não se tenha experiência própria; e
3) Com base em abordagens mais dedutivas extrapoladas a partir de teoria ou modelo mental geral (ou seja, da teoria para a observação e desta
para a ação).
Gestão de riscos são atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
Risco é efeito da incerteza nos objetivos.
Consequência é o resultado de um evento que afeta os objetivos. Impacto.
/
Probabilidade é a chance de algo acontecer.
Evento é a ocorrência ou mudança em um conjunto específico de circunstâncias
5/16
2 PROCESSO DE GESTÃO DE RISCOS
Muitas estruturas diferentes foram desenvolvidas para orientar o processo da gestão de riscos. Em
geral,essas estruturas refletem as circunstâncias específicas da instituição ou organização na qual são
aplicadas.
A base desses processos – e, na verdade, da maioria das estruturas de gestão de riscos – é um ciclo ancorado
em cinco fases: identificação, análise, avaliação, tratamento e monitoramento, conforme figura ao lado.
Dentro de cada fase do processo, comunicações regulares e significativas tendem a aumentar a
probabilidade de sucesso.
A representação desse ciclo como cadeia contínua de aprendizagem é uma maneira de lembrar aos gerentes
quea gestão eficaz de riscos depende fundamentalmente da manutenção de umprocesso regular e equilibrado de feedback, aprendizagem e
introdução demelhorias.
2.1 Identificação
A identificação e o reconhecimento de um risco constituem oprimeiro passo para gerenciá-lo. A gestão eficaz de riscos exige esforçoconstante de
vigilância de um ambiente para detectar novas condições derisco ou mudanças nos riscos existentes. A previsão de riscos futuros érequisito essencial
para uma gestão proativa.
Consultar regularmente uma lista genérica de riscos frequentemente ajuda a evitar que algum risco em potencial
seja ignorado ou esquecido.É comum que os riscos sejam classificados com base nas áreas que podemser afetadas,
tais como:Saúde e segurança;Meio ambiente;Gestão;Finanças;Políticaspúblicas e
reputação;Tecnologia;Processo;Legislação e etc.
A finalidade é gerar uma lista abrangente de riscos (eventos) que possam:CRIAR, AUMENTAR, EVITAR, REDUZIR,
ACELERARe ATRASARa realização de quaisquer objetivos.
2.2Análise
A análise de riscos fornece a base para a avaliação de riscos e para as decisões sobre o tratamento de riscos.
6/16
É o processo que determina o impacto que um risco pode ter (consequência) e a probabilidade de sua ocorrência. É a compreensão dos riscos, que
fornecerá subsídios para a avalição de riscos e as decisões de tratamento.
“A análise de risco envolve a apreciação das causas e as fontes de risco, suas consequências positivas e negativas, e a probabilidade de que estas
consequências possam ocorrer” (ABNT ISO 31000,2009).O risco é analisado considerando-se as suas consequências e probabilidades.
 Fatores que influenciam a análise
• Disponibilidade de dados a respeito do risco (quantidade).

• Existência de dados que podem ser mensurados.
• Registros de estatística histórica.
• Experiência dos analistas.
• Estabelecimento do contexto (detalhamento e foco).
• Tempo disponível para levantamento de dados.
 Análise qualitativa
Utiliza a descrição ou escalas explicativas para definir um grau de probabilidade ou impacto. É realizada com base nos componentes do risco. Envolve
relação imagem e reputação e dados intangíveis. Pode utilizar análises de Inteligência. Utilizada:
• Na análise inicial do risco.
• Quando não se dispõe de dados numéricos.
• Quando os dados numéricos são inadequados ou insuficientes.
• Situações complexas.
 Tabelas de impactos e probabilidade
• Elaboradas para definir escalas de classificação de probabilidades e consequências (impactos).
• Facilitam o entendimento dos graus de probabilidade e consequências.
• Devem ser coerentes com o contexto.
• Compostas por uma escala numérica (nível), descrição da classe e um descritor.
7/16
 Determinação da magnitude do risco

• Consiste na integração da probabilidade com o impacto.
• Permite mensurar o risco
• A integração pode ser realizada com uma tabela de dupla entrada.
• A combinação do grau de probabilidade e do grau de impacto resulta no nível de risco (NR = PxI). Exemplo: se a probabilidade (P) for média
(0,5) e o impacto (I) for alto (0,4); então, NR = 0,5 x 0,4 = 0,2.
8/16
2.3Avaliação
Processo de análise e mensuração de risco. Proporciona subsídios para a tomada de decisão com base na análise de riscos. Decisões a respeito de
riscos que precisam ser tratados através de um critério de prioridade e impostas em face de:
• Grau de risco.
• Recursos financeiros.
• Recursos humanos capacitados. Tratamento
• Tempo disponível para execução. realizado
• Capacidade dos recursos humanos.
• E outros
2.4Tratamento (controle)
Também conhecido como “resposta ao risco”. É a Seleção de uma ou mais opções de modificação do risco e Implementação destas opções. O
tratamento se dá através de um plano de ação que envolve as abordagens abaixo e tem como finalidade deslocar o NR da faixa vermelha para a faixa
verde da matriz de severidade (ver figura ao lado).
 Abordagens para tratamento dos riscos:

• ELIMINAR (Ação de evitar o risco ao se decidir não iniciar ou descontinuar a atividade que dá origem ao risco):remoção da fonte de risco
significa eliminar o risco, ou proteger totalmente o projeto do impacto deste risco. Exemplo: em uma parada de manutenção, determinado
equipamento necessita de um grande volume de reparos, os quais podem vir a comprometer o prazo da Parada. Para evitar este risco, pode-
se adotar a estratégia de substituição do equipamento, comprando-o antecipadamente, e apenas fazendo a sua instalação na Parada.
• EXPLORAR (Tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade):corresponde a garantir que aquela
oportunidade seja efetivamente aproveitada, por exemplo, concentrando seus esforços e melhores quadros nesta atividade. Priorizar os
esforços e recursos financeiros para a exploração do pré-sal é uma forma de explorar esta oportunidade de melhorar o fluxo de caixa, posto
que o retorno deste investimento seja maior e mais rápido do que em outras áreas.
• MITIGAR (Alteração da probabilidade ou das consequências):significa diminuir os impactos do risco, ou a probabilidade de ocorrência. Em
9/16
uma Obra de Construção e Montagem, podem surgir movimentos paredistas. Ter um contrato alternativo de fornecimento de mão de obra,
estabelecer rotas alternativas de acesso aos trabalhadores que desejem trabalhar, antecipar negociações trabalhistas são formas de mitigar
os riscos de uma paralisação.
• COMPARTILHAR (Compartilhamento do risco com outra parte ou partes, incluindo contratos e financiamento do risco):seria o equivalente
para riscos positivos ao transferir, para riscos negativos. Significa compartilhar com uma terceira parte as vantagens de uma alternativa. Por
exemplo, uma empresa de mineração necessita de uma linha férrea para transportar o minério para os portos, mas não a utiliza full time.
Outra empresa da região pode compartilhar o uso desta linha para transporte de seus produtos, minimizando os custos para cada uma das
empresas, e otimizando o retorno.
• TRANSFERIR (Trocar a responsabilidade pelo risco):corresponde a transferir o impacto da ameaça a uma terceira parte. Muito
frequentemente, isto é feito através de seguros, no entanto há outras formas de transferência. Por exemplo, ao construir uma nova planta,
uma empresa pode fazer o contrato por preço global, entregando à Contratada o Projeto Básico. No entanto, se a empresa não tiver quadros
disponíveis para desenvolver o Projeto Básico, ou não detiver tecnologia para tal, pode optar por um contrato Turn-Key, onde apenas o
Projeto Conceitual é oferecido à Contratada, cabendo a esta o desenvolvimento do Projeto Básico e Executivo.
• ACEITAR (Retenção do risco por uma decisão consciente e bem embasada):significa que a equipe do projeto decide não realizar nada para
evitar, transferir ou mitigar o risco, seja por não ser possível, ou por não ter efetividade em termos de custo. Ainda assim, pode-se aceitar
ativamente, seja estabelecendo reservas de contingência, ou alternativas. No caso de uma Parada de Manutenção de uma refinaria, pode
haver o risco de um atraso na Parada gerar desabastecimento do mercado. Aceitar ativamente este fato é antes da Parada aumentar a
produção de derivados, para ter um estoque capaz de suprir o mercado por um tempo substancialmente maior que o prazo da Parada, ou
buscar alternativas de abastecimento via importação. Aceitar passivamente significa deixar acontecer, por não haver nenhuma estratégia de
minimização viável.
Nem todas as estratégias de tratamento são utilizadas

Controle é a medida que está modificando o risco.Os controles para riscos positivos. Estratégias para riscos positivos
incluem qualquer processo, política, dispositivo, prática ou outras (oportunidades): COMPARTILHAR, EXPLORAR e
ações que modificam o risco.Os controles nem sempre conseguem ACEITAR.
exercer o efeito de modificação pretendido ou presumido.
10/16
Esse conjunto de medidas é chamado de diretrizes as quais devem compor o plano de resposta ao risco.
Gatilho (trigger): uma vez identificado um risco, deve ser caracterizado seu gatilho, ou seja, o sinal de que determina se o risco está em vias de se
concretizar com ações a serem tomadas, com prazos e responsáveis.
Por exemplo, na compra de um equipamento importado, dificuldades alfandegárias é um risco que foi identificado pela equipe de projeto. Um
possível gatilho para sinalizar a possibilidade de ocorrência deste risco seria a proximidade do dissídio da categoria de fiscais da Receita, e uma
possível ação de mitigação seria buscar antecipar a chegada deste equipamento. Ou, aceitar ativamente seria buscar uma negociação com o
sindicato da categoria, buscando expor a necessidade e o impacto para a população decorrente do atraso da Obra devido a este fato, e buscar uma
exceção para este equipamento no caso de greve.
2.5Monitoramento
A fim de assegurar que a gestão de riscos seja eficaz e continua a apoiar o desempenho organizacional, convém que a organização:
• Meça o desempenho da gestão de riscos utilizando indicadores, os quais devem ser analisados criticamente, de forma periódica, para garantir
sua adequação;
• Meça periodicamente o progresso obtido, ou desvio, em relação ao plano de gestão de riscos;
• Analise criticamente de forma periódica se a política, o plano e a estrutura da gestão de riscos ainda são apropriados, dado o contexto
externo e interno das organizações;
• Reporte sobre os riscos, sobre o progresso do plano de gestão de riscos e como a política de gestão de riscos está sendo seguida; e
• Analise criticamente a eficácia da estrutura da gestão de riscos.
Identificação de riscosé o processo de busca, reconhecimento e descrição de riscos.

Análise de riscos é o processo de compreender a natureza do risco e determinar o nível de risco (NR).
Avaliação de riscos é o processo de comparar os resultados da análise de riscos com os critérios de risco para determinar
se o risco e/ou sua magnitude é aceitável ou tolerável.
Tratamento de riscos processo para modificar o risco.
Monitoramentoé a verificação, supervisão, observação crítica ou identificação da situação, executadas de forma
contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado.
11/16
3 PREPARAÇÃO DA EQUIPE
A planilha GRC SIGARI 2.0 é um controle estratégico para um processo decisório eficiente, ou seja, uma importante ferramenta para definição de
caminhos a serem seguidos. Para aproveitá-la da melhor maneira, recomendamos a utilização da metodologia Brainstorming.
3.1 Brainstorming
O termo Brainstorming significa “tempestade cerebral”, que nos traz a semântica de “tempestade
de ideias”. É uma técnica dinâmica em que cada participante - ou até mesmo se você estiver
fazendo sozinho - expõe as suas opiniões e ideias que vão surgindo, de modo que ao final se tenha
de fato uma “chuva” de ideias para esta ou aquela seja definida como principal ou mais
importante.
Para potencializar o Brainstorming, é preciso ter bem definido onde se pretende chegar, ou seja,
um objetivo claro para que todos possam participar com coerência e a ferramenta seja aplicada
com exatidão. Alguns passos podem ser priorizados:
1. Criar um mapa do problema em questão: Expor aos participantes do Brainstorming qual é o objetivo principal da reunião e quais são os
pontos que devem ser levantados.
2. Ter um guia: O guia ou facilitador é alguém encarregado de "gerenciar" o Brainstorming. Este responsável deve ser ligado diretamente ao
processo de modo a auxiliar os demais participantes e administrar o fluxo de ideias. Aqui se faz necessário evitar a censura de ideias bem
como a justificativa de que tal ideia é boa ou ruim. A ideia inicial é levantar o maior número de ideias possíveis relacionadas com o tema
principal
3. Ao final do levantamento de ideias, é importante ter noção de que nem todas as opiniões são relevantes para entrarem no levantamento de
riscos corporativos e, deste modo, uma ótima maneira de se chegar nesse consenso é fazer uma compilação dos itens mais citados e ranqueá-
los.
3.2 Tamanho do grupo
É importante que se tenha a clareza de que nem todos conseguirão participar ao mesmo tempo e ativamente para a construção deste quadro. Por
isso, para potencializar ainda mais a colaboração e ideias de todos, recomenda-se que separe grandes grupos em grupos menores.
12/16
Ao longo do processo inicial de brainstorming, você pode fazer apenas um grupo (para um máximo
de 8 participantes, em média) ou dividir todos os interessados em grupos menores (variando de 3 a
7 participantes por grupo).
No momento da dinâmica e anotação, você pode usar um quadro branco, flipchart, post its (blocos
autoadesivos), cartolina ou mesmo um papel A4 para fazer a listagem.
No caso da análise de riscosser construída por grupos menores, recomenda-se algo mais próximo
dos participantes, como no caso do Brainstorming acima mencionado, em que todos podem dar
sua contribuição e formar um levantamento de riscos corporativos de forma completa e detalhada.
3.3 Preparação deInformações
Se quiser otimizar ainda mais todo esse processo de levantamento de riscos corporativos, recomendamos fortemente que exista um preparo de
todos os participantes anteriormente ao momento do Brainstorming e orientação teórica sobre o gerenciamento de riscos. Para isso, forneça
relatórios completos como:
1. Indicadores de desempenho dasáreas
2. Pesquisas e análises demercado Faça com que o levantamento de riscos corporativos seja
3. Pesquisa de climaorganizacional um reflexo do que todos os participantes pensam.
4. Legislações e normastécnicas Aproveite cada detalhe que for discutido e sugerido.
5. Segurança e meioambiente
6. Capacitação dos colaboradores
7. Outros
3.4 Regras para um Brainstorming produtivo

Passe um briefing com antecedência
Convide as pessoas para o Brainstorming com a devida antecedência e informe-as logo do que se trata: qual é a situação, o que é preciso resolver,
onde se quer chegar. Isto permitirá que, até lá, as pessoas vão pensando no assunto e tendo ideias.
13/16
Interesse
Os envolvidos na reunião devem estar genuinamente interessados em chegar a uma solução para a
questão que se põe. Ter interesse reflete-se em ter atenção, em estar empenhado no que se está a
fazer e em motivar os outros. Debater um assunto com alguém que não quer saber é perder tempo e
abrir portas para a crítica gratuita, o levantamento constante de problemas (em vez de soluções),
para a desmotivação do resto da equipa e para o mau ambiente.
Organização
Os Brainstormings podem ser propícios a que se “viaje” demais e se fuja do tema. E quanto mais
criativas as pessoas envolvidas, mais fácil é acontecer isto. Às tantas, já se está a ter uma ideia
brilhante, que também será para levar à prática, mas que não tem nada a ver com o motivo pelo qual
se reuniram. Escolham um líder capaz de ouvir as pessoas, de deixá-las divagar e de ter essas tais
ideias, mas que as chame de volta ao assunto que foram tratar.
Abertura
Para si e para os outros. Para si, na medida em que não deve conter-se no que respeita a dizer as suas ideias. Não faça uma triagem, apresente-as
todas e deixe que as outras pessoas as complementem. Também não se apegue em demasia ao que pensou. É necessário ter abertura para ouvir os
outros e aceitar que as ideias deles podem ser tão válidas como as suas.
Respeito
Não há ideias boas e ideias más. Há ideias que se adequam e ideias que (ainda) não têm cabimento. Há espaço para divagar, para imaginar, para voar
alto. Não há espaço para gozar. Todos devem ser ouvidos até ao fim e não ser julgados. Uma ideia estapafúrdia pode ser o início de uma ideia genial.
É importante que haja respeito e que toda a gente se sinta à vontade para dizer o que pensa, sem receio de ser alvo de chacota.
Complementaridade
Se fosse para pensar sozinho, não valia a pena estar com mais gente. Ninguém diz que a ideia final tem de ser de uma só pessoa. A ideia de um pode
ser o início da ideia de outro. Devemos ouvir toda a gente, tentar entender o que tentam transmitir e aperfeiçoar a ideia.
14/16
Aponte as ideias que são sugeridas
Lá por não serem adequadas no momento, não quer dizer que não sejam mais tarde. Além disso, as ideias geram ideias e não existem ideias demais.
Aproveite para rechear o banco de ideias da sua empresa.
Ambiente
É possível e mais produtivo fazer estas sessões num ambiente informal e descontraído. Principalmente, quando é para dar força à criatividade. A
reunião de Brainstorming pode até decorrer num jantar entre colegas ou churrasquinho na casa de algum membro, por exemplo.
15/16
4DINÂMICA DE PREENCHIMENTO
Para que se tenha um bom levantamento de riscos corporativos, são necessárias duas coisas. A primeira é o conhecimento com o negócio. Antes de
qualquer coisa, saber qual a finalidade de se realizar esse levantamento. Quando o propósito é claro, os aspectos levantados ficam bem mais
direcionados.
A segunda, são as referencias utilizadas para realizar a análise quantitativa e qualitativa dos riscos. A planilha GRC SIGARI 2.0 ajuda nessa segunda
etapa e por isso é importante o preenchimento correto de suas lacunas.
A planilha GRC SIGARI 2.0 é formada por sete planilhas principais e quatro complementares. As principais descrevem o passo a passo do processo de
avaliação dos riscos e as complementares descrevem as tabelas de informações utilizadas para complementar as principais.
4.1 Planilha 1 - Home
 Dados da área e gestor

É necessário o registro da gestão pelo gerenciamento de riscos. A planilha 1 contêm os campos abaixo para o correto preenchimento por parte do
gestor:
Organização: Nome da instituição / empresaondeocorrerá o gerenciamento de riscos.

Departamento: Departamentoresponsávelpelogerenciamento de riscos.
Proprietário: Nome doresponsávelmaiorpelogerenciamento de riscos.
Cargo / Função: Cargo / função do responsávelacima.
Data de elaboração: Data em que foirealizada a primeirareuniãosobrelevantamentoouidentificação dos riscos. Essa data nãopoderáseralterada.
Data de revisão: Data em que alteraçõesnos dados das planilhasforamrealizadas com o intuito de atualização.
 Menu de ferramentas
Apresenta os botões de transferência entre planilhas, ou seja, é possível o deslocamento entre planilhas apenas tocando os botões. Este menu
dispensa as abas das planilhas do Excel:
Home: Planilha da páginainicial que contémos dados do gerenciamento de riscos.
14/16
Identificação: Planilha que contemos dados para levantamento e identificação dos riscos.
Análise: Planilha que contemaanálise dos riscoslevantadosanteriormente.
Matriz (antes): Matriz de severidade com osníveis de riscosatribuídos antes de qualquertomada de ação e mapeamento de riscos.
Avaliação: Planilha que contemaavaliação dos riscoslevantados.
Tratamento: Planilha que contem as açõescorretivas, preventivas e ações de contingência para osriscoslevantados.
Matriz (depois): Matriz de severidade com os níveis de riscos atribuídos após as tomadas de ações e mapeamento de riscos.
 Finalidade do levantamento de riscos

Definição dos dados que levaram ao levantamento de riscos. Quando o propósito
é claro, os aspectos levantados ficam bem mais direcionados. Preencher apenas
uma das alternativas abaixo:
Planejamentoestratégico: Quando o levantamento for utilizado para criar o planejamentoestratégico do departamentoou da instituiçãocomo um todo.
Reunião de análisecrítica: Quandoosriscosforamoriundos de reuniõesperiódicas de análisecrítica de sistemas de gestão.
Objetivos e metas: Quando o levantamentofor utilizado para verificar a viabilidade de cumprimento das metasestratégicas do departamentoouinstituição.
Projeto: Quando o levantamento de riscos for utilizadoapenas para viabilidade de execução de projetosespeciais.
Programa: Quando o levantamento de riscos for utilizadoapenas para viabilidade de execução de programasespecíficos.
Outros: Quando o levantamentonão se aplicar a nenhuma das opçõesacima. Nestecaso, um melhordetalhamento se faznecessário no espaçoabaixo.
15/16
Detalhe do eventoanalisado: Detalharmaisespecificamente o evento que estásendoanalisado. Utilizardescrição breve. Este textoapareceráemtodas as planilhas para
melhorvisualização do focopelo gestor.
4.2 Planilha 2 - Identificação
Na planilha 2 serão registrados os riscos do ambiente interno e externo levantados durante o evento, estabelecer suas categorias, causa e efeito e
canais de comunicação. A planilha 2 contêm os campos abaixo para o correto preenchimento por parte do gestor:
ID: Número da sequênciaem que o riscofoiidentificado. O ID acompanhará o riscodefinitivamente e nãopoderátermais de um risco com o
mesmonúmero.
Data: Data em que o riscofoiidentificado.
Risco: Nome do risco de forma clara.
Categoria: Categoriaem que o risco se encontra. Verificar as categorias para riscos do ambienteinterno e do ambienteexternoconformesubitemabaixo.
Fatorgerador: Descrever o que faz o riscoaparecer (causa).
Efeito: Descrever o efeito que o riscogera.
Canal de comunicação: Descrever a forma como o risco é comunicadoaosenvolvidos (stakeholders).
Identificação de riscos é o “processo de busca, reconhecimento e descrição de riscos” (ABNT ISO 31000, 2009).
NOTA 1 A identificação de riscos envolve a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais.
NOTA 2 A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de pessoas informadas e especialistas, e as necessidades das partes interessadas.
Fonte de risco é o “elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco”.
NOTA Uma fonte de risco pode ser tangível ou intangível.
4.2.1 Categorias de riscos

A categoria de riscos é definida conforme o ambiente onde se deseja identificar e estudar o risco: ambiente interno e ambiente externo.
 Ambiente interno
Ambiente onde se encontram os riscos em que é possível exercer controles sobre eles devido a sua existência estar ligada aos fatores internos da
organização.Para categorizar os riscos utiliza-se o método dos 10Ms.
16/16
O método 10Ms utiliza a extensão dos 6Ms, usado para construir diagramas espinha de peixe: mão-de-obra, máquinas, materiais, meio ambiente,
meio físico e métodos e adicionando mais 4Ms management, marketing, mensagens emoney.
Mnemonicamente: começa tudo com M!
1. Management: administração geral e
processos decisórios, gestão de tecnologias
e de sistemas de informação, gestão
estratégica, gestão setorial: marketing,
comercial, operacional, de produção e de
logística, financeira, recursos humanos,
gestão de processos e etc;
2. Mão de Obra: capacitação, treinamento e
desenvolvimento de recursos humanos,
gerentes e supervisores preparados para
gestão de pessoas, motivação,
envolvimento e comprometimento,
recrutamento e seleção de pessoal,
satisfação dos funcionários e gerentes,
relacionamento com os acionistas e com os
grupos de interesse (stakeholders) e etc;
3. Máquinas: equipamentos de manuseio e de transporte, instalações elétricas, hidráulicas, utilidades e de segurança, manutenção de
máquinas e equipamentos, máquinas, equipamentos e sistemas de produção, redes internet, intranet e extranet e etc;
4. Marketing: conhecimento do mercado e dos concorrentes, flexibilidade e negociações, lançamento de produtos e campanhas, pós-venda,
garantia e assistência técnica, tratamento da satisfação dos clientes e etc;
5. Materiais: desenvolvimento de fornecedores, especificações para aquisição, estoques: quantitativo, qualitativo, preservação e
movimentação, padronização e codificação de materiais, qualidade assegurada na aquisição e etc;
6. Meio ambiente: gestão da proteção ambiental, levantamento do passivo ambiental, licenciamento ambiental, programas de economia de
17/16
energia, de água e de insumos, reciclagem de resíduos, tratamento de reclamações de vizinhos, da imprensa, de autuações e etc;
7. Meio físico: circulação interna, fluxos internos, estacionamentos, iluminação, limpeza e arrumação, segurança pessoal e patrimonial,
sinalização visual, interna e externa e etc;
8. Mensagens: comunicação com clientes, fornecedores, governo, imprensa e público, comunicação entre gerentes, entre supervisores, entre
funcionários, comunicação escrita, circulares e quadros de aviso, comunicação verbal, informal e diagonal, comunicações da Direção:
verdade, sinceridade, transparência e integridade e etc;
9. Métodos: fluxograma de processos produtivos e administrativos, metodologia para gestão por projetos, metodologias para desenvolvimento
de produtos, normas, padrões e procedimentos produtivos e administrativos, sistemas de garantia da qualidade, capacidade de
aperfeiçoamento contínuo e etc;
10. Money: acompanhamento gerencial por centros de resultados, fluxo de caixa, contas a pagar e contas a receber, faturamento e
recebimentos, investimentos estratégicos, orçamentos e acompanhamento orçamentário, disponibilidade financeira para os investimentos
(ou acesso a ela) e etc.
 Ambiente externo
Ambiente onde se encontram os riscos que não é possível exercer
controles sobre eles devido a sua existência estar ligada aos fatores
externos da organização. Para categorizar os riscos utiliza-se o
método PRESTLE.
A análise PESTLE é utilizada para:
• Analisar fatores externos que afetam projetos / marcas /
negócios.
• Fatores que não podem ser controlados pelos negócios, mas
podem influenciar a tomada de decisão.
Assim como foi realizado na identificação dos pontos fortes e fracos,
começa com um brainstorming amplo, geral e irrestrito procurando
pontos oportunidades e ameaças. Utiliza a extensão PESTLE: Political
18/16
(política), Economic (economia), Social (sociocultural), Technological (tecnologia), Legal (leis e regulamentações) e Environmental (meio ambiente).
4.3 Planilha 3 - Análise
Na planilha 3 serão registrados os tipos de riscos (ameaça ou oportunidade), a análise dos controles atuais e análise do impacto e probabilidade,
onde é definida a relevância para cada risco. A planilha 3 contêm os seguintes campos para o correto preenchimento por parte do gestor:
IDENTIFICAÇÃO DOS RISCOS

ID: Número da sequênciaem que oriscofoiidentificado. Preenchimentoautomático.
Tipo: Identificar se o risco é umaoportunidade (riscopositivo) ou é umaameaça (risconegativo).
Risco: Nome do risco de forma clara.Preenchimentoautomático.
ANÁLISE DOS CONTROLES ATUAIS
O risco é controlado? Responder sim ounão para o controle dos riscosidentificados.
O controle é eficiente? Responder sim ounão para o controle dos riscosidentificados.
Tem legislação? Responder sim ounão para o controle dos riscosidentificados.
O risco é comunicado? Responder sim ounão para o controle dos riscosidentificados.
ANÁLISE DO IMPACTO E PROBABILIDADE
Impacto Preencher a classe (descritor) do riscoconforme a tabela de classificação de impactos do item 2.2. O valor equivalente é
preenchidoautomaticamente.
Probabilidade Preencher a classe (descritor) do riscoconforme a tabela de classificação de probabilidade do item 2.2. O valor equivalente é
Relevância É o produto (PxI) dos valores, conforme a tabela de relevânciaabaixo. Preenchimentoautomático.
Análise de riscosé o “processo de compreender a natureza do risco e determinar o nível de risco”.

NOTA 1 A análise de riscos fornece a base para a avaliação de riscos e para as decisões sobre o tratamento de riscos.
NOTA 2 A análise de riscos inclui a estimativa de riscos.
Critérios de riscoé o “termos de referência contra os quais a significância de um risco é avaliada”.
NOTA 1 Os critérios de risco são baseados nos objetivos organizacionais e no contexto externo e contexto interno.
NOTA 2 Os critérios de risco podem ser derivados de normas, leis, políticas e outros requisitos
19/16
4.4 Planilha 4 - Matriz (antes)
A planilha 4apresenta a Matriz de Severidade com os resultados de

relevância NR (Nível de Risco) obtidos na planilha anterior (análise). Os
dados são preenchidos automaticamente e não há necessidade de
preenchimento por parte do gestor. Nesse diagrama, os dados
apresentadosse referem a riscos inerentes e não foram tratados, ou seja,
não sofreram alteração no Nível de Risco em função de quaisquer tipos de
ações.
20/16
4.5 Planilha 5–Avaliação
Na planilha 5 serão registrados a avaliação dos riscos, decisão sobre os riscos

e definição de prioridades.
Avaliação de riscos é o “processo de comparar os resultados da análise de
riscos com os critérios de risco para determinar se o risco e/ou sua
magnitude é aceitável ou tolerável”.
NOTA A avaliação de riscos auxilia na decisão sobre o tratamento de riscos.
Nível de risco é a “magnitude de um risco ou combinação de riscos,

expressa em termos da combinação das consequências e de suas
probabilidades”.
Atitude perante o riscoé a abordagem da organização para avaliar e eventualmente buscar, reter, assumir ou afastar-se do risco.
• Reter: Após análise. Decisão consciente.
• Assumir: Não precisa fazer análise.
A planilha 5 contêm os seguintes campos para o correto preenchimento por parte do gestor:
IDENTIFICAÇÃO DOS RISCOS
ID: Número da sequência em que o risco foi identificado. Preenchimentoautomático.
Tipo: Identificar se o risco é uma oportunidade (risco positivo) ou é uma ameaça (risco negativo).
Risco: Nome do risco de forma clara. Preenchimentoautomático.
AVALIAÇÃO DOS RISCOS
Tolerânciaaorisco Responder sim ou não para identificar se a organização possui tolerância ao risco, ou seja, retém ou assumi o risco em questão.
Comprometeosobjetivos Responder sim ou não para identificar se o risco poderá comprometer os objetivos definidos no contexto analisado.
Mantercontroles Responder sim ou não para identificar se há algum tipo de controle para os riscos levantados.
DECISÃO
Aprofundaranálise Responder sim ou não para identificar se mantem a análise existente ou é necessário aprofundar a análise.
Plano de resposta Identificar, entre as estratégias de tratamento, qual delas será mais apropriada.
21/16
DEFINIR PRIORIDADES
Relevância Preenchimento automático. São os valores da planilha 3 – Análise.
Tolerância Preencher com Muito Alta, Alta e Média quando não houver tolerância ao risco e Baixa e Muito Baixa quando houver tolerância ao risco.
Análise Preencher com Muito Alta, Alta e Média quando não for necessário aprofundar análise e Baixa e Muito Baixa quando não for aprofundar análise.
RTA É o produto (RxTxA) dos valores, conforme a tabela de relevância abaixo. Preenchimento automático.
4.6 Planilha 6 - Tratamento
Na planilha 6 serão registrados os riscos inerentes, definição

do plano de ação, a avaliação dos riscos residuais e definição
do plano de contingência, quando aplicável.
Tratamento de riscos é o “processo para modificar o risco”.Os
tratamentos de riscos relativos às consequências negativas são
muitas vezes referidos como "mitigação de riscos",
"eliminação de riscos", "prevenção de riscos" e "redução de
riscos".O tratamento de riscos pode criar novos riscos ou
modificar riscos existentes.
A planilha 6 contêm os seguintes campos para o correto preenchimento por parte do gestor:
RISCOS INERENTES
ID: Número da sequência em que o risco foi identificado. Preenchimentoautomático.
Tipo: Identificar se o risco é uma oportunidade (risco positivo) ou é uma ameaça (risco negativo).
Risco: Nome do risco de forma clara. Preenchimentoautomático.
Prioridade: É o valor RTA da tabela anterior. Preenchimento automático.
PLANO DE AÇÃO
22/16
Atividades Responder sim ou não para identificar se a organização possui tolerância ao risco, ou seja, se retém ou assumi o risco em questão.
Prazo: Responder sim ou não para identificar se o risco poderá comprometer os objetivos definidos no contexto analisado.
Responsável: Responder sim ou não para identificar se há algum tipo de controle para os riscos levantados.
RISCOS RESIDUAIS
Impacto Preencher a classe (descritor) do risco conforme a tabela de classificação de impactos do item 2.2. O valor equivalente é
Probabilidade Preencher a classe (descritor) do risco conforme a tabela de classificação de probabilidade do item 2.2. O valor equivalente é
Relevância É o produto (PxI) dos valores, conforme a tabela de relevância abaixo. Preenchimentoautomático.
PLANO DE CONTINGÊNCIA
Atividade: Preenchimento automático. São os valores da planilha 3 – Análise.
4.7 Planilha 7 - Matriz (depois)
A planilha 7apresenta a Matriz de Severidade com os resultados de relevância NR (Nível de Risco) obtidos na planilha anterior (tratamento). Os dados
são preenchidos automaticamente e não há necessidade de preenchimento por parte do gestor. Nessa Matriz, os dados apresentados já foram
tratados e sofreram alteração no NR em função de ações corretivas, preventivas e de contingência.
Risco residual é o risco remanescente após o tratamento do risco.
NOTA 1 O risco residual pode conter riscos não identificados.
NOTA 2 O risco residual também pode ser conhecido como "risco retido".
23/16
24/16
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 31000:2009 – Gestão de riscos - Princípios e diretrizes. Rio de Janeiro: ABNT, 2009.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 31010:2009 – Gestão de riscos –Técnicas de avaliação de riscos. Rio de Janeiro: ABNT, 2012.
ÁVILA, M. D. G. Gestão de riscos no setor público: Controle estratégico para um processo decisório eficiente. Revista eletrônica semana acadêmica, 12 jun 2011.
BRASIL. MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO - MPOG. Guia de orientação para o gerenciamento de riscos. MP, SEGEP, v.1. Brasília, DF, 2013.
COSO.Comittee of Sponsoring Organization of the Treadway Comission.Integrated Framework.Executivesummary. USA, 2004.
DE CICCO, M. G. A. F. Gestão de riscos – Diretrizes para a Implementação da ISO 31000:2009. Série Risk Management. Risk Tecnologia. Dezembro 2009.
FORTES, F. S. D. Influência do Gerenciamento de Riscos no Processo Decisório: Análise de Casos. Fortes. ed. revisada. Dissertação (Mestrado em Engenharia
Naval), Escola Politécnica da Universidade de São Paulo. São Paulo, 2011.
HILL, S. Guia sobre a gestão de riscos no serviço público. Traduzido por Luis Marcos B. L. de Vasconcelos. Brasília: Caderno 30.ENAP, 2006. Disponível em:
<http://repositorio. enap.gov.br/handle/1/692>. Acesso em: 21 abr. 2015.
OLIVEIRA, LEÔNCIO; SILVA, OCILEIDE. Indicadores de desempenho de processos: atividades de valor na implantação do SGQ no setor de serviços. International
Journal of Humanities and Social Science Invention (IJHSSI), 2016. ISSN: 2319-7722
OLIVEIRA, LEÔNCIO. Modelo de gerenciamento de riscos no setor público: Estudo de caso na Câmara Municipal de Manaus. Dissertação (Mestrado em
Engenharia de Produção), Universidade Federal do Amazonas - UFAM. Manaus, 2017.
PMI. Um Guia do Conhecimento em Gerenciamento de Projetos (Guia PMBoK). 4º edição. Pensylvania, 2008.
Contatos: (92) 3085-2989 / 99228-5418 / mestreleo2015@gmail.com 24/16

Guia Rápido GRC Sigari 2.0 Rev.01

Загружено:

Сведения о документе

Исходное описание:

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Guia Rápido GRC Sigari 2.0 Rev.01

Загружено:

Авторское право:

Доступные форматы

GERENCIAMENTO DE RISCOS:

Controle estratégico para um processo decisório eficiente

Leôncio Araújo Oliveira, MsC

GERENCIAMENTO DE RISCOS: controle

• Disponibilidade de dados a respeito do risco (quantidade).

 Determinação da magnitude do risco

 Abordagens para tratamento dos riscos:

Nem todas as estratégias de tratamento são utilizadas

Identificação de riscosé o processo de busca, reconhecimento e descrição de riscos.

3.4 Regras para um Brainstorming produtivo

4.1 Planilha 1 - Home

 Dados da área e gestor

Organização: Nome da instituição / empresaondeocorrerá o gerenciamento de riscos.

Home: Planilha da páginainicial que contémos dados do gerenciamento de riscos.

 Finalidade do levantamento de riscos

4.2 Planilha 2 - Identificação

4.2.1 Categorias de riscos

4.3 Planilha 3 - Análise

IDENTIFICAÇÃO DOS RISCOS

Análise de riscosé o “processo de compreender a natureza do risco e determinar o nível de risco”.

4.4 Planilha 4 - Matriz (antes)

A planilha 4apresenta a Matriz de Severidade com os resultados de

Na planilha 5 serão registrados a avaliação dos riscos, decisão sobre os riscos

Nível de risco é a “magnitude de um risco ou combinação de riscos,

4.6 Planilha 6 - Tratamento

Na planilha 6 serão registrados os riscos inerentes, definição

4.7 Planilha 7 - Matriz (depois)

COSO.Comittee of Sponsoring Organization of the Treadway Comission.Integrated Framework.Executivesummary. USA, 2004.

Contatos: (92) 3085-2989 / 99228-5418 / mestreleo2015@gmail.com 24/16

Вам также может понравиться