Paulo Ricardo Grazziotin

AFFC
tempo de gesto de riscos!

 Governana combinao de processos e

estruturas implantadas pela alta administrao,
para informar, dirigir, administrar e monitorar as
atividades da organizao, com o intuito de
alcanar os seus objetivos (inc. VIII do art. 2 da
Instruo Normativa Conjunta n 1, de 10/05/2016,
DOU de 11.05.2016, S. 1, ps. 14 a 17).
Governana no setor pblico compreende
essencialmente os mecanismos de liderana,
estratgia e controle postos em prtica para avaliar,
direcionar e monitorar a atuao da gesto, com
vistas conduo de polticas pblicas e
prestao de servios de interesse da sociedade
(inc. IX do art. 2 da Instruo Normativa Conjunta
n 1, de 10/05/2016).

 Conjunto de procedimentos adotados pelas

organizaes pblicas e pelos indivduos que as
integram que evidenciam sua responsabilidade
por decises tomadas e aes implementadas,
incluindo a salvaguarda de recursos pblicos, a
imparcialidade
e
o
desempenho
das
organizaes (inc. I do art. 2 da Instruo
Normativa Conjunta n 1, de 10/05/2016, DOU
de 11.05.2016, S. 1, ps. 14 a 17).

Ucrnia

8 ACIDENTES MAIS
CAROS DA HISTRIA

Fonte: <http://lista10.org/diversos/os-10-acidentes-mais-caros-da-historia/>

Organizacional (inerente aos negcios)

ERM (Enterprise Risk Management) = Gerenciamento de riscos
corporativos (GRC)

Projetos (PMBOK)

Atividades coordenadas para

dirigir e controlar uma
organizao, no que se refere
aos seus riscos (ABNT NBR
ISO 31000:2009).

 O gerenciamento de riscos do projeto inclui os processos que tratam da

realizao de identificao, anlise, respostas, monitoramento e
controle e planejamento do gerenciamento de riscos em um projeto;
Os objetivos do gerenciamento de riscos num projeto so aumentar a
probabilidade e o impacto dos eventos positivos e diminuir a
probabilidade e o impacto dos eventos adversos ao projeto.
Fonte: PMBOK

 Aumentar a probabilidade de atingir os objetivos.

Encorajar uma gesto proativa (em vez de reativa em face dos problemas,
apagando incndios).

Estar atento para a necessidade de identificar e tratar os riscos por toda a

organizao.
Melhorar a identificao de oportunidades e ameaas.

Fornecer base slida e segura para tomada de deciso e planejamento (planejar

a viagem).
Tornar mais eficaz a alocao e o uso de recursos.

 Melhorar a gesto de incidentes.

Melhorar a eficincia operacional e reduzir perdas e custos.
Melhorar a confiana das partes interessadas.
Melhorar a conformidade com requisitos legais e normativos.
Melhorar os controles internos.
Melhorar a governana corporativa.

 Anexo SL, de 2012 (ex-ISO Guia 83 - nova estrutura de diretivas de alto nvel para todas as normas de
sistema de gesto do futuro, no intuito de incrementar o alinhamento e a consistncia entre normas
tcnicas) da ISO (Organizao Internacional para Padronizao) principais requisitos comuns e termos e
definies comuns de todas as normas ISO de sistemas de gesto (qualidade; meio ambiente; segurana da
informao; gesto de continuidade de negcios...).
Normas tcnicas de sistemas de gesto

Assunto

ABNT NBR ISO 9001:2015

Gesto da qualidade

ABNT NBR ISO 14001:2015

Gesto ambiental

ABNT NBR ISO/IEC 27001:2013

Segurana da informao

ABNT NBR ISO 22301:2013

Continuidade dos negcios

OHSAS 18001

Sade de segurana ocupacional

Evoluo recente

ISO DIS 9001:2015

ABNT NBR ISO 31000:2009 (AS/NZS 4360:2004) Gesto de riscos

ABNT NBR ISO/IEC 31010:2012

Avaliao de riscos

ISO - International Organization for Standardization (Organizao Internacional para Padronizao); IEC - International Electrotechnical Commission (Comisso
Eletrotcnica Internacional); OHSAS - Occupational Health and Safety Assessment Services (Servios de Avaliao de Segurana e Sade Ocupacional).

 fornece princpios e diretrizes genricas para a gesto de riscos.

aplicada a uma ampla gama de atividades, incluindo estratgias, decises,
operaes, processos, funes, projetos, produtos, servios e ativos.
aplicada a qualquer tipo de risco, independentemente de sua natureza,
quer tenha consequncias positivas ou negativas.

Objetivo

Servir como um guia mestre (guarda-chuva) para a implementao da Gesto de

Riscos em organizaes, incluindo estratgias, decises, operaes, processos,
funes, projetos, produtos, servios e ativos.
Ela recomenda que as organizaes desenvolvam, implementem e melhorem
continuamente uma estrutura com a finalidade integrar o processo de
gerenciar riscos:

Nas polticas
Na governana e na gesto
No planejamento e na definio da estratgia
Nos processos de reportar dados e resultados
Nos valores e na cultura em toda a organizao

Escopo

uma norma geral, independentemente de rea ou segmento.

No especfica para qualquer indstria ou setor.
No concorre com outras normas sobre gesto de riscos em reas
especficas (aviao, minerao, petrleo, etc.)
Seu objetivo servir como um guia mestre em matria de
Gesto de Riscos.

Fornece diretrizes e princpios para a implementao da

Gesto de Riscos e para a criao de outras normas tcnicas
especficas (a exemplo da ISO/DIS 9001:2015)..

A quem se
destina?

Responsveis pelo desenvolvimento da poltica de gesto

de riscos na organizao.
Responsveis por assegurar que riscos so eficazmente
gerenciados na organizao como um todo ou em uma
rea, atividade ou projeto especficos.
Os que precisam avaliar a eficcia de uma organizao
em gerenciar riscos (Unidade de Auditoria Interna, por
exemplo, cf. PA/IIA n 2130.A1).
Desenvolvedores de normas, guias, procedimentos e
cdigos de prtica que estabelecem como riscos devem
ser gerenciados.

SUPERVISO
Riscos crticos

GERENCIAMENTO
Procedimentos e polticas para
evitar ou reduzir riscos (eventos)

D
C

No pretende prescrever um
sistema de gesto, mas auxiliar a
organizao a integrar a gesto de
riscos em seu sistema de gesto
global.
Convm adaptar os componentes
da estrutura a suas necessidades
especficas

 H necessidade de um setor com a funo formal de gerenciamento

de riscos agindo no sentido de percepo, anlise, quantificao e
divulgao aos setores competentes dos riscos internos e externos
(SANTOS, P. S. M. dos. Gesto de riscos empresariais. So Paulo:
Novo Sculo, 2002. p. 75).
So competncias do Comit de Governana, Riscos e Controles:
(...) II institucionalizar estruturas adequadas de governana,
gesto de riscos e controles internos (inc. II do 2 do art. 23 da
Instruo Normativa Conjunta n 1, de 10.05.2016, DOU de
11.05.2016, S. 1, ps. 14 a 17).

 Pela Portaria/MPOG n 150, de 04/05/2016 (DOU de 05/05/2016, S. 1, p. 94), foi

institudo Programa de Integridade do MPOG, o qual, dentre outros objetivos, destina-se
a criar e aprimorar a estrutura de governana, riscos e controles.
A Portaria/CGU n 750, de 20/04/2016 (DOU de 25/04/2016, S. 1, p. 1), dispe sobre o
Programa de Integridade da Controladoria-Geral da Unio (atual MTFC), o qual tem por eixo
fundamental de atuao a anlise e gesto de riscos (inc. III do art. 2). Pela Portaria/CGU
n 784, de 28/04/2016, foi criado o Programa de Fomento da Integridade Pblica (PROFIP) da
CGU para a administrao pblica autrquica e fundacional, o qual tem por eixo fundamental a
anlise e gesto de riscos (inc. III do art. 2).
A introduo da gesto de riscos e a garantia de sua contnua eficcia requer forte
comprometimento por parte da alta administrao (necessrio, mas no suficiente), qual
convm: a) aprovar poltica de gesto de riscos; b) assegurar que a cultura da organizao e a
poltica de gesto de riscos estejam alinhadas; c) atribuir responsabilidades nos nveis
apropriados (massa crtica em condies de ver janelas de oportunidade).

 Avaliao prvia dos contextos externo e interno.

Estabelecimento da poltica de gesto de riscos.
Responsabilizao

Proprietrios dos riscos (vo gerenciar).

Responsveis pela implementao da estrutura.
Responsveis pela avaliao (Auditoria Interna, p.e.) e superviso (Conselho de
Administrao, p.e.).

Integrao da gesto de riscos nos processos internos organizacionais

Desenvolvimento de polticas
Planejamento estratgico e de negcios (Mapa Estratgico Corporativo)
Gesto de mudanas

 Alocao de recursos para a gesto de riscos (no deve ser dispendiosa, todavia
sero teis consultoria e/ou especialista interno).

Estabelecimento de mecanismos de comunicao e reporte internos para apoiar e

incentivar a responsabilizao e a propriedade dos riscos.
Estabelecimento de mecanismos de comunicao e reporte externos para engajar
as partes interessadas externas, assegurar a troca eficaz de informaes e
construir confiana.
Treinamento do pessoal em gesto de riscos (cf. item 1.8.7, TC-031.386/2015-6,
Acrdo n 6.188/2016-TCU-2 Cmara, DOU de 30/05/2016, S. 1, p. 122).

 Implementao da estrutura para gerenciar riscos

Estratgia e momento apropriado
Aplicao da poltica e do processo de GR aos processos organizacionais (dinmica
pervasiva)
Alinhar tomada de decises com resultados dos processos de GR
Treinamento

Implementao progressiva (projeto piloto) do processo de gesto de riscos,

em todos os nveis e funes pertinentes

Medir o desempenho da gesto de riscos utilizando indicadores.

Analisar periodicamente se poltica, plano e estrutura da gesto
de riscos ainda so apropriados, dado o contexto da organizao.

Comunicar progresso.

Com base no monitoramento e na anlise crtica da estrutura,

decidir como poltica, plano e estrutura da gesto de riscos
podem ser aprimorados.

 Consiste na aplicao sistemtica de polticas, procedimentos, e prticas de

gesto para as atividades de:

estabelecimento do contexto;
comunicao e consulta;
identificao, anlise, avaliao e tratamento de riscos; e
monitoramento e anlise crtica de riscos.

Convm que esse processo seja:

parte integrante da gesto;

incorporado na cultura organizacional e nas prticas;
adaptado aos processos de negcios da organizao; e
potencializado por uma rede de apoiadores tcnicos e de proprietrios de riscos.

 identificao de riscos

Processo de busca, reconhecimento e descrio de riscos

anlise de riscos (a que estivemos sujeitos na viagem)

Processo de compreender a natureza do risco e determinar o nvel de risco.

avaliao de riscos

Processo de comparar os resultados da anlise de riscos com os critrios de risco

para determinar se o risco e/ou sua magnitude aceitvel ou tolervel

 Um processo estruturado para melhorar a capacidade de previsibilidade e

ampliar a quantidade de variveis dentro do contexto
Com objetivos bem definidos
A organizao deve ter objetivos bem definidos (planejamento estratgico)
A cpula da organizao deve ser receptiva para todos os tipos de
comunicaes acerca de riscos, incluindo-se a ms notcias
Uma definio nica de risco na organizao

Treinamento em GR (palestras e cursos)

Definio de responsabilidades pela GR
As unidades organizacionais devem:

Identificar
Registrar (relatrios, etc.)
Informar os riscos cpula da organizao
Adotar medidas mitigadoras (de controle)
Monitorar os riscos

Polticas de GR e seus benefcios devem ser comunicadas para

todos na organizao;
Alta Cpula da Organizao deve conhecer e apoiar
explicitamente a GR;
Anlise crtica pela Direo a anlise crtica deve levar em considerao a eficcia das aes
tomadas para tratar riscos e oportunidades (ISO/DIS 9001:2015, subseo 9.3.d).

GR deve estar intimamente relacionada com a realizao dos

objetivos da organizao;
GR deve permear todos os processos gerenciais

Definir e aprovar poltica de gesto de riscos;

Alinhar cultura da organizao e a poltica de gesto de riscos;
Alinhar a gesto de riscos com as estratgias da organizao
Assegurar que os recursos necessrios sejam alocados para a
gesto de riscos
Avaliao quanto eficcia da GR pela Unidade de Auditoria
Interna.

DICAS PARA A IMPLANTAO DO GRC

COMO SE EST

PERSPECTIVA

O QU?

OBJETIVOS

POR QU?

SIGNIFICADO

PARA ONDE IR?

DIREO FUTURA

COMO?

TRAAR CAMINHOS

QUANDO?

PRAZOS

QUANTO?

RECURSOS

QUEM?

RESPONSABILIDADES

VISO

HABILIDADES
HUMANAS

INCENTIVOS DA
CPULA

RECURSOS
MATERIAIS

PLANO DE AO PARA
MUDAR

MUDANA

:-(

HABILIDADES

INCENTIVOS

RECURSOS

PLANO DE AO

CONFUSO

VISO

:-(

INCENTIVOS

RECURSOS

PLANO DE AO

ANSIEDADE

VISO

HABILIDADES

:-(

RECURSOS

PLANO DE AO

MUDANA LENTA

VISO

HABILIDADES

INCENTIVOS

:-(

PLANO DE AO

FRUSTRAO

VISO

HABILIDADES

INCENTIVOS

RECURSOS

:-(

INDECISO

 Falha de julgamento humano na tomada de decises de resposta a risco e no

estabelecimento de controles associados.
No levar em considerao o custo-benefcio (cf. art. 14 do Decreto-lei n
200/1967).
Falhas por erro ou engano humano (controles podem ser anulados).
Conluio entre pessoas.
Administrao tem o poder de no aceitar decises com base em GRC.
Ausncia de clareza na designao de responsabilidades.
Cultura, valores e crenas em confronto com o GRC.

 Eu sou eu e minhas circunstncias (Jos Ortega y

Gasset, 1883-1955).
A realidade do mundo sempre colidir com nossos
sonhos, mas mesmo assim devemos sonhar em
libertar a ns mesmos desde o presente. por isso
que Ortega y Gasset v a vida como uma srie de
colises com o futuro.
A ideia de Ortega y Gasset desafiar as circunstncias
tanto no nvel pessoal quanto no poltico. Ele supe
que toda tentativa de mudana ser desafiada, mas
que temos o dever de continuar avanando contra as
circunstncias limitadoras.

 a justificativa da organizao para gerenciar riscos;

as ligaes entre os objetivos e polticas da organizao com a poltica de gesto de
riscos;
as responsabilidades para gerenciar riscos;
os recursos necessrios para auxiliar os responsveis pelo gerenciamento dos riscos;

a forma com que o desempenho da gesto de riscos ser medido e reportado;

 identificar os proprietrios dos riscos que tm a responsabilidade e a

autoridade para gerenciar riscos;
identificar os responsveis pelo desenvolvimento, implementao e
manuteno da estrutura para gerenciar riscos;
identificar outras responsabilidades das pessoas, em todos os nveis da
organizao no processo de gesto de riscos;

 Pessoas, habilidades, experincias e competncias;

Recursos necessrios para cada etapa do processo de gesto de riscos;
Processos, mtodos e ferramentas da organizao para serem utilizados
para gerenciar riscos;
Processos e procedimentos documentados;
Sistemas de gesto da informao e do conhecimento; e
Programas de treinamento de pessoal em gesto de riscos.

50

Definiu, pela 1 vez, um arcabouo recomendado para a

estruturao de controles internos no mbito do poder pblico, ao
mesmo tempo que proporciona uma base para que o nvel de
controle interno seja avaliado.
Hoje, h o COSO ICIF 2013.

Modelo conceitual para o gerenciamento de riscos corporativos;

Ainda no h um modelo pblico de gesto de riscos no Brasil; da
o porqu em as prticas conhecidas estarem baseadas
predominantemente em modelos internacionais, a exemplo do
COSO II ERM (2004);
Proporciona as diretrizes :
para evoluo e aprimoramento do gerenciamento de riscos; e
dos procedimentos para sua anlise.

COSO I (1992) COSO II ERM (2004)

5 ELEMENTOS 8 COMPONENTES DO
DO CONTROLE GERENCIAMENTO DE
INTERNO
RISCOS
(TCU)
Ambiente de
controle

Ambiente interno

53

COSO ICIF
(2013)

ABNT NBR ISO

31000:2009

Ambiente de
controle

Estabelecimento do
contexto

Avaliao de
riscos

Processo de avaliao de
riscos

Fixao de objetivos

Identificao de eventos
Avaliao e
gerenciamento
dos riscos

Avaliao de riscos

Resposta a risco
Atividade de
controle

Atividades de controle
(1 linha de defesa)

Atividades de
controle

Tratamento de riscos

Informao e
comunicao

Informaes e
comunicaes

Informao e
comunicao

Comunicao e consulta

Monitoramento

Monitoramento

Atividades de
monitoramento

Monitoramento e anlise
crtica

 Trs possibilidades: i) averso ao risco; ii) amor ao risco negativo (cada

dlar importante); iii) conscincia sobre os riscos (inovao sustentvel e
aproveitamento dos riscos positivos).
Aspectos culturais visveis: comportamentos; relacionamentos; histrias;
cerimnias (ritos); smbolos; etc.
Aspectos culturais ocultos: valores; modelos mentais (premissas e
preconceitos); atitudes; crenas; sentimentos; etc.

 Estabilidade, experincia e conhecimento sobre o passado so os atributos mais

valorizados.
Reatividade ao que acontece.
Hierarquia e decises top-down.
Foco interno eficincia x foco no consumidor.
Poucas mudanas ocorrem (tendncia paralisia).
Erros so personalizados e temidos.
tica weberiana da convico predominante.
Fonte: adaptado de Griffiths, 2010.

Steve Irwin (1962-2006)

Em 2011, a US Financial Crisis Inquiry Commission (Comisso Norte-americana de Inqurito sobre a Crise
Financeira) afirmou que a crise financeira de 2008 foi causada, em parte, por empresas financeiras que
assumiram, agressivamente, riscos demais.

 Tomadores de deciso entendem a importncia de:

identificar e avaliar, cuidadosamente, os riscos das atividades presentes e
futuras;
os riscos serem comunicados;
assumir riscos e recompensas de acordo com a situao.

Gerenciar riscos um processo estratgico, equilibrando custos e

benefcios (ver art. 14 do Decreto-lei n 200/1967, p.e.).

 EQUILIBRADO
CONSCIENTE
RACIONAL
RESPONSVEL
CUIDADOSO

AVERSO AO RISCO

SUSTENTVEL

INOVAO

AMOR AO PERIGO

IMPRUDENTE
AGRESSIVO
INCONSEQUENTE
NEGLIGENTE
LEVIANO
IMPULSIVO

CONSERVADOR
ATVICO
LENTO
MEDROSO
ACANHADO
INATIVO

 Inovao sustentvel e motivao so os valores mais importantes.

Foco externo (ambiente), aproveitando oportunidades (benchmarking).
Adaptaes estratgicas e mudanas organizacionais so frequentes (gesto de
mudanas).
Erros no so condenados. Encobrir os erros falta grave.
Jamais devemos esconder os ensinamentos tirados de um erro cometido; ele nunca ser
pequeno demais para ser considerado desprezvel pelo gestor pblico.
tica weberiana da responsabilidade predominante.
Fonte: adaptado de Griffiths, 2010.

Tenso entre ganhos de curto prazo x parmetros de longo prazo,

ajustados pelo risco.
Transformar a incerteza em riscos mensurveis e manejveis, de
forma a poder enfrent-los, sem que com isso se cobam
iniciativas inovadoras de gesto (pelo medo).

E.B. Patrimnio pessoal

2006

R$ 2 bilhes

2012

R$ 34 bilhes

2014

R$ - 1 bilho

Previso 2006 20.000 barris/dia at 2011

Realidade 2013 15.000 barris/dia

Ao da ___

Um famoso grupo empresarial

2010

R$ 100 bilhes

2014

R$ 2,5 bilhes

2005

2015

Multiplicao de projetos.

Excesso de otimismo.
Grande esforo na venda dos projetos.
Deficincias na gesto do dia a dia
Explorao x produo

Concentrou riscos
Fraca governana
S boas notcias
Foco no curto prazo
Metas baseadas no mercado acionrio
Remunerao dos executivos

 Punir gestores por adotar providncias por um risco que

no se concretizou.
Determinao ao Ministrio dos Transportes para que se
abstivesse de realizar contratao direta emergencial
quando no puder caracterizar claramente a situao de
emergncia imprevisvel, evitando o que ocorreu quando
da contratao da empresa FINATEC, por emergncia,
para adequao dos sistemas informatizados ao BUG do
milnio (item 1.1, TC-011.132/2005-9, Acrdo n
422/2006-TCU-1 Cmara, DOU de 10/03/2006, S. 1, p.
85).

 Liderana forte na organizao e nos seus projetos

Estilo de deciso participativo

Comunicao aberta

Alinhamento de incentivos e recompensas

Indicadores de medida da potencial presena, nvel ou tendncia

de um risco
Indicador voltado para o futuro

Key Risk
Indicators

Gesto de Riscos

Key
Performance
Indicators
(Indicadores
de
desempenho)
Planejamento Estratgico
Gesto por Resultados

Sua organizao tem conscincia sobre os riscos a que est

exposta?
Como a sua organizao lida com esses riscos?
Qual a cultura de risco da sua organizao?

O TCU est cobrando a implantao do GRC na sua organizao,

sob a gide de boas prticas de governana?