ET02 - Gestão Riscos Flashcards
1 Gestão de riscos: princípios, objetos, técnicas, modelos nacionais e internacionais, integração ao planejamento.
Risco: definição
Aspecto futuro que apresenta algum grau de incerteza e que pode afetar positiva ou negativamente a organização
Risco: definição TCU
Risco é o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de ocorrência de eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto dessa ocorrência sobre os resultados pretendidos.
Gestão de Riscos: definição
Processo estruturado que visa identificar, avaliar e gerenciar incertezas que podem afetar os objetivos de uma organização.
Identificar, analisar e preparar-se para eventos que podem afetar negativamente (riscos) ou positivamente (oportunidades) os objetivos
Gestão de Riscos: definição TCU
Consiste em um conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e monitorar riscos. É o processo que visa conferir razoável segurança quanto ao alcance dos objetivos
Gestão de Riscos: características
ISO 31.000/2018 [4]
✓ Iterativo e auxilia as organizações no estabelecimento de estratégias, no alcance de objetivos e na tomada de decisões fundamentais;
✓ Parte da governança e liderança, e é fundamental para a maneira como a organização é gerenciada em todos os níveis. Isso contribui para a melhoria dos sistemas de gestão;
✓ Parte de todas as atividades associadas com uma organização e inclui interação com as partes interessadas;
✓ Considera os contextos externo e interno da organização, incluindo o comportamento humano e os fatores culturais.
1 Gestão de riscos: princípios
ISO 31000/2018 [8]
- Integrada
- Estruturada e abrangente
- Personalizada
- Inclusiva
- Dinâmica
- Melhor Informação Disponível
- Fatores humanos e culturais
- Melhoria Contínua
1 Gestão de riscos: princípios
[3]
- Abordagem Integrada
- Processo Contínuo
- Tomada de Decisão Informada
1 Gestão de riscos: objetos
[3]
- Identificação de Riscos
- Avaliação de Riscos
- Mitigação de Riscos
1 Gestão de riscos: técnicas
[3]
- Análise SWOT: Uma ferramenta estratégica que ajuda a identificar forças, fraquezas, oportunidades e ameaças.
- Análise de Causa Raiz: Uma técnica usada para identificar a causa fundamental de um problema ou risco.
- Análise de Impacto no Negócio: Uma técnica usada para identificar o impacto potencial de um risco no negócio.
1 Gestão de riscos: modelos nacionais e internacionais
[3]
- ISO 31000: Um padrão internacional que fornece diretrizes para a gestão de riscos.
- COSO ERM: Um modelo de gestão de riscos empresariais desenvolvido pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO).
- ABNT NBR ISO 31000: No Brasil, a Associação Brasileira de Normas Técnicas (ABNT) adotou a ISO 31000 como referência para gestão de riscos.
1 Gestão de riscos: modelos
COSO-IC (COSO I)
Definição
Modelo de controle interno que utiliza práticas de avaliação de riscos, não tendo sido elaborado com o objetivo de ser um modelo de gestão de riscos em sentido estrito.
1 Gestão de riscos: modelos
COSO-IC (COSO I)
CUBO
Objetivos:
. operacionais
. relatórios financeiros confiáveis e
. assegurar conformidade legal/regulatória.
Estrutura organizacional (do maior ao menor nível.):
. subsidiária
. unidade de negócio
. divisão,
. nível de organização
Componentes:
. ambiente de controle,
. análise de riscos,
. atividades de controle,
. informação e comunicação e
. monitoração.
1 Gestão de riscos: modelos
COSO-ERM (COSO II)
Definição
Projetado com o objetivo de orientar as organizações no estabelecimento de um processo de gestão de riscos corporativos e na aplicação de boas práticas sobre o tema.
Evolução do COSO-IC
Não pretende substituir o modelo do controle interno, mas sim incorporá-lo
1 Gestão de riscos: modelos
COSO-ERM (COSO II)
Cubo
Objetivos:
. estratégico
. operacionais
. comunicação e
. conformidade
Estrutura organizacional (do maior ao menor nível.):
. subsidiária
. unidade de negócio
. divisão,
. nível de organização
Componentes:
. ambiente interno
. fixação de objetivos
. identificação de eventos
. avaliação de riscos
. resposta a risco
. atividades de controle,
. informação e comunicação e
. monitoramento
1 Gestão de riscos: modelos
COSO - ERM (2017)
Definição
COSO ERM – Integrating with Strategy and Performance, também denominado como Framework, destaca a importância de considerar os riscos tanto no processo de estabelecimento da estratégia quanto na melhoria da performance
1 Gestão de riscos: modelos
COSO - ERM (2017)
Desenho
Missão, Visão e Valores Fundamentais
formam a expressão inicial dos riscos aceitáveis na estratégia
||
\ /
Possibilidade da estratégia não estar alinhada
Implicações derivadas da Estratégia escolhida
( Objetivos Estratégicos e de Negócio )
Riscos na Execução da Estratégia
||
\ /
Ganhos no Desepenho
1 Gestão de riscos: modelos
ISO 31000:2009
ABNT NBR ISO 31000:2009
Definição
2009
Contempla as seguintes fases ou atividades:
- estabelecimento do contexto,
- identificação,
- análise,
- avaliação e tratamento de riscos,
- comunicação e consulta,
- monitoramento e
- análise crítica.
1 Gestão de riscos: modelos
ISO 31000:2018
Definição
2018
Processo de Gestão de Riscos
1. Escopo, contexto e critérios
2. Identificação de Riscos
3. Análise de Riscos
4. Avaliação de Riscos
5. Tratamento de Riscos
6. Registro e Relato
7. Comunicação e Consulta
8. Monitoramento e análise crítica
1 Gestão de riscos: integração ao planejamento.
- Identificação de riscos durante a formulação da estratégia
- Análise de riscos durante o desenvolvimento do plano de ação
- Avaliação de riscos durante a revisão e monitoramento do plano
1.1 Processo de Gestão de Riscos: comunicação e consulta
I nício do processo de gestão de riscos e durante todo o seu desenvolvimento:
envolver as partes interessadas.
A comunicação e consulta permitem a troca de informações sobre os riscos e as decisões a serem tomadas, garantindo transparência e inclusão das perspectivas de diferentes stakeholders.
1.1 Processo de Gestão de Riscos: comunicação, consulta, contextualização, identificação, análise, tratamento, monitoramento e retroalimentação
1.1 Processo de Gestão de Riscos:
escopo, contexto e critérios
Escopo: Define o limite e o foco da gestão de riscos na organização.
Contexto: Envolve a compreensão do ambiente interno e externo em que a organização opera. Isso inclui fatores legais, culturais, financeiros e ambientais que podem influenciar a gestão de riscos.
Critérios: Estabelece os parâmetros para avaliar a significância dos riscos, ajudando a determinar a necessidade de tratamento.
1.1 Processo de Gestão de Riscos: Processo de Avaliação de Riscos
Coração da gestão de riscos,
três etapas principais:
1. Identificação de Riscos
- Análise de Riscos
- Avaliação de Riscos
Processo de Avaliação de Riscos
Identificação de Riscos
Localizar e descrever os riscos que podem afetar a organização.
Finalidade: gerar uma lista abrangente de riscos baseada nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos.
Deve incluir todos os riscos, estando suas fontes sob o controle da organização ou não, mesmo que as fontes ou causas dos riscos possam não ser evidentes.
Além de identificar o que pode acontecer, é necessário considerar todas as possíveis causas e cenários que mostrem quais consequências podem ocorrer.
Processo de Avaliação de Riscos
Análise de Riscos 01
Risco = Probabilidade x Impacto
Entender a natureza dos riscos identificados e determinar o nível de risco, considerando a probabilidade de ocorrência e o impacto.
Desenvolver a compreensão dos riscos, fornecendo uma entrada para a avaliação de riscos e para as decisões sobre a necessidade de os riscos serem tratados, e sobre as estratégias e métodos mais adequados de tratamento de riscos.
Fornecer uma entrada para a tomada de decisões em que escolhas precisam ser feitas e as opções envolvem diferentes tipos e níveis de risco.
Processo de Avaliação de Riscos
Análise de Riscos 02
Risco = Probabilidade x Impacto
Envolve a apreciação das causas e as fontes de risco, suas consequências positivas e negativas, e a probabilidade de que essas consequências possam ocorrer.
A análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis.
Dependendo das circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas.
Processo de Avaliação de Riscos
Análise de Riscos Qualitativa
Definem o impacto, a probabilidade e o nível de risco por qualificadores como “alto”, “médio” e “baixo”, com base na percepção das pessoas.
Processo de Avaliação de Riscos
Análise de Riscos Semiquantitativos
Usam escalas numéricas previamente convencionadas para mensurar a consequência e a probabilidade, os quais são combinados, por meio de uma fórmula, para produzir o nível de risco. A escala pode ser linear, logarítmica ou de outro tipo. As fórmulas também podem variar de acordo com a necessidade e o contexto.
Processo de Avaliação de Riscos
Análise de Riscos Quantitativos
Estimam valores para as consequências e suas probabilidades a partir de valores práticos e calculam o nível de risco a partir de unidades específicas definidas no desenvolvimento do contexto.
Processo de Avaliação de Riscos
Avaliação de Riscos
Comparar os riscos analisados com os critérios de risco para priorizar quais necessitam de tratamento.
É conveniente que as decisões sejam tomadas de acordo com os requisitos legais, regulatórios e outros requisitos.
Pode levar:
✓ Fazer mais nada;
✓ Considerar as opções de tratamento de riscos;
✓ Reconsidera os objetivos.
✓ Manter os controles existentes.
1.1 Processo de Gestão de Riscos: Tratamento
Define as opções para lidar com os riscos identificados e avaliados:
. mitigar,
. transferir,
. evitar ou
. aceitar riscos
dependendo de sua prioridade e impacto.
O tratamento de riscos inclui a implementação de medidas específicas e a alocação de recursos necessários para gerenciar esses riscos.
1.1 Processo de Gestão de Riscos: Tratamento
Processo
*. Avaliação do tratamento de riscos já realizado
*. Decisão se os níveis de risco residual são toleráveis
*. Se não forem toleráveis, a definição e implementação de um novo tratamento para os riscos; e
*. Avaliação da eficácia desse tratamento.
1.1 Processo de Gestão de Riscos: Tratamento
Mitigar
OU Reduzir
Consiste em adotar medidas para reduzir a probabilidade ou a consequência dos riscos ou até mesmo ambos.
Os procedimentos que uma organização estabelece para tratar riscos são denominados de atividades de controle interno.
1.1 Processo de Gestão de Riscos: Tratamento
Transferir
OU Compartilhar
É o caso especial de se mitigar a consequência ou probabilidade de ocorrência do risco por meio da transferência ou compartilhamento de uma parte do risco, mediante contratação de seguros ou terceirização de atividades nas quais a organização não tem suficiente domínio.
1.1 Processo de Gestão de Riscos: Tratamento
Evitar
Decisão de não iniciar ou de descontinuar a atividade, ou ainda desfazer-se do objeto sujeito ao risco.
1.1 Processo de Gestão de Riscos: Tratamento
Aceitar
É não tomar, deliberadamente, nenhuma medida para alterar a probabilidade ou a consequência do risco. Ocorre quando o risco está dentro do nível de tolerância da organização (e.g. quando o risco é considerado baixo), a capacidade para fazer qualquer coisa sobre o risco é limitada ou, ainda, o custo de tomar qualquer medida é desproporcional em relação ao benefício potencial (e.g. gastar mais recursos financeiros para proteger um ativo do que o próprio valor do ativo).
1.1 Processo de Gestão de Riscos:
Plano para Tratamento de Riscos
- as razões para a seleção das opções de tratamento, incluindo os
benefícios que se espera obter; - os responsáveis pela aprovação do plano e os responsáveis pela
implementação do plano;
*ações propostas; - os recursos requeridos, incluindo contingências;
*medidas de desempenho e restrições; - requisitos para a apresentação de informações e de
monitoramento; e - cronograma e programação.
1.1 Processo de Gestão de Riscos:
Risco Inerente
Risco normal do negócio ou da atividade antes de qualquer tratamento de riscos
1.1 Processo de Gestão de Riscos:
Risco Residual
Depois de termos identificado e tratado o risco, ele poderá ser reduzido.
O risco que “sobrar” depois desse tratamento é o que se chama de “risco residual”.
1.1 Processo de Gestão de Riscos:
Monitoramento e Análise Crítica
Essencial para a eficácia do processo de gestão de riscos.
Envolve a revisão contínua do contexto e dos critérios de risco, bem como a avaliação da eficácia das medidas de tratamento.
Garantem que as mudanças sejam identificadas e que as ações sejam ajustadas conforme necessário.
1.1 Processo de Gestão de Riscos:
Registro e Relato
Vital para a transparência e para a tomada de decisões informadas.
Os registros devem incluir informações sobre os riscos identificados, suas análises, avaliações e os tratamentos aplicados, além de qualquer mudança significativa no perfil de risco da organização.
1.2 Boas práticas de gestão de Riscos [8]
- Formação de um Grupo de Trabalho
- Realização de Estudos Preliminares
- Definição de Estratégia e Estrutura
- Criação de uma Política de Gestão de Riscos
- Estabelecimento de Responsabilidades
- Definição do Processo de Gestão de Riscos
- Implementação
- Monitoramento e Revisão
