1

Documento Reservado

Em elaborao




Guia de Orientao
para o
Gerenciamento de Riscos
Consultores:
Pedro C Ribeiro/Geraldo L. Marques



Maro/2013












NDICE

1. Histrico do GesPblica .............................................. 05
2. Introduo ao Guia ..................................................... 08
3. A Importncia do Gerenciamento de Riscos ............... 09
4. Objetivos do Guia ........................................................ 10
5. Pblicos Alvos .............................................................. 11
6. Definio de Risco ..................................................... 12
7. Hierarquia de Riscos .................................................. 13
8. O Contexto do Gerenciamento de Riscos .................. 15
8.1. O Contexto Interno ............................................ 15
8.2. O Contexto Externo ........................................... 16
9. 0 O Modelo de Gerenciamento de Riscos .................... 18
9.1 O Processo de Gerenciamento de Riscos .............. 18
9.2 A Organizao Estendida ....................................... 18
9.3 O Macro Ambiente de Riscos ................................. 19
9.4 Comunicao e Aprendizado ................................. 19
10.0 O Processo de Gerenciamento de Riscos ................. 20
10.1. Identificao de Riscos ......................................... 21
10.2. Anlise e Avaliao de Riscos ............................. 27
10.3. Planejamento de Respostas a Riscos ................. 33
10.4. Implementao, Monitoramento e Controle........... 37
11.0 Comunicao e Aprendizado ..................................... 40
Glossrio ............................................................................. 41
Referncias ....................................................................... 42














1.0 Histrico do GesPblica
H 21 ANOS A ADMINISTRAO PBLICA INVESTE NO FOMENTO DA SUA GESTO

O investimento sistemtico em mtodos e instrumentos que promovessem a maior
qualidade dos processos e atividades no mbito da gesto pblica tem como marco
significativo a criao do Programa Brasileiro da Qualidade e Produtividade - PBQP,
por meio do Decreto n 99.675, de 07 de novembro de 1990, que contemplou um
subcomit setorial para promover a implementao de programas de qualidade e
produtividade na administrao pblica federal. O PBQP foi uma estratgia adotada
pelo Governo Federal para estimular novas tcnicas de produo, gesto e
mudanas organizacionais no setor empresarial brasileiro e, assim, dar, s empresas,
condies de concorrncia, em um cenrio de abertura dos mercados nacionais que
havia sido promovida pelo Governo Collor.
O Subcomit Setorial da Administrao Publica foi coordenado pela extinta Secretaria
de Administrao Federal da Presidncia da Repblica e congregou representantes
de todos os rgos e entidades do Poder Executivo. Naquela poca, houve o
investimento na absoro dos conceitos e tcnicas da Gesto pela Qualidade Total
(Total Quality Management TQM), com realizao de diversas misses ao exterior
para a internalizao dos conceitos de Deming e outros especialistas na rea,
especialmente ao Japo e aos Estados Unidos da Amrica.
Em 1995, por fora do Decreto s/n, de 9 de novembro de 1995, o PBQP foi
reformulado e o Subcomit Setorial da Administrao Pblica transformado em
Programa da Qualidade e Participao1 na Administrao Pblica - QPAP. Coube
Cmara de Reforma do Estado do Conselho de Governo a responsabilidade pela
formulao de suas diretrizes e o ento recm-criado e j extinto Ministrio da
Administrao Federal e Reforma do Estado - MARE ficou responsvel pela
implementao das aes do Programa (conforme art. 5 do Decreto).
O QPAP2 foi criado no escopo do Plano Diretor da Reforma do Aparelho do Estado,
elaborado pelo MARE, como estratgia de promoo da modernizao da gesto
pblica, com o objetivo de introduzir novos conceitos e tcnicas de gesto pblica,
baseados no desempenho, na reduo ao mnimo dos erros, e na participao dos
servidores na definio dos processos de trabalho. Com a reformulao do Programa,
sua abordagem, antes centrada na promoo das metodologias de TQM, evoluiu para
a promoo da qualidade no sistema de gesto institucional, a partir da adoo dos

1
O art. 5 do Decreto denomina o Programa como de Qualidade e Produtividade, mas o nome, efetivamente,
utilizado foi Programa da Qualidade e Participao na Administrao Pblica QPAP, conforme consta do Plano
Diretor da Reforma do Estado.
2
O QPAP foi elaborado pelo Ministrio da Administrao Federal e da Reforma do Estado e, depois de ampla
discusso, aprovado pela Cmara da Reforma do Estado em sua reunio de 21 de setembro de 1995.


critrios de excelncia da gesto pblica, preconizados pela Fundao Nacional da
Qualidade - FNQ3, com adaptaes para aplicao na realidade pblica.
Em 1997, o QPAP lanou o primeiro instrumento de avaliao da gesto pblica,
elaborado a partir dos critrios do PNQ, que serviu de base para o Prmio de
Qualidade do Governo Federal - PQGF, lanado em 1998 e hoje denominado Prmio
Nacional da Gesto Pblica.
Aps essa data, o instrumento sofreu diversas alteraes e foi utilizado na efetivao
de 12 ciclos anuais at o ano de 2010. Nesses doze anos, 685 rgos e entidades
pblicas participaram dos ciclos de premiao, sendo que, delas, 132 foram
reconhecidas ou premiadas pela qualidade e excelncia dos seus mtodos de gesto.
Em 2005, o QPAP foi reestruturado com o objetivo de ampliar sua abrangncia de
atuao; fortalecer a seu potencial de mobilizao intra e extra governo e refinar suas
metodologias e ferramentas. O Decreto n 5.378, de 23 de fevereiro de 2005, criou o
Programa Nacional de Gesto Pblica e Desburocratizao Gespblica, resultado
da fuso do QPAP com o Programa Nacional de Desburocratizao. Sua finalidade
consiste em melhorar a qualidade dos servios pblicos prestados aos cidados e
para o aumento da competitividade do pas. .
Nessa fase, o Gespblica constituiu e fortaleceu a Rede Nacional de Gesto Pblica
(RNGP), arranjo composto por rgos, entidades, servidores pblicos e integrantes
da sociedade civil, que, nem janeiro de 2012, totalizou 1868 organizaes e 1538
voluntrios participantes. A Rede oferece cursos de capacitao em gesto,
especialmente nos instrumentos que compem o Programa.
O Gespblica um programa de melhoria e inovao administrativa, tendo
desenvolvido e aperfeioado diversas tecnologias de gesto, adaptadas ao contexto e
identidade dos rgos e entidades pblicos, que so disponibilizadas sua rede de
participantes, tais como Carta de Servios4, Gesto de Processos5, Instrumento
Padro de Pesquisa de Satisfao - IPPS6 e Indicadores de Desempenho7.
Embora com nomes diferentes e com redirecionamentos, o Gespblica, em seus 21 anos
de existncia, consolida-se como um programa estratgico, capaz de gerar valor pblico
para a Administrao e para a Sociedade, por meio da promoo e da articulao do

3
Naquela poca a FNQ denominava-se Fundao para o Prmio Nacional da Qualidade FPNQ.
4
Documento que estabelece o compromisso dos rgos e entidades pblicos de observar padres de qualidade,
eficincia e eficcia na execuo de suas atividades, perante os seus pblicos alvos e sociedade em geral.
5
Instrumento para identificar, desenhar, executar, documentar, medir, monitorar, controlar e melhorar processos
de trabalho voltados para a gerao de valor pblico.
6
Metodologia de pesquisa de opinio padronizada que investiga o nvel de satisfao dos usurios de um
servio pblico, desenvolvida para se adequar a qualquer organizao pblica prestadora de servios diretos ao cidado.
7
Referencial metodolgico que permite s organizaes pblicas definirem e mensurarem seu desempenho,
assumindo-se este como um decisivo passo para a gesto do desempenho, possibilitando sua pactuao, avaliao e
divulgao em momentos posteriores.


conhecimento em gesto e do incentivo ao investimento contnuo na capacidade de
governana das organizaes e na entrega de servios de qualidade aos cidados e ao
mercado.





































2.0 Introduo ao Guia


Os nveis de riscos, em todas as categorias - ambientais, sociais, econmicos,
geopolticos e tecnolgicos, vm aumentando globalmente.

Esta nova realidade vem exigindo cada vez mais das organizaes a capacidade de lidar
com altos graus de riscos em seus Planos Estratgicos, Programas, Projetos e Processos
Finalsticos, tanto no setor pblico quanto no setor privado.

Diante desta realidade fundamental a utilizao de processos eficazes para o
gerenciamento de riscos que permitam seu tratamento e a preveno de crises.

Este Guia de Orientao para Gerenciamento de Riscos (Guia) tem como objetivos
principais apoiar o Modelo de Excelncia do Sistema de Gesto Pblica no que tange ao
tema de gerenciamento de riscos e prover uma introduo ao tema gerenciamento de
riscos.

A estrutura do Guia baseou-se no documento The Orange Book Management of Risk -
Principles and Concepts (Gerenciamento de Riscos Princpios e Conceitos) produzido e
publicado pelo HM Treasury do Governo Britnico (Orange Book). O Orange Book foi
amplamente utilizado como a principal referncia do Programa de Gerenciamento de
Riscos do Governo do Reino Unido, iniciado em 2001.

Os conceitos e princpios contidos neste Guia foram extrados diretamente do Orange
Book, a partir de trabalho desenvolvido pela Secretaria de Gesto Pblica (SEGEP) do
Ministrio do Planejamento, Oramento e Gesto em cooperao com o Ministrio das
Relaes Exteriores do Reino Unido.

O Orange Book tem como vantagens, alm de ser compatvel com padres internacionais
de gerenciamento de riscos, apresentar uma introduo ao tema gerenciamento de riscos,
tratando de uma forma abrangente e simples, um tema complexo como o gerenciamento
de riscos nas organizaes.

Isto essencial na introduo de um processo de gerenciamento de riscos em uma
organizao, uma vez que, dentro de qualquer organizao existem diversos nveis de
maturidade com relao ao gerenciamento de riscos.











3.0 A importncia do Gerenciamento de Riscos


Organizaes existem para atingir propsitos que resultam em entregas de servios ou
produtos. Qualquer que seja este propsito, esta entrega de servios e o atingimento dos
seus objetivos esto cercados por incertezas que podem gerar ameaas ao sucesso ou
oportunidade de melhoria, e devem ser gerenciadas de forma estruturada.

Riscos, quando no gerenciados adequadamente, ameaam o atingimento dos objetivos,
o cumprimento dos prazos, o controle dos custos e da qualidade de um programa, projeto
ou entrega de servios aos cidados.

Assim sendo, o gerenciamento de riscos fundamental para o sucesso no cumprimento
da misso da organizao pblica em entregar servios de qualidade para o cidado.

O gerenciamento de riscos pode ajudar as organizaes a melhorar a eficincia, eficcia
e efetividade de diversas formas, como por exemplo:

- melhoria na entrega de servios ao cidado;
- melhor utilizao de recursos;
- melhor planejamento e melhor gerenciamento de programas e projetos.

Tanto cidados quanto a sociedade perdem tempo e dinheiro, se programas de governo e
servios pblicos associados no so entregues de forma adequada e em tempo hbil.

O bom gerenciamento de riscos contribui tambm para aumentar a confiana do cidado:
(a) na capacidade do Governo de entregar os servios prometidos; (b) no sistema de
governana; e (c) na utilizao adequada dos recursos pblicos.

A reputao das organizaes governamentais nas diversas esferas sofre quando seus
programas, projetos e servios no atendem s expectativas de seus pblicos alvos.

Um relatrio do Cabinet Office do Governo do Reino Unido exemplifica esta
preocupao por ocasio da criao do Programa de Gerenciamento de Riscos do
Governo Britnico, quando determina que os objetivos do programa devem gerar:

- menos surpresas para os cidados e para o prprio Governo;
- menor custo resultante de falhas em antecipar riscos;
- melhor clareza de responsabilidades pelo gerenciamento dos riscos no Governo.

Em resumo, um bom gerenciamento de riscos resulta em:

- melhor chance de entrega de servios no prazo, no custo e na qualidade esperada;
- reduo de surpresas, crises e apagar incndios;
- aumento de chances de sucesso de Programas e Projetos governamentais;
- maior transparncia.




4.0 Objetivos do Guia



O Guia tem como objetivos apoiar o Modelo de Excelncia do Sistema de Gesto Pblica
no que tange ao gerenciamento de riscos e prover uma introduo ao tema
gerenciamento de riscos no setor pblico, abordando os pontos essenciais e as etapas
que devem ser levadas em considerao no gerenciamento de riscos.


Este Guia no uma norma ou manual detalhado
de como gerenciar riscos em um rgo/entidade especfica de governo.


Este Guia no um padro, norma ou manual detalhado de como gerenciar os riscos em
uma unidade especfica do governo. O seu objetivo simplesmente elencar os
fundamentos e as etapas que devem ser levadas em considerao para o gerenciamento
de riscos, assim como prover um direcionamento que auxilie os membros da Rede
GesPblica a identificar e abordar este tema nas situaes especficas da sua
organizao quando da utilizao do Modelo de Excelncia do Sistema de Gesto
Pblica.

Cada organizao deve utilizar os seus padres especficos, normas ou procedimentos e
tcnicas opcionais ou mandatrias ao seu tipo de atividade - que tratem em detalhe os
elementos constantes neste Guia.

Podemos citar como exemplos, normas relativas segurana ocupacional, riscos
ambientais, resolues que dispem sobre o gerenciamento do risco de crdito e seguros,
e normas internacionais como a ISO 31000, ISO 9001, OHSAS 18.0001 e ISO 14000.

Alm da conformidade com os padres especficos, importante a organizao adotar um
processo estruturado de gerenciamento de riscos e demonstrar que os riscos esto sendo
gerenciados pela organizao de modo a apoiar a entrega dos seus objetivos.

As orientaes contidas neste Guia devem ser adaptadas realidade de cada
organizao. Conforme indicado no item 9.0 Contexto do Gerenciamento de Riscos, as
organizaes devem possuir ou desenvolver uma estrutura mnima de governana que
apoie seu processo de gerenciamento de riscos.

O Guia foi desenvolvido com base no Orange Book, sendo compatvel com as prticas
de gerenciamento de riscos elencadas na maioria das normas e padres internacionais.










5.0 Pblicos Alvos


Este Guia tem os seguintes pblicos alvos:


1 Aqueles que participam da Rede GesPblica ou estejam adotando o Modelo de Excelncia;

2 Aqueles iniciantes em gerenciamento de riscos que podem utiliz-lo como um documento
introdutrio;

3 Aqueles que estejam envolvidos na avaliao de riscos de seus programas, projetos,
processos finalsticos, auditoria interna de riscos, participando em comits ou em reunies
para reviso e avaliao de riscos e que necessitem de um documento que contenha os
elementos essenciais geralmente abordados no gerenciamento de riscos;

4 As lideranas das organizaes que podem utiliz-lo como apoio para introduzir, de uma
forma simples e eficaz, o gerenciamento de riscos na sua organizao.



Este Guia pode ser utilizado das seguintes formas:


1 Como apoio ao entendimento da terminologia, papis e responsabilidades referentes a riscos
contidos no Modelo de Excelncia do Sistema de Gesto Pblica;


2 Em conjunto com padres, normas ou procedimentos especficos que ofeream maior
detalhamento sobre os princpios e conceitos contidos neste Guia.




Este Guia no substitui Normas Regulamentadoras, Decretos,
Resolues, Procedimentos, Polticas, Instrues ou Leis especficas
relativas ao gerenciamento de riscos em vigor ou em processo de
introduo.











6.0 Definio de Risco



Podemos considerar riscos como eventos ou condies incertas, que caso ocorram,
podem gerar impactos negativos (ameaas) ou positivos (oportunidades) nos objetivos
(por exemplo: objetivos de prazo, custo, qualidade, escopo e imagem) de programas,
projetos ou servios a serem entregues sociedade.

Alinhado com esta definio, a ISO 31000 define risco como sendo o efeito da incerteza
nos objetivos (Norma ABNT ISO 31000:2009).

Um risco pode ser expresso pela combinao percebida da sua probabilidade de
ocorrncia e do(s) impacto(s) resultante(s) da(s) ameaa(s) ou oportunidade(s).

Toda atividade humana inclui riscos. Sendo assim, toda organizao tem que gerenciar os
riscos de modo a cont-los em nveis aceitveis pela organizao.

O gerenciamento de riscos consiste na aplicao de princpios e processos para
identificao e avaliao de riscos ao planejamento, implementao e ao controle das
respostas aos riscos. Caso os riscos no sejam adequadamente gerenciados, a
organizao acaba tomando riscos que no foram analisados adequadamente e, portanto,
desconhece.

Como indicado no item 8.0 Contexto do Gerenciamento de Riscos, o gerenciamento de
riscos deve adotar uma abordagem que contenha os seguintes elementos:

1. Alinhamento com o Sistema de Governana da Organizao;
2. Definio de processo, mtodos e tcnicas a serem utilizados;
3. Papis e responsabilidades;
4. Formulrios e modelos a serem utilizados;
5. Definio de nveis de tolerncia, alada e de aprovao de riscos;
6. Recursos a serem utilizados no gerenciamento de riscos.





7.0 A Hierarquia de Riscos



Riscos devem ser gerenciados em trs nveis: estratgico, de programas e de projetos e
atividades (ver Fig. 1). A organizao deve ser capaz de gerenciar riscos nos trs nveis.

Nvel Estratgico

neste nvel onde se d o contrato poltico do Governo com a sociedade e estabelecida
a coerncia do seu programa de Governo. Decises neste nvel envolvem a formulao
dos objetivos estratgicos e as prioridades para a alocao de recursos pblicos em
alinhamento com as polticas pblicas.


Nvel Programa

Neste nvel encontram-se as decises de implementao e gerenciamento de programas
temticos previstos no nvel estratgico, atravs dos quais so executadas as politicas e
as aes prioritrias de Governo.


Nvel Projetos e Atividades

Neste nvel encontram-se os projetos que contribuiro para o atingimento dos objetivos
dos Programas, e as atividades relativas aos processos finalsticos.

As lideranas em todos os nveis da organizao devem estar conscientes, capacitadas e
motivadas com relao relevncia do gerenciamento de riscos nos trs nveis, que so
interdependentes.



Fig. 1 Hierarquia de Riscos: Adaptado de The Orange Book HM Treasury, 2004


O direcionamento para o gerenciamento de riscos dado pelo topo da organizao, mas
deve ser gerenciado nos trs nveis de forma integrada. O gerenciamento de riscos deve
ser incorporado aos processos, atividades e rotinas das organizaes governamentais.

A organizao como um todo precisa ter meios de assegurar que o gerenciamento de
riscos esteja acontecendo de forma apropriada em cada nvel, de acordo com os planos
de gerenciamento de riscos definidos para as mesmas. A gerncia, em cada nvel,
precisa ser capacitada com as competncias necessrias e processos definidos para o
gerenciamento de riscos em alinhamento com o Guia.







































8.0 O Contexto do Gerenciamento de Riscos



O gerenciamento de riscos no ocorre no vcuo. Toda organizao encontra-se em um
ambiente que determina a natureza e o contexto dos riscos a serem gerenciados.

8.1 O Contexto Interno

O gerenciamento de riscos precisa levar em considerao a organizao na qual est
inserido, incluindo o sistema de governana, polticas, objetivos, estrutura organizacional,
recursos (humanos, materiais e financeiros), conhecimento, sistemas de informao,
processo decisrio, valores, partes interessadas, cultura organizacional, normas, modelos
e diretrizes da organizao.

Deve haver uma total aderncia entre o processo de gerenciamento de riscos e o sistema
de governana da organizao.

O Modelo de Excelncia define que o Sistema de Governana aborda as prticas de
gesto adotadas pela alta direo no cumprimento da finalidade do rgo/entidade, de
forma a gerar valor para a sociedade, observando os valores e fundamentos da
administrao pblica, especialmente os princpios da supremacia do interesse pblico,
da articulao federativa e descentralizao das polticas pblicas, da participao e
controle social.

No existe uma maneira nica de implementar um processo de gerenciamento de riscos.
Os elementos abaixo esto entre os que devem ser definidos:

- poltica de gerenciamento de riscos ou alinhamento com uma poltica existente;
- processo especfico para o gerenciamento de riscos alinhado com o sistema de
governana;
- nveis de tolerncia a riscos;
- papis e responsabilidades e nveis de autoridade e de aprovao dentro do processo
de gerenciamento de riscos;
- estrutura organizacional e recursos dedicados ao gerenciamento de riscos;
- documentos e relatrios a serem produzidos, distribudos, utilizados, mantidos e
armazenados;
- normas regulamentadoras, decretos, resolues, procedimentos, politicas, instrues ou
leis especficas em vigor ou em processo de introduo relacionadas a riscos a serem
utilizadas;
- ciclos de reviso, auditorias e aprovao;
- fruns de deciso e aladas sobre riscos;
- sistemas de suporte necessrios;
- plano de capacitao das pessoas; e
- procedimentos e critrios de avaliao e melhoria contnua do processo de
gerenciamento de riscos.






8.2 O Contexto Externo

O contexto externo o ambiente no qual a organizao busca atingir seus objetivos. Inclui
desde interdependncias com outras organizaes, dentro ou fora do governo, que
formam sua cadeia de valor (Organizao Estendida), assim como o macro ambiente
externo que inclui economia, poltica, legislao, tanto nacional quanto internacional.


8.2.1 A Organizao Estendida

Nenhuma organizao opera de forma independente, mas tem inmeras
interdependncias com outras organizaes, dentro ou fora do governo. Estas
organizaes compem o que chamamos de organizao estendida e as suas
interdependncias impactam o gerenciamento de riscos atravs da gerao de riscos de
interdependncia que devem ser gerenciados.

O impacto recproco da ao de uma organizao nas demais organizaes deve ser
sempre avaliado. Por exemplo, se um rgo do governo responsvel por prover servios
de apoio de Tecnologia da Informao tem incertezas sobre cortes em seu oramento,
esta situao gera um risco para outros rgos do governo que planejam utilizar tais
servios para atingir os objetivos de seus programas, projetos ou processos finalsticos.

As organizaes governamentais tm interdependncias com outras organizaes sobre
as quais no possui controle direto. Assim sendo, a entrega de seus programas, projetos,
processos e servios dependem de outras organizaes ou impactam as entregas e o
atingimento de metas de outras organizaes.

Vrios rgos do Governo tm relacionamentos cruzados dentro da estrutura do Estado.
Por isso essencial o alinhamento entre estas organizaes com o objetivo de facilitar
uma abordagem de gerenciamento de riscos que permita s partes atingir e/ou ajustarem
os seus objetivos. Organizaes tm tambm interdependncias com fornecedores,
financiadores de projetos e terceiros de maneira geral, inclusive para entrega de servios,
integrantes da cadeia de valor do setor pblico.

Por exemplo, Governos utilizam contratos de terceirizao de servios com empresas
privadas para atendimento aos cidados em diversas reas.

Qualquer que seja a natureza das relaes de riscos entre as organizaes participantes
desta cadeia de valor de servios governamentais, h necessidade de se assegurar que o
risco est sendo gerenciado em todos os nveis (integrao vertical) e em toda a cadeia
de valor (integrao horizontal).



8.2.2 O Macro Ambiente

Alm das fronteiras da organizao estendida cadeia de valor existem outros fatores
que contribuem para formar o ambiente e gerar cenrios nos quais os riscos devem ser
gerenciados.



Estes fatores geralmente classificados como riscos externos podem gerar riscos que
no so diretamente controlados, ou podem restringir a forma como tomamos ou tratamos
os riscos. Os mesmos esto associados ao ambiente poltico, econmico, social,
tecnolgico e ambiental no nvel internacional, nacional, regional ou local no qual a
organizao est inserida.

Fazem parte deste ambiente, a legislao nacional e internacional, organismos
reguladores tais como a ANAC e ANATEL, o Congresso Nacional (Senado e Cmara dos
Deputados), Assembleias Legislativas na esfera Estadual e Cmaras de Vereadores na
esfera Municipal), a economia nacional e internacional, rgos de auditoria e controle
externo, a sociedade civil (cidados, empresas, mdia, organizaes no
governamentais), o Ministrio Pblico e os demais agentes econmicos e polticos do
pas.

Um aspecto particular do macro ambiente de riscos nas organizaes governamentais a
prpria estrutura organizacional do governo. Em princpio, as organizaes do governo
existem para entregar as politicas e metas definidas pelo governo. Assim sendo, para o
sucesso de um processo de gerenciamento de riscos, muito importante que as decises
de prioridades e politicas de governo, estejam alinhadas e levem em considerao boas
prticas de gerenciamento de riscos.

Em particular, a legislao, a includas as normas e os regulamentos, tem impacto no
contexto e consequentemente nos riscos. importante para uma organizao identificar
quais so as exigncias da legislao, como por exemplo, legislao ambiental, para que
sejam devidamente levadas em considerao no gerenciamento de riscos pois preveem
prazos para obteno da licena ambiental.

Um aspecto importante com relao a riscos do macro ambiente que uma organizao
no pode ter controle total sobre riscos associados a eventos - como uma catstrofe
natural que impactam a entrega dos seus servios. No entanto, a organizao sempre
pode desenvolver planos de contingncia para assegurar da melhor maneira possvel a
entrega destes servios, caso o evento ocorra.




















9.0 O Modelo de Gerenciamento de Riscos


O modelo adotado neste Guia baseado no Modelo de Gerenciamento de Riscos Risk
Management Model contido no Orange Book do Governo Britnico.

Este modelo permite visualizar, de uma forma simplificada, o gerenciamento de riscos
como um conjunto de elementos inter-relacionados que precisam ser considerados para
que o gerenciamento de riscos acontea de forma adequada.


O modelo composto de quatro elementos, conforme a figura 2 abaixo:


9.1 Processo de Gerenciamento de Riscos: O processo de gerenciamento de riscos consiste no
conjunto de atividades inter-relacionadas, necessrias para o gerenciamento de riscos. O
gerenciamento de riscos consiste na aplicao de princpios e processos para identificao e
avaliao de riscos, planejamento, implementao e controle das respostas aos riscos.

O processo de gerenciamento de riscos est inserido e precisa levar em considerao a
organizao na qual faz parte, incluindo: governana, politicas, objetivos, estrutura
organizacional, recursos (humanos, materiais e financeiros), conhecimento, sistemas de
informao e processo decisrio, valores, partes interessadas, cultura organizacional,
normas, modelos e diretrizes da organizao.

Estabelecimento do Contexto do Gerenciamento de Riscos:
Sendo parte integrante dos processos da organizao, importante que o processo de
gerenciamento de riscos envolva a definio dos seguintes elementos:

- especificao do processo de gerenciamento de riscos a ser adotado;
- alinhamento do processo com o Sistema de Governana da Organizao;
- identificao das partes interessadas;
- comunicao s partes interessadas sobre o processo de gerenciamento de riscos
adotado;
- definio de papis e responsabilidades pelo gerenciamento de riscos;
- definio de metodologias e normas especficas a serem utilizadas;
- relatrios, modelos e formulrios a serem utilizados;
- ciclos de avaliao e reviso;
- plano de comunicao de riscos entre nveis hierrquicos (vide item 7.0 Hierarquia de
Riscos);
- categorias de riscos a serem utilizadas;
- nveis de riscos considerados inaceitveis;
- alinhamento com outros processos gerenciais e sistemas de gesto existentes; e
- demais elementos considerados no item 8.1 Contexto Interno.



9.2 - Organizao Estendida: Nenhuma organizao opera de forma independente ela
tem inmeras interdependncias com outras organizaes dentro e fora do mbito do
governo que devem ser levados em considerao (ver 8.2.1 Organizao Estendida)




9.3- O Macro Ambiente de Riscos: Alm das fronteiras da organizao estendida
existem outros fatores que contribuem para formar o ambiente (ou cenrios) nos quais os
riscos devem ser gerenciados. Estes fatores podem gerar riscos que no so diretamente
controlados ou podem restringir a forma como podemos tomar ou tratar riscos. Esto
relacionados ao ambiente social, poltico, tcnico, tecnolgico, econmico e ambiental no
nvel internacional, nacional, regional ou local no qual a organizao est inserida. (ver
8.2.2 Macro Ambiente)


9.4- Comunicao e Aprendizado Contnuo

Consiste no processo que uma organizao executa para fornecer, obter e compartilhar
informaes necessrias para dialogar com as partes interessadas e aprender com o
gerenciamento de riscos (ver item 11.0 Comunicao e Aprendizado).

A comunicao no um estgio separado do gerenciamento de riscos, mas permeia
todo o processo de gerenciamento de riscos. Um processo de gerenciamento de riscos
depende de participao e a participao depende de comunicao.




Fig. 2 Modelo de Gerenciamento de Riscos; Adaptado do Risk Management Model do Orange Book.
do HM Treasury do Reino Unido




10.0 O Processo de Gerenciamento de Riscos



O processo de gerenciamento de riscos consiste no conjunto de etapas e atividades
relacionadas, necessrias para realizar o gerenciamento de riscos.


O processo gerenciamento de riscos composto de quatro etapas:

1 - Identificao de Riscos;

2 - Anlise e Avaliao de Riscos;

3 Planejamento das Respostas aos Riscos;

4 - Implementao, Monitoramento e Controle de Riscos.







Fig. 3 Processo de Gerenciamento de Riscos; Adaptado do Risk Management Model do Orange Book.














10.1 IDENTIFICAO DE RISCOS





Para que riscos possam ser gerenciados, a organizao precisa em primeiro lugar
identific-los e document-los.

A identificao trata da definio dos eventos de riscos que podem afetar o programa,
projeto ou processo finalstico e a documentao de suas caractersticas.

A identificao de riscos possui dois componentes, a saber:


10.1.1. Componentes da Identificao de Riscos

10.1.1.1. Identificao do Contexto de Riscos

A Identificao do Contexto de Riscos tem como resultado (a) o alinhamento do processo
a ser adotado com os elementos descritos no item 9.1; (b) a definio da estratgia de
gerenciamento de riscos especfica para os programas, projetos ou processos finalsticos,
que incluir elementos tais como:

- Definio da equipe responsvel pelo gerenciamento de riscos;
- Definio de papis e responsabilidades pelo gerenciamento de riscos;
- Definio de partes interessadas envolvidas e plano de comunicao;
- Definio de metodologias e normas especficas a serem utilizadas;
- Relatrios, modelos e formulrios a serem utilizados;
- Ciclo de acompanhamento e reviso para o programa, projetos ou atividades especificas;
- Definio de ferramentas (ex: matriz probabilidade e impacto) a serem utilizadas;
- Plano de Comunicao e alinhamento entre nveis hierrquicos;
- Categorias de riscos a serem utilizadas (ver item 10.1.2);
- Nveis de riscos considerados inaceitveis para o programa, projeto ou processo especfico;
- Alinhamento com outros processos gerenciais e os sistemas de gesto existentes.


10.1.1.2 Identificao de Riscos:

A identificao de riscos no um evento pontual. Ela deve ocorrer ao longo da vida do
programa, projeto ou processo finalstico de duas formas:

Identificao inicial de Riscos: Quando efetuada pela primeira vez, ocorre para uma
organizao que ainda no tenha identificado os riscos de uma forma estruturada ou
relativa a um novo projeto ou processo;

Identificao contnua de Riscos: Necessria para a identificao de novos riscos ou
riscos que no so mais relevantes para a organizao. A identificao contnua de riscos
deve ser uma rotina do gerenciamento de riscos da organizao.



O Gerenciamento de Riscos est relacionado aos objetivos da organizao.


Um princpio importante do gerenciamento de riscos que a identificao de riscos deve
estar relacionada continuamente com objetivos. Riscos s podem ser identificados e
priorizados com relao a estes objetivos. Assim sendo, uma declarao de riscos deve
incluir: evento de risco, causa(s) e impacto(s) no(s) objetivo(s).




EXEMPLO:

Objetivo: Voc (Departamento Z) responsvel por entregar um determinado servio ou
projeto na data Y (objetivo de prazo) que depende de informaes ou materiais a serem
fornecidos pelo Departamento X.
----------------------------------------------------------------------------------------------------------------------
Evento de Risco: Departamento X pode entregar ou no a tempo as informaes
necessrias para o seu projeto.

Causa do Risco: Devido a incertezas relacionadas aprovao, o Departamento X pode
no ter os recursos necessrios, liberados a tempo para esta entrega.

Impacto do Risco: Atraso na entrega do seu servio ou projeto na data Y.



10.1.2 Abordagens para Identificao

Duas abordagens que podem ser utilizadas so:

1. Equipe de Identificao de Riscos: uma equipe designada pela administrao como
responsvel pela identificao de riscos. Esta equipe conduz uma srie de entrevistas e
oficinas para identificao de riscos;

2. Auto avaliao: nesta abordagem cada nvel da organizao convocado a rever seus
programas, projetos e processos finalsticos para identificar os riscos associados. Podem
ser designadas reas especficas para apoiar a etapa de identificao atravs de reunies
e oficinas estruturadas.

Um ponto forte desta segunda abordagem que ajuda a desenvolver a responsabilidade
das reas em relao aos riscos.

Cabe salientar que estas abordagens no so mutuamente excludentes, e uma
combinao de abordagens sempre desejvel.

Para que possamos gerenciar riscos, primeiro temos que identific-los. A classificao
dos riscos em categorias auxilia a organizar a etapa de identificao.



10.1.3 Categoria de Riscos

A classificao de riscos em categorias auxilia a etapa de identificao dos riscos e
verificar se algum tipo de risco relevante no foi considerado, e tambm a garantir que
sejam considerados tipos de riscos com que a organizao pode se deparar. No h uma
classificao de riscos que seja consensual, exaustiva e aplicvel a todas as
organizaes. A classificao deve ser desenvolvida de acordo com as caractersticas de
cada organizao, contemplando as particularidades do seu setor de atuao. Por
exemplo: riscos relacionados a variaes cambiais podem ser cruciais para uma
determinada organizao do setor financeiro e podem no ser to relevantes para
determinada organizao que no possui atividades diretamente ligadas ao cmbio.

As tabelas a seguir, adaptadas do Orange Book, apresentam um sumrio das categorias
de riscos mais comuns. importante salientar que cada organizao deve considerar os
riscos que so aplicveis sua realidade especfica, e algumas organizaes podem
identificar outras categorias aplicveis de acordo com a natureza da sua organizao.

Em termos gerais podemos classificar com base na origem dos eventos (externos ou
internos).

Riscos Externos: so os riscos associados ao ambiente onde a organizao opera. Em
geral, a organizao no tem controle direto sobre estes eventos, mas mesmo assim
aes podem ser tomadas quando necessrio. Por exemplo: No podemos controlar a
incidncia de raios, mas podemos instalar para-raios.

Riscos Internos: so os riscos associados prpria estrutura da organizao, seus
processos, governana, quadro de pessoal, recursos ou ambiente de tecnologia. A
organizao pode e deve agir diretamente de forma proativa.

Riscos Externos e Internos podem resultar em:

Falha na entrega de Programas e Projetos: Riscos que podem resultar em falha
na entrega do programa ou projeto no escopo, prazo, custo e qualidade
especificados;

Falha no produto/servio: Riscos que podem resultar na falha na entrega do
servio para o usurio/cidado nos termos e condies esperadas/contratadas.















RISCOS EXTERNOS

Polticos (Nacional e Internacional) ex.: mudana de governo; mudana no cenrio
poltico; decises sobre polticas interministeriais; mudanas na mquina do governo;
terrorismo etc.

Econmico/Financeiros (Nacional e Internacional) ex.: inflao; variao cambial
afetando custos nas transaes internacionais; taxa de juros; efeitos da economia global
na economia brasileira; aes da concorrncia internacional, etc.

Socioculturais ex.: mudanas demogrficas afetando a demanda por servios;
mobilidade de classes sociais; mudana de expectativa dos cidados e da sociedade
devido globalizao; conflitos sociais etc.

Tecnolgicos ex.: tecnologias emergentes; Internet; obsolescncia dos sistemas atuais;
mudana na competitividade estrutural com base no uso de novas tecnologias;
oportunidades advindas de avanos tecnolgicos; etc.

Legal/Regulatrio ex.: novas leis ou mudanas de marcos regulatrios em termos de
qualidade, segurana, meio ambiente, sade, trabalhista; etc.

Ambiental ex.: desastres naturais, ecolgicos, climticos (enchentes, deslizamentos,
secas, etc...) etc.




RISCOS INTERNOS


Recursos Financeiros ex.: incerteza em relao s fontes de financiamento e
oramento.

Recursos Humanos ex.: relacionados disponibilidade, contratao ou capacitao das
equipes.

Processos Internos ex.: relacionados falta de definio de processos crticos
especficos assim como de papis e responsabilidades, autoridade para aprovao.

Sistemas de Informao ex.: relacionados adequao de sistemas de informao.

Parceiros/Fornecedores ex.: forma contratual e definio de papis e responsabilidades,
capacitao de fornecedores, processo de seleo.

Outros Riscos Outros riscos especficos da organizao que no se enquadram nas
categorias acima.





10.1.4 Ferramentas para a Identificao de Riscos


importante utilizar ferramentas adequadas para coleta de dados e informaes que
possibilitem a identificao de riscos. Isto definido como parte da estratgia de
gerenciamento de riscos a ser adotada pela organizao.

Dentre as ferramentas mais utilizadas, podemos incluir:

Brainstorming: Obteno de uma lista dos riscos a partir de uma reunio com
equipe multidisciplinar representando setores e competncias diferentes da
organizao, com o apoio de um facilitador, com objetivo de identificar riscos .

Entrevistas: Entrevistar as partes interessadas e os especialistas com o objetivo
de identificar riscos.

Anlise de Listas de Verificao de Riscos: Verificar as listas de riscos
previamente identificadas pela organizao sobre processos ou programas
similares. Utiliza lies aprendidas e informaes j catalogadas pela organizao.


Cada organizao deve determinar quais ferramentas, opcionais ou mandatrias, so as
mais adequadas sua realidade. importante salientar que as oportunidades geradas
pela incerteza (riscos positivos) tambm devem ser identificadas.

Aps o trmino da etapa de identificao, os riscos identificados devem ser atribudos a
uma pessoa ou entidade, designada proprietria do risco, que deve ser responsvel por
assegurar que os riscos sejam gerenciados e monitorados adequadamente e para isso
deve ter a autoridade necessria e suficiente.


No Brasil a NORMA ABNT NBR ISO 31010:2012 descreve em detalhe os tipos de
ferramentas e atributos para seleo de ferramentas mais adequadas.



















10.1.5 Documentao da Etapa de Identificao de Riscos

Os riscos identificados devem ser registrados em documento especfico (Registro de
Riscos) que poder conter atributos como:

- Nmero de Identificao atribudo ao risco
- Categoria de Risco
- Data da Identificao
- Nome/rea/Contato de quem identificou o risco
- Descrio do Risco
- Evento de Risco
- Causa(s) do Risco
- Impacto(s) do Risco
- Proprietrio do Risco


Os formulrios especficos a serem utilizados, forma de arquivamento, aprovao e
reteno, nveis de reporte e aprovao requeridos devem ser definidos pela estratgia de
gerenciamento de riscos alinhada com o sistema de governana como indicado no item
10.1.1.

Aps devidamente identificados e documentados, os riscos sero avaliados na etapa 10.2
ANLISE E AVALIAO DE RISCOS.




























10.2 ANLISE E AVALIAO DE RISCOS







Uma vez identificados os riscos, importante compreender e determinar o nvel de cada
risco.

O nvel de um risco pode ser determinado pela combinao das suas consequncias para
a organizao (impacto) e a chance de ocorrncia (probabilidade).

A anlise dos riscos possibilita a sua avaliao e fornece uma base para a etapa de
planejamento de respostas aos riscos.

importante assegurar a adoo de um mtodo que considere tanto a probabilidade
quanto o impacto de cada risco identificado.

Devemos tambm documentar a etapa de anlise e avaliao dos riscos de forma que
facilite a priorizao dos mesmos.

Alguns riscos so mais fceis de serem analisados e avaliados numericamente,
particularmente riscos econmico-financeiros, mas outros riscos, por exemplo, riscos que
podem ocasionar impactos de imagem, so mais subjetivos. Nesse caso, a anlise e a
avaliao de riscos passam a ser mais arte do que cincia.

A anlise e avaliao de riscos, sempre que possvel, devem ser baseadas em evidncias
objetivas, considerando as perspectivas das partes interessadas impactadas pelo risco, e
fundamentadas em uma etapa de identificao bem realizada.

A anlise do risco leva em considerao a probabilidade do risco especfico ocorrer e o
seu impacto sobre um ou mais objetivos do programa, projeto ou processo finalstico.



10.2.1 Ferramentas para a Anlise e Avaliao de Riscos


Uma das ferramentas para anlise e avaliao de riscos a Matriz de Probabilidade e
Impacto que pode ser utilizada para posicionar e avaliar as combinaes de probabilidade
e impacto. A utilizao de uma escala alto/mdio/baixo para probabilidade e impacto pode
ser suficiente, o que resulta em uma matriz 3 x 3 conforme indicado na Figura 4 abaixo.





Fig. 4 Matriz de Probabilidade Impacto; Adaptado do Risk Management Model do Orange Book.


O que considerado impacto alto/mdio/baixo varia de acordo com o programa, projeto
ou processo especfico sendo avaliado conforme definido no item 10.1.1. Os riscos
identificados na etapa anterior de Identificao de Riscos podem ser ento posicionados
na matriz de acordo com a avaliao realizada de probabilidade de ocorrncia e impacto.

Por exemplo, se tivermos trs riscos identificados (riscos (1) (2) e (3)) e avaliados em
termos de probabilidade e impacto, poderamos posicion-los na matriz e obter um
sumrio do Perfil de Riscos como indicado na Fig. 5. Escalas mais detalhadas podem ser
consideradas apropriadas ou serem requeridas por norma ou regulamentao especfica.
No existe um padro absoluto para a escala da matriz de probabilidade e impacto. A
organizao deve chegar a um consenso sobre o nvel de anlise que ela considera
adequado para as suas circunstncias especficas. Esta deciso tomada durante a
etapa de Identificao de Contexto item 10.1.1.


Os riscos podem diferir tambm em nvel de urgncia. Isto ir variar com relao ao
tempo de antecedncia com que precisam ser tratados e tambm ao tempo necessrio
para respostas. Dois riscos de mesma probabilidade e impacto podem ter nveis de
urgncia de tratamento diferentes. Uma escala complementar para o nvel de urgncia
pode ser criada para auxiliar a anlise levando este fato em considerao.

A Matriz de Probabilidade e Impacto tambm pode ser utilizada para demonstrar
visualmente os nveis de tolerncia da organizao a riscos, utilizando para isto o conceito
de apetite de risco descrito a seguir.







10.2.2 Apetite de Riscos

Apetite de riscos a quantidade de risco julgada aceitvel pela organizao. Representa
o montante de riscos que uma organizao est preparada para aceitar, tolerar ou estar
exposta.

O conceito de apetite de risco fundamental para o gerenciamento eficaz de riscos.
Deve ser considerado pela organizao antes da deciso sobre como os riscos sero
tratados, sendo tambm til para estabelecer as aladas de riscos.

Um risco que considerado aceitvel no nvel estratgico pode no ser considerado
aceitvel no nvel de programa, projeto ou processo especfico. O nvel de exposio que
considerado aceitvel pode ser definido em termos de impacto tolervel e frequncia
tolervel deste impacto. Nveis de tolerncia podem ser estabelecidos e comunicados,
reduzindo as chances de surpresas.

Podemos definir o nvel de riscos que a organizao est disposta a tolerar para um
determinado programa, projeto ou processo finalstico, utilizando o conceito de tolerncia
a riscos, ou nvel de exposio que, se excedido, dever ser reportado e uma ao
especfica deve ser tomada.

O nvel de tolerncia a riscos pode ser expresso pela linha de tolerncia a riscos
indicada no sumrio do perfil de risco. Riscos que aparecem acima da linha no podem
ser aceitos sem que sejam autorizados por nvel de autoridade superior.

Na Fig. 5, os riscos (1) e (2) esto situados numa rea acima do nvel de riscos tolerados
pela organizao, demarcados pela linha pontilhada (linha de tolerncia a riscos),
exigindo que sejam reportados e que autorizaes e aes especficas devam ser
demandadas.





Fig.5 Matriz de Probabilidade e Impacto com Riscos e Limites de Tolerncia


O apetite de risco pode ser expresso por um conjunto de limites devidamente autorizados
pela Alta Administrao, que comunica a cada nvel da organizao os limites de risco
que a organizao pode tomar, seja uma ameaa e o custo de control-la, ou uma
oportunidade e o custo de explor-la.

O apetite de risco poder ser traduzido para o nvel especfico de programas, projetos e
processos finalsticos, nos mesmos termos utilizados para avaliar os riscos.

O conceito de apetite de riscos til tanto com relao a ameaas quanto a
oportunidades.

O apetite de risco de uma organizao no necessariamente esttico. A Alta
Administrao pode ajustar a qualquer tempo o montante de riscos que a organizao
deseja tomar, baseado na anlise e na avaliao contnua de riscos no nvel estratgico.

Apetite de Risco, Hierarquia de Riscos e Delegao de Apetite de Risco



Apetite de Nvel Estratgico: o apetite de risco total
de uma organizao julgado apropriado e tolervel.
acordado no nvel da Alta Administrao que deve fixar
os limites tolerveis de exposio e limitar as fronteiras
de risco aceitvel. Isto deve ser feito pelo menos para os
riscos que devem ser reportados ou escalados para
discusso e deciso da Alta Administrao, como, por
exemplo, os riscos 1 e 2 da Fig. 5.

Realizando esta anlise, possvel Alta Administrao considerar vises setoriais sobre
os riscos que podem ser tomados.

Delegao de Apetite de Risco: O apetite de risco definido no nvel estratgico pode ser
utilizado como ponto de partida para o desdobramento dos nveis de tolerncia nos
demais nveis da organizao. Isto facilita o desdobramento de apetite de risco para
tomada de deciso e empodera as pessoas para inovar dentro das suas delegaes de
riscos.

Como descrito acima, o conceito de apetite de riscos til tanto com relao a ameaas
quanto a oportunidades.

Em caso de ameaas, o conceito de apetite de riscos indica o nvel de exposio
considerado tolervel e justificvel caso a ameaa ocorra.

Em caso de oportunidades, o conceito de apetite de riscos indica o quanto a organizao
est preparada para perdas potenciais na busca dos benefcios das oportunidades.
importante comparar o valor dos benefcios potenciais com as perdas que podero
ocorrer.





Deve ser observado que alguns riscos so inevitveis e talvez no estejam dentro da
alada de uma organizao gerenci-lo completamente em um nvel tolervel. Por
exemplo: muitas organizaes tm que aceitar que existem riscos oriundos de atividades
terroristas que a organizao no pode controlar. Nesses casos, a organizao precisa
desenvolver planos de contingncia, como exemplo na programao de grandes eventos
esportivos internacionais.

Apetite de Risco, Governana e Estratgia de Gerenciamento de Riscos

A aplicao do apetite de risco delegado exige que os nveis de autoridade, de reporte,
assim como a comunicao, estejam bem claros e definidos como parte da governana e
da estratgia de gerenciamento de riscos indicados nos itens 8.1 e 9.1. e 10.1.1.

possvel estabelecer pontos de controle (gatilhos) a partir dos quais os riscos devem ser
registrados e reportados para o prximo nvel gerencial, quando se aproximam ou se
ultrapassam nveis de riscos especificados como, por exemplo, o risco de um projeto que
tenha impacto em um programa estratgico do governo.

A delegao de apetite de risco ocorre no nvel estratgico da organizao que define o
apetite de risco e comunica os limites de tolerncia de riscos. O nvel de programas,
projetos e atividades, avalia e desenvolve um plano de respostas a riscos, reportando os
riscos fora dos nveis de tolerncia. O nvel estratgico concorda ou no com as
respostas incluindo reavaliao do limite de tolerncia e apetite de riscos.

10.2.3. Risco Inerente e Risco Residual

O risco inerente a exposio proveniente de um risco especfico antes que qualquer
ao seja tomada para gerenci-lo e o risco residual a exposio remanescente de um
risco especfico aps uma ao ser tomada para gerenci-lo, assumindo que esta ao
seja efetiva.

Quando um risco for identificado e analisado, deve ser sempre considerado o risco
inerente e no o risco residual. Se isto no for realizado, a organizao no vai saber qual
ser a sua exposio ao risco, se a ao de controle falhar. O conhecimento sobre o risco
inerente tambm permite avaliar se ele est dentro do apetite de risco da organizao e
se no precisam ser gastos recursos para controlar estes riscos. Esta necessidade de se
conhecer o risco inerente e o risco residual indica que a avaliao do risco uma etapa
do processo de gerenciamento de riscos que no pode ser separada da etapa de
planejamento de respostas a riscos.

O risco residual deve ser monitorado, pois a ao de controle pode necessitar de ajustes.
Esta anlise do risco residual necessria para a avaliao da efetividade das aes de
controle propostas durante a etapa de implementao, monitoramento e controle.

A definio de mtodos de anlises a serem utilizados, inclusive mtodos quantitativos
especficos como a anlise de Monte Carlo, na etapa de anlise e avaliao de riscos,
ser determinada pelas caractersticas da organizao, pela natureza dos riscos e pela
estratgia de gerenciamento de riscos indicada no item 10.1.1.



Os resultados da etapa de anlise e avaliao de riscos permitem criar perfis de riscos
dos programas, projetos e processos finalsticos da organizao, os quais:

1. Facilitam a identificao da prioridade de riscos (em particular identifica os mais
importantes riscos com os quais a alta administrao deve se preocupar);
2. Capturam as razes pelas quais as decises tomadas sobre o que exposio tolervel e
no tolervel;
3. Permitem queles envolvidos no gerenciamento de riscos uma visualizao de perfis de
riscos e como essas reas e responsabilidades esto relacionadas;
4. Facilitam a reavaliao e monitoramento dos riscos;
5. Fornecem uma base de deciso para a etapa de Planejamento de Respostas aos Riscos.

Uma vez que riscos tenham sido avaliados, os riscos prioritrios da organizao
emergiro. Quanto menos aceitvel a exposio relativa a um risco, maior a prioridade
que deve ser dada ao seu gerenciamento. Os riscos de maior prioridade devem receber
ateno especial do nvel mais alto da organizao, e devem, consequentemente, serem
considerados regularmente pela Alta Administrao.

10.2.4 Documentao da Etapa de Anlise e Avaliao de Riscos

Os resultados da etapa de anlise e avaliao de riscos devem ser registrados em
documento especfico (Registro de Riscos) e documentados de maneira que registre as
etapas do processo e complemente as informaes inseridas como resultado da etapa
anterior Identificao de Riscos que elementos como:

- Probabilidade do Evento de Risco / Descrio da Probabilidade
- Impacto do Evento de Risco / Descrio do Impacto
- Nvel de Risco (Combinao Probabilidade e Impacto)
- Matriz de Probabilidade e Impacto
- Perfil Sumrio de Riscos
- Quantificao do impacto dos riscos em termos monetrios
- Data da Anlise
- Lista de Riscos para Anlise Adicional e Acompanhamento
- Nvel de Urgncia dos Riscos


Os formulrios especficos a serem utilizados, a forma de arquivamento, de aprovao e
reteno, os nveis de reporte e aprovao requeridos devem ser definidos pela estratgia
de gerenciamento de riscos alinhada com o sistema de governana conforme indicado
nos itens 10.1.1.

Aps devidamente analisados e avaliados, os riscos sero considerados na etapa 10.3
PLANEJAMENTO DE RESPOSTAS AOS RISCOS.










10.3 Planejamento de Respostas a Riscos





Esta etapa inclui a formulao das respostas aos riscos de forma a aumentar as
oportunidades e reduzir as ameaas aos objetivos do programa, projeto ou processo
finalstico. As aes tomadas pela organizao para tratar os riscos so aes de
controle.

As respostas planejadas devem ser adequadas relevncia do risco, levando em
considerao seus custos e benefcios, acordada com as partes interessadas e ter um
responsvel designado para a coordenao de sua implementao.

As respostas a riscos podem envolver um ou mais dos seguintes tipos:

Aceitar (ou tolerar) o risco;

Mitigar os riscos, isto , trat-los de forma a restringi-los a um nvel aceitvel reduzindo as
chances de ocorrncia (probabilidade) e/ou impacto do evento de riscos;

Transferir o risco para terceiros;

Eliminar o risco, alterando o plano ou processo ou terminar a atividade que deu origem ao
risco.

Em todos estes casos, as oportunidades geradas pela incerteza devem ser consideradas.

O risco residual a exposio remanescente de um risco especfico aps uma ao ser
tomada para gerenci-lo, assumindo que esta ao seja efetiva.

O risco residual deve ser aceitvel e justificvel, isto , deve estar dentro do apetite de
risco da organizao.
















10.3.1 Estratgias para Riscos

Existem vrias estratgias ou combinao de estratgias que podemos adotar com
relao a riscos:


MITIGAR

Um grande nmero de riscos ser tratado desta forma. O propsito desta ao que,
mesmo continuando com a iniciativa que deu origem ao risco, a organizao tome a ao
de controle para conter o risco em um determinado nvel. Implica a reduo da
probabilidade e/ou impacto de um evento de risco para dentro de limites aceitveis.


TRANSFERIR

Para alguns riscos, a melhor resposta pode ser transferi-los para terceiros. Isto pode ser
feito atravs de seguros ou contratualmente atravs de clusulas especficas e garantias.
Esta opo particularmente til para mitigar riscos financeiros ou riscos de ativos. A
transferncia de riscos tambm pode ser considerada para transferir o nvel de exposio
da organizao ou porque outra organizao do governo (pode ser do prprio Governo)
mais capaz de gerenciar o risco. importante notar que alguns riscos no so totalmente
transferveis - em particular no geralmente possvel transferir risco de reputao e
imagem, mesmo se a entrega dos servios foi contratada para um terceiro. O
relacionamento com o terceiro para o qual o risco foi transferido deve ser muito bem
gerenciado para assegurar a transferncia do risco.


ELIMINAR

Alguns riscos podem ser tratados somente pela alterao de objetivos via reduo de
escopo, alterao de requisitos e cronograma at trmino da atividade ou projeto. Deve
observado que esta opo de trmino de atividades e projetos pode ser severamente
limitada no governo quando comparado ao setor privado, por se tratarem de servios
essenciais para a sociedade. Por outro lado, certas atividades so conduzidas no setor
pblico porque os riscos so to grandes que no existe outra forma na qual os
resultados que so necessrios em termos de benefcios pblicos possam ser atingidos.
Esta opo pode ser particularmente adotada em projetos se se tornar claro que a relao
custo/benefcio coloca o projeto em nvel de risco inaceitvel.


ACEITAR

A exposio ao risco tolerada sem que nenhuma ao especfica seja tomada. Mesmo
se o risco no for tolervel, a capacidade para fazer alguma coisa com relao ao risco
pode ser limitada, ou o custo de tomar uma ao pode ser desproporcional ao benefcio
potencial gerado. Nesses casos, a resposta pode ser tolerar o nvel de risco. Esta opo,
claro, pode ser suplementada por um plano de contingncia para conter os impactos
que adviriam caso a ameaa acorra.



PLANO DE CONTINGNCIA

O propsito desta ao prover resposta de risco para uma ameaa, colocando-se em
prtica um plano de ao que visa reduzir o impacto da ameaa caso o risco ocorra.


RESPOSTAS PARA OPORTUNIDADES

Respostas para as oportunidades identificadas devem ser elaboradas. Esta opo no
uma alternativa para as opes acima. Ao invs disso, uma opo que deve sempre ser
considerada, mesmo quando o risco tolerado, transferido ou mitigado. Existem dois
aspectos a serem considerados. O primeiro se, ao mesmo tempo em que se est
mitigando ameaas, uma oportunidade aparece para explorar um impacto positivo. O
segundo se as circunstncias ocorrem e, apesar de no gerar ameaas, oferecem
oportunidades, como por exemplo, uma iniciativa de reduo de custos em determinadas
reas do governo, liberando recursos que podem ser reinvestidos em outro setor.


RISCOS SECUNDRIOS

So riscos que surgem como resultados da implementao de respostas aos riscos.



10.3.2 Documentao da Etapa de Planejamento de Respostas aos Riscos

As respostas definidas para os riscos devem ser devidamente documentadas e
submetidas aprovao em documento especfico (Registro de Riscos) que poder
conter, alm das informaes j inseridas como resultado das etapas anteriores,
elementos como:

- Respostas selecionadas (Mitigar, Transferir, etc.)
- Aes especficas para implementar a estratgia de resposta definida
- Oramento / Cronograma da Ao
- Data da Deciso
- Planos de Contingncia Recomendados
- Riscos Residuais (aps a ao)
- Riscos Secundrios (gerados pelas respostas aos riscos )
- Responsvel pela Implementao das Respostas
- Perfil de Risco visualizando aes planejadas - ver exemplo Fig. 6 (a) e (b)
- Aprovao das Aes Planejadas



Os formulrios e componentes especficos a serem utilizados, assim como nveis de
reporte e aprovao requeridos, a forma de arquivamento e o tempo de reteno so
definidos pela estratgia de gerenciamento de riscos da organizao alinhada com o
sistema de governana como indicado no item 10.1.1.




Fig.6 (a) Plano de Ao

























Fig.6(b) Matriz de Probabilidade e Perfil de Risco e Linha de Tolerncia






Aps devidamente aprovadas as aes planejadas sero implementados na etapa 10.4
Implementao, Monitoramento e Controle de Riscos.









10.4 Implementao, Monitoramento e Controle de Riscos



Esta etapa envolve:

1- Implementao das aes planejadas na etapa anterior;

2- Monitoramento e Controle de Riscos que inclui:

Monitorar se o perfil de risco est mudando;
Tomar as aes preventivas e corretivas necessrias;
Garantir que o gerenciamento de riscos est sendo efetivo;
Atualizar registros de riscos e documentos relacionados;
Documentar lies aprendidas com plano de ao.

A implementao das aes planejadas ser coordenada por responsvel indicado na
etapa anterior.

Nesta etapa, as atividades definidas pela estratgia de gerenciamento de riscos so
implementadas visando identificar se riscos ainda existem, se novos riscos apareceram,
se a probabilidade e/ou impacto dos riscos mudaram, reportar mudanas significativas
que alteram o nvel de riscos, e assegurar a eficcia do controle.


Avaliao Peridica dos Nveis de Riscos: Reunies de Acompanhamento

Como riscos podem impactar objetivos e metas da organizao, o gerenciamento de
riscos deve ser um tpico integrante das reunies relativas ao progresso de programas,
projetos e processos finalsticos. Durante as reunies de acompanhamento sero
verificados elementos como: se novos riscos apareceram; se a probabilidade e/ou
impacto dos riscos mudaram; reportar aos nveis adequados mudanas significativas que
alteram o nvel de riscos.

A frequncia, a estrutura e os relatrios dessas reunies devem ser realizados conforme
especificado e aprovado na estratgia de gerenciamento de riscos da organizao,
alinhados com o sistema de governana do rgo e levando em considerao a natureza
e nvel dos riscos considerados no planejamento das respostas aos riscos. Por exemplo,
programas de alto nvel risco e oramento talvez tenham que ser revistos com maior
frequncia e produzir relatrios especficos adicionais.



Os formulrios e componentes especficos a serem utilizados, assim como nveis de
reporte e aprovao requeridos, forma de arquivamento, e tempo de reteno so
definidos pela estratgia de gerenciamento de riscos da organizao alinhada com o
sistema de governana como indicado nos itens 10.1.1





Avaliao Peridica do Processo de Gerenciamento de Riscos

O processo de gerenciamento de riscos deve ser submetido a revises regulares
alinhadas com o sistema de governana da organizao, para assegurar que ele se
mantm adequado e efetivo. A avaliao peridica dos processos de gerenciamento de
riscos deve:

1. Assegurar que todos os aspectos de gerenciamento de riscos so revistos, pelo menos,
uma vez por ano, ou a critrio especificado pelo sistema de governana da organizao;

2. Assegurar que os prprios riscos so sujeitos a reviso com uma frequncia apropriada de
acordo com processo definido pela estratgia de gerenciamento de riscos


3. Assegurar que a gerncia responsvel esteja participando da avaliao peridica dos
riscos e que os nveis apropriados da administrao estejam sendo alertados para riscos
emergentes ou mudanas em riscos existentes fora dos nveis de tolerncia .

Esta avaliao peridica deve ser validada por rgo independente.

A avaliao peridica do nvel de riscos e a avaliao do processo de gerenciamento de
riscos so distintas entre si, e um no substitui o outro.


Auditorias


Boas prticas de governana preveem que toda organizao tenha sua prpria auditoria
interna. O trabalho da auditoria interna prov uma importante garantia independente e
objetiva sobre a adequao do processo de gerenciamento de riscos, controle e
governana.

A auditoria interna pode ser utilizada pela organizao para auxiliar no desenvolvimento
do seu processo de gerenciamento de riscos. A auditoria tem uma viso de todas as
atividades relevantes que a organizao executa. Entretanto, importante salientar que a
auditoria interna no um substituto para a responsabilidade primria da administrao
por gerenciar os riscos sob sua responsabilidade associados ao atingimento de seus
objetivos e metas.

Muitas organizaes podem designar especialistas internos para auxiliar na estruturao
e reviso do processo de gerenciamento de riscos.

considerada uma boa prtica que as organizaes estabeleam um Comit de Auditoria
e Riscos, que englobam as responsabilidades associadas de auditoria com foco no
processo de gerenciamento de riscos.

Algumas responsabilidades do Comit de Auditoria incluem:

- Garantir que riscos e mudanas em riscos esto sendo monitoradas e reportadas de
acordo com processos definidos;



- Fornecer recomendaes sobre o processo de gerenciamento de riscos, incluindo seu
alinhamento com a governana;

Deve ser observado que o Comit de Auditoria no o proprietrio dos riscos nem
responsvel pelo gerenciamento riscos e, como a auditoria interna, no um substituto
para o papel do administrador de gerenciar os riscos.














































11.0 Comunicao e Aprendizado

A comunicao gil e adequada entre as diversas partes interessadas e entidades do
contexto externo e interno permite avaliaes mais rpidas e objetivas a respeito dos
riscos a que est exposta uma organizao.

A comunicao no um estgio separado, mas permeia todo o processo de
gerenciamento de riscos. Um processo de gerenciamento de riscos depende de
participao das partes interessadas e da comunicao de elementos como:

- A importncia e a relevncia de um gerenciamento efetivo de riscos;

- Uma linguagem comum e acessvel para o tema riscos;

- Funes e responsabilidades claras com relao a riscos;

- O processo de gerenciamento de riscos.


Aspectos crticos do gerenciamento de riscos dependem de comunicao :

- Entendimento da definio de riscos;

- A identificao de novos riscos;

- A necessidade de controle das mudanas no nvel de riscos;

- Entendimento dos riscos prioritrios;

- Entendimento do nvel de urgncia em termos do tempo com que os riscos precisam ser
tratados e do tempo necessrio para respostas;

- A importncia do contexto de organizao estendida e a identificao cruzada de riscos;

- Captura e compartilhamento das lies aprendidas sem os quais a organizao no
aprende e tende a repetir os mesmos erros.


Um processo de gerenciamento de riscos, que utilize comunicao adequada, reduz
as chances de que a Alta Administrao s venha a saber de um risco depois que
ele se transformou em crise.











GLOSSRIO



Apetite de Risco - Quantidade de riscos que uma organizao esta preparada para
aceitar, tolerar ou estar exposta em um dado ponto no tempo.

Avaliao de Risco - Processo de entendimento do impacto e probabilidade de
ocorrncia , assim como seu efeito combinado, de um evento de risco especfico.

Comit de Gesto de Riscos - Comit estabelecido com autoridade para determinar
aes relacionadas ao gerenciamento de riscos.

Exposio - Consequncias para a organizao, expressas em termos de combinao
de probabilidade e impacto que podem ocorrer caso o risco especfico ocorra.

Gerenciamento de Riscos - Processo que inclui, identificao e avaliao de riscos
planejamento e implementao de aes de resposta, monitoramento e controle de
riscos.

Estratgia de Riscos - A abordagem definida pela organizao com relao ao
gerenciamento de riscos. Deve ser documentada, alinhada com sistema de governana e
disponibilizada na organizao. Descreve elementos como: objetivos do gerenciamento
de riscos, processo a ser adotado, os papis e responsabilidades, as tolerncias de
riscos, a frequncia das intervenes do gerenciamento de riscos, as ferramentas e
tcnicas que sero utilizadas, e os requerimentos de relatrios.

Perfil de Riscos - Avaliao documentada do conjunto de riscos da organizao em um
dado momento.

Risco - Incerteza quanto ao resultado de ao ou evento, seja positivo ou negativo.
Evento incerto ou conjunto de eventos que, caso ocorram ocorrer, ocasionar efeito nos
objetivos. Representado por uma combinao de probabilidade de ocorrncia e impacto
nos objetivos.

Risco Inerente - Exposio proveniente de um risco especfico antes que qualquer ao
seja tomada para gerenci-lo.

Risco Residual - Exposio remanescente de um risco especfico aps uma ao ter
sido tomada para gerenci-lo, assumindo que a ao seja efetiva.












REFERNCIAS

Management of Risk - Principles and Concepts- The Orange Book - HM Treasury do HM
Government, 2004
ABNT NBR ISO 31000:2009 Gesto de Risco Princpios e Diretrizes ABNT
Associao Brasileira de Normas Tcnicas -2011
MODELO DE EXCELNCIA DO SISTEMA DE GESTO PBLICA Secretaria de
Gesto Publica Ministrio do Planejamento, Oramento e Gesto
Management of Risk: Guidance for Practitioners - Office of Government Commerce HM
Government, 2010
Um Guia do Conhecimento em Gerenciamento de Projetos ( Guia PMBOK) 4 Edio
Project Management Institute 2008.