Gestão de riscos corporativos e oportunidades

GESTÃO DE RISCOS CORPORATIVOS – Mestrado Em Gestão Empresarial
Tema 3 Os Riscos e Oportunidades Pg 1 / 51
FACULDADE DE ECONOMIA
Mestrado em Gestão Empresarial
GESTÃO DE RISCOS CORPORATIVOS
Tema 3 Os Riscos e Oportunidades (Matriz de Risco – MR e Matriz de Oportunidades – MO)
Estruturação dos Riscos na Organização, Processos e Agentes Envolvidos

1 Introdução
Segundo o padrão COSO1
, a gestão de riscos corporativos trata de riscos e oportunidades que
afectam a criação ou a preservação de valor, sendo definido da seguinte forma: a gestão de
riscos corporativos é um processo conduzido numa organização pelo conselho de
administração, direcção e demais colaboradores, aplicado no estabelecimento de estratégias,
formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la,
e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização
e possibilitar garantia razoável do cumprimento dos seus objectivos.
Segundo a norma AS/NZS 4360 A gestão de risco se refere a um conjunto coordenado de
actividades e métodos que é usado para dirigir uma organização e controlar os muitos riscos
que pode afectar sua capacidade de atingir objectivos.
Segundo a norma ISO 31000 A gestão de risco refere-se a um conjunto coordenado de
actividades e métodos que é usado para dirigir uma organização e controlar os riscos que
podem afectar a sua capacidade de atingir os seus objectivos
O objectivo da gestão de riscos corporativos é criar uma estrutura de referência que permite
que as empresas lidem com riscos e incertezas. Os riscos estão presentes em quase todas as
actividades financeiras e económicas das empresas.
1.1 Modelos de gestão de risco corporativo
1.1.1 O processo de gestão de risco empresarial segundo COSO ERM
O processo de gestão de risco empresarial é constituído por oito2
componentes inter-
relacionados e integrados com o processo de gestão em geral da empresa, ver a Figura 1. As
componentes são: (1) ambiente interno, (2) definição de objectivos, (3) identificação de
eventos, (4) avaliação de riscos, (5) tratamento de riscos, (6) actividades de controle, (7)
informações e comunicações, e (8) monitora
1
https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf
2
https://www.coso.org/Documents/COSO-ERM-Executive-Summary-Portuguese.pdf

 Ambiente Interno – o ambiente interno da organização fornece a base pela qual os
riscos são identificados e abordados, inclusive a filosofia de gestão de riscos, o
apetite a risco, a integridade e os valores éticos,
 Definição de objectivos – os objectivos devem existir antes que o conselho
administração possa identificar os eventos em potencial que poderão afectar a sua
realização. A gestão de riscos corporativos assegura que o conselho de administração
disponha de um processo implementado para estabelecer os objectivos que propiciem
suporte e estejam alinhados com a missão da organização e sejam compatíveis com o
seu apetite a riscos.
 Identificação de Eventos – os eventos internos e externos que influenciam o
cumprimento dos objectivos de uma organização devem ser identificados e
classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para
os processos de estabelecimento de estratégias da administração ou de seus
objectivos.
 Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e
o impacto como base para determinar o modo pelo qual deverão ser administrados.
Esses riscos são avaliados quanto à sua condição de inerentes e residuais.
 Tratamento de riscos – identificar e avaliar as possíveis respostas aos riscos: evitar,
aceitar, reduzir ou compartilhar. A administração deve seleccionar o conjunto de
acções destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco.
 Actividades de Controle – políticas e procedimentos são estabelecidos e
implementados para assegurar que as respostas aos riscos sejam executadas com
eficácia.
 Informações e Comunicações – as informações relevantes são identificadas, colhidas
e comunicadas de forma e no prazo que permitam que cumpram suas
responsabilidades. A comunicação eficaz também ocorre num sentido mais amplo,
fluindo em todos níveis da organização.

 Monitoria – a integridade da gestão de riscos corporativos é monitorada e são feitas as
modificações necessárias. O monitoramento é realizado através de actividades
gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Figura 1 Elementos-chave de cada componente

1.1.2 O processo de gestão de risco empresarial segundo AS/NZS 4360
A norma AS / NZS 4360 Risk Management fornece orientação genérica em todas as etapas
do processo de gestão de risco, nomeadamente: estabelecimento do contexto, identificação de
risco, análise de risco, avaliação de risco e tratamento de risco, incluindo monitoramento e
revisão, comunicação e consulta e documentação.
A Figura 1 apresenta a sequência das etapas do processo de gestão de risco segundo a norma
AS / NZS 4360
Figura 1 Processo de gestão de risco segundo AS / NZS 4360
A norma AS/NZS 43603
pode ser aplicada em qualquer situação de gestão de riscos em
qualquer tipo de organização, sem se restringir a um segmento específico.
 Estabelecimento do Contexto - o processo de gestão de risco ocorre no quadro
estratégico da organização, contextos organizacionais e de gestão de risco.
3
http://www.abepro.org.br/biblioteca/enegep2009_TN_STP_098_663_13545.pdf

o Estabelecer o contexto estratégico significa identificar o ambiente em que o
organização opera, seus pontos fortes, pontos fracos, oportunidades e ameaças.
Os aspectos financeiros, políticos, sociais, culturais, jurídicos, de relações
públicas e físicos dos negócios do dia-a-dia são muito importantes para a
organização, seus funcionários e clientes. Isto também inclui as partes
interessadas externas e internas, seus objectivos e riscos percepções. A gestão
de risco deve estar alinhada com a missão e objectivos estratégicos da
organização.
o Estabelecer o contexto organizacional significa compreender a organização,
sua estrutura, seus valores, suas políticas e seus objectivos e estratégias para o
seu alcançar. Também significa certificar-se de que os gestores entendem o
seu papel no processo de tomada de decisão com relação aos critérios de
aceitação de risco e opções de tratamento de risco.
o Estabelecer o contexto de gestão de risco significa considerar o escopo e a
profundidade da investigação de risco. Isso determina se o processo de gestão
de risco incluirá questões de toda a organização ou limitar-se-á a unidades
específicas ou projecto (s) e suas interacções. As etapas necessárias (incluindo
estudos, ferramentas, recursos) no processo de gestão de risco devem ser
identificados dentro de um sistema equilibrado de custos, benefícios e
oportunidades.
Esta fase envolve o desenvolvimento de critérios contra os quais o risco deve ser avaliado. Os
critérios geralmente dependem dos interesses das partes interessadas e dos objectivos da
organização. A natureza dos critérios pode ser operacional, técnica, financeira, social,
ambiental, jurídica, humanitária, etc.
A fase do estabelecimento do contexto termina com a definição da estrutura para o resto do
processo. Isso envolve a subdivisão da actividade, processo, projecto ou etapas, a fim de
fornecer um quadro lógico que ajuda a garantir que riscos significativos não sejam
esquecidos. A estrutura escolhida depende da natureza dos riscos e o escopo do projecto,
processo ou actividade.
 Identificação de riscos - nesta etapa do processo de gestão de riscos, deve-se aplicar
uma abordagem bem estruturada e sistemática e tentar identificar todos os riscos que

possam surgir. Não fazer isso pode representar um grande impacto negativo para as
actividades da empresa. Além disso, qualquer risco não identificado naturalmente
nem sequer é incluído no plano de gestão de risco. Existem vários métodos possíveis
de identificação de riscos, por exemplo entrevistas, auditorias, pesquisas, discussões
em grupo, brainstorming, análise de cenário, análise de sistemas, etc.
A identificação de risco deve dar respostas às seguintes perguntas:
 O que pode acontecer?
 Como e por que isso pode acontecer?
A questão “O que pode acontecer?” visa gerar uma lista abrangente das fontes de
risco e as áreas de impacto do risco. Essa lista pode ser longa, daí a necessidade de
um lista genérica. O Apêndice D2 de AS / NZS 4360: 1999 fornece uma lista genérica
de fontes de risco incluindo relações comerciais e jurídicas, circunstâncias
económicas, comportamento humano, eventos naturais, circunstâncias políticas,
questões tecnológicas e técnicas, etc. Apêndice D3 contém uma lista genérica de
possíveis áreas de impacto de risco, por exemplo, activo e recurso base, receita e
direitos, pessoal, custos, desempenho, comunidade, cronograma de actividades, etc.
A questão "Como e por que isso pode acontecer?" visa considerar possíveis causas e
cenários previstos na lista de fontes de risco e as áreas de impacto.
 Análise de risco - nesta etapa, são consideradas as consequências do risco (impacto
ou magnitude do efeito) e probabilidade (medida pela frequência ou probabilidade) de
ocorrência de risco para combiná-los em o nível de risco e os riscos aceitáveis muito
baixos são separados dos riscos principais e excluídos de uma avaliação posterior.
A análise de risco é para evitar subjectivismo e, portanto, deve ser baseada nas
melhores fontes disponíveis de técnicas de gestão de informações e dados. A norma
AS / NZS 4360 contem uma lista registos anteriores, literatura publicada, pesquisa de
mercado, prática e experiência individual e da indústria, vários modelos e opiniões de
especialistas.

As técnicas podem incluir entrevistas, questionários, discussões em grupos de
especialistas, modelagem computacional, análise estatística e ferramentas de tomada
de decisão.
Existem três tipos de métodos aplicáveis na análise de risco (em ordem de
complexidade): qualitativo, semiquantitativo e quantitativo. Normalmente, começa-se
com a análise qualitativa para obter uma estimativa aproximada do nível de risco e,
em seguida, prossegue-se com a análise quantitativa.
A análise qualitativa determina as consequências e a probabilidade de forma verbal com base
em escalas descritivas. É aplicado para determinar o nível de risco onde tempo e dinheiro não
justifica uma análise mais detalhada. Sua adequação é bastante evidente em situações de risco
com partes interessadas de várias origens, interesses e matemática / estatística competência.
A análise qualitativa é uma ferramenta mais eficiente quando os dados numéricos são
inadequada para análise quantitativa. O Apêndice E do AS / NZS 4360 dá exemplos de
escalas descritivas para probabilidade e consequências e o nível de risco resultante matriz.
Eles são reproduzidos na Tabela 1, Tabela 2 e Tabela 3.
Tabela 1 Medidas Qualitativas de Consequência ou Impacto
ou no caso de reconhecimento e exploração de oportunidades:

Tabela 2 Medidas qualitativas de probabilidade
Tabela 3 Matriz de análise qualitativa de risco
 A análise semi-quantitativa substitui as escalas descritivas qualitativas por número
consequências. O que conta é a consistência na abordagem de priorização. Esse
tipo de análise é suposto ir um grau de detalhe mais longe, mas sem alcançar um
avaliação totalmente realista dos níveis de risco. Os números são usados apenas
para comparação e quaisquer cálculos não fazem sentido.
• A análise quantitativa é aplicada quando a probabilidade e as consequências
podem ser quantificado. A qualidade dos dados numéricos e a sofisticação dos
métodos usados para determinar a precisão da análise. As consequências são
formuladas em termos de critérios monetários, técnicos ou humanos, enquanto a
probabilidade é apresentada como frequência ou probabilidade. Além disso, eles
são combinados para formar o nível de risco e o resultado depende essencialmente
no tipo de risco e no contexto. Apêndice F de AS / NZS 4360: 1999 fornece
exemplos de expressões de risco quantitativas, ou seja, risco de fatalidade, risco
de saúde, risco de perda ou ganho financeiro, etc.
Na análise semiquantitativa e quantitativa, a probabilidade é algumas vezes descrita como a
combinação de probabilidade e frequência de exposição. Frequência das medidas de
exposição a força da associação com a fonte de risco, enquanto a probabilidade mede o

chance de experimentar as consequências, dada a origem do risco. Tem que ser cuidado se
houver uma forte relação entre a frequência de exposição e a probabilidade
 Avaliação de risco - nesta etapa do processo elaboração do plano de gestão de risco,
o nível de risco é comparado com os critérios de risco pré-estabelecidos. A avaliação
de riscos produz uma lista classificada de riscos. Os riscos são classificados como
aceitáveis ou inaceitáveis. Os riscos aceitáveis devem ser monitorados e seus status
aceitável revisto periodicamente. Riscos inaceitáveis devem ser priorizados para
tratamento. A avaliação de risco deve considerar o quadro geral, incluindo os
objectivos das partes interessadas e a tolerabilidade ao risco, o grau de controle
sobre cada risco, o custo, os benefícios e as oportunidades potenciais.
O nível de risco, produzido na etapa de análise de risco, e os critérios de risco,
geralmente estabelecidas na etapa de contexto, devem ser considerados na mesma
base. Por exemplo, níveis qualitativos de risco devem ser comparados com critérios
qualitativos e, alternativamente, níveis quantitativos com critérios quantitativos. Um
risco aceitável, que não vai ser tratado, não é necessariamente um risco insignificante.
Existe varias razões para aceitar riscos, incluindo
• a indisponibilidade de tratamento dentro de determinados recursos, ou
• indisponibilidade de tratamento totalmente, ou
• custos proibitivo de seguros.
Às vezes, as vantagens podem superar as desvantagens, tornando o risco mais
justificável.
Os riscos inaceitáveis são priorizados para a consideração dos gestores e devem ser
incluídos nos planos de tratamento de riscos da organização incluindo alocação de
responsabilidades no processo de tratamento de risco com relação ao nível de risco.

 Tratamento de Risco - esta etapa do processo de elaboração do plano de gestão de
risco começa com a aceitação, monitoramento e revisão dos riscos de menor
prioridade. Para todos os outros riscos não aceitáveis, é necessário identificar opções
de tratamento, avaliar essas opções de tratamento, preparar planos de tratamento e
implementá-los. Um fluxograma detalhado do processo de tratamento de risco é
mostrado na
 Figura 2 a seguir.
Figura 2 Processo de Tratamento de Risco

Todas as actividades devem atender às metas e objectivos da organização e ser realizadas
dentro de limites de financiamento estabelecidos. Além disso, os recursos de tratamento de
risco são em principio determinados e estabelecidos na etapa de contexto do processo de
gestão de risco.
Para os riscos inaceitáveis e já priorizados, várias opções de tratamento devem ser
identificados e considerados, incluindo:
• Evitar o risco ao não prosseguir com a actividade que o contém. Se a prevenção
de risco for adoptada inadequadamente devido a uma atitude de aversão ao risco,
pode causar um aumento da níveis de outros riscos. A aversão ao risco pode levar
à má tomada de decisão, atrasos no processo de tratamento do risco e, em última
análise, falha no tratamento do risco. Na verdade, evitar riscos significa recusar
aceitar o risco. Escolher um componente alternativo menos arriscado dentro da
actividade, ou escolher uma actividade diferente, mas mais aceitável, não é
necessariamente evitar o risco, é antes um tratamento de risco que visa a redução
da probabilidade ou consequências.
• Reduzir a probabilidade de ocorrência ou as consequências do risco, ou ambos.
Apêndice G da AS / NZS 4360 fornece uma lista de acções para reduzir a
probabilidade de risco ocorrência e uma lista de procedimentos para reduzir as
consequências.
• Transferir o risco total ou parcialmente, significa envolver outra organização em
assumir risco como um todo ou na partilha de alguma parte do risco. Desta forma,
a organização original irá reduzir o risco para si mesmo, mas pode não cancelá-lo
completamente.
• Reter o risco, geralmente residual, após a conclusão da redução de risco ou
procedimentos de transferência de risco
• O risco pode ser retido por padrão quando não é tratado pela organização.
Redução da probabilidade de ocorrência e redução das consequências são às vezes
chamado de controle de risco.
Avaliar as opções de tratamento é considerar a sua viabilidade, benefícios e custos, para
recomendar estratégias de tratamento e para seleccionar uma estratégia de tratamento. Avaliar
as opções de tratamento de risco é um processo que deve ser conduzido no que diz respeito à
extensão da redução do nível de risco, de o número de oportunidades recém-criadas, do

tamanho dos benefícios adicionais e com respeito aos critérios de avaliação de risco,
incluindo restrições orçamentárias.
Avaliar as opções de tratamento de risco pode incluir priorização de implementação devido a
limitação de recursos financeiros. Às vezes, o custo cumulativo das opções excede o
orçamento. Assim, várias pesquisas operacionais e outras técnicas devem ser aplicadas
estritamente para determinar a ordem de prioridade sob a qual as opções de tratamento de
risco entrarão no plano de tratamento.
Planos de tratamento mostram como as estratégias de tratamento seleccionadas devem ser
Implementadas, delegam responsabilidades, fornecer cronogramas, descrever os efeitos
esperados do tratamento, garantem recursos adequados, determinam medidas de desempenho
e estabelecem um processo de revisão rigoroso. Os planos devem incluir critérios de
desempenho contra os quais a implementação das opções de tratamento de risco deve ser
testado.
Os planos de tratamento geralmente contêm marcos críticos necessários no monitoramento da
implementação. A implementação de planos de tratamento requer a existência de um sistema
de gestão capaz de identificar as técnicas a serem utilizadas, atribuindo as responsabilidades a
nível individual e monitorando o processo em relação aos critérios especificados.
 Monitorar e rever - monitorar e rever não é apenas uma etapa, mas um processo
contínuo embutido no processo de gestão de risco. Os riscos mudam com o tempo e
as circunstâncias. Daí a necessidade de monitorizar os mesmos e os seus ambientes,
a implementação dos planos de tratamento dos riscos, o sistema de controlo dos
riscos criado e os contextos e prioridades de risco estabelecidos. A revisão é um
processo contínuo e parte integrante do plano de gestão de riscos. Isso garante que o
plano permaneça relevante e actualizado. Ele apresenta todas as mudanças no
processo de gestão de risco. A inevitável repetição regular do ciclo de gestão de
risco é baseada no processo de revisão.

 Comunicar e consultar - comunicar e consultar também fazem parte integrante do
processo de gestão de riscos. É contínuo e dura enquanto todo o processo de gestão
de riscos. A comunicação e a consulta são processos importantes e envolvem um
fluxo de informações bidirecional entre todas as partes interessadas. Recomenda-se
ter um plano de comunicação vinculando as partes interessadas externas e internas
desde o início e relacionado a cada etapa do processo de gestão de riscos. A consulta
deve ter prioridade em vez de simplesmente passar informações dos tomadores de
decisão para os outros participantes do processo. A comunicação eficaz é vital para
garantir que os gerentes de risco e todas as partes interessadas compreendam a base
para as decisões tomadas e as acções realizadas. A percepção de risco entre as partes
interessadas difere devido às diferenças de interesses, necessidades, suposições,
conceitos e experiências. As decisões relativas à aceitabilidade do risco são
geralmente feitas com base na percepção do risco. As partes interessadas têm um
papel significativo no processo de tomada de decisão. Portanto, é importante ter
todas essas percepções, e tudo o que delas flui, identificado e documentado.
1.1.3 O processo de gestão de risco empresarial segundo ISSO 31000
Esta norma teve como base a norma AS/NZS 4360 (2004) e foi desenvolvida por uma
comissão composta por delegações de 35 países que se uniram para criar um grupo de
trabalho multidisciplinar designado ISO Technical Management Board on Risk Management
e que abrangeu especialistas em gestão de risco de diversas áreas, como a financeira,
segurança, qualidade, meio ambiente, tecnologia, saúde, defesa, seguros, entre outros. O
trabalho obtido não representa apenas as conclusões desta comissão mas as opiniões e
experiências de centenas de profissionais envolvidos em gestão de risco.
A necessidade de se criar uma norma internacional específica para a gestão de riscos resultou
do facto de a ISO ter constatado que existiam diversos grupos de trabalho que desenvolviam
normas e procedimentos sobre gestão de risco e que utilizavam conceitos, terminologias,
processos e pressupostos diferentes, criando muitas inconsistências e ambiguidades entre os
diferentes normativos. Com base nessa informação foi criada a ISO 31000 com o objectivo
de integrar e padronizar todos esses conceitos, terminologias, regulamentação e frameworks
anteriormente publicados, através de um processo consistente e uma estrutura abrangente, e

de estabelecer os princípios e orientações genéricas sobre a estrutura e a implementação de
um sistema de gestão de risco de forma a ajudar as organizações a gerir o risco de forma
eficaz, eficiente e coerentemente .
A ISO 31000 adoptou o processo de gestão de risco da AS / NZS 43604
, ilustrando na Figura
2, nomeadamente: estabelecimento do contexto, identificação de risco, análise de risco,
avaliação de risco e tratamento de risco, incluindo monitoramento e revisão, comunicação e
consulta e documentação.
Figura 2 O processo de gerenciamento de risco
4
http://broadleaf.com.au/resource-material/a-simple-guide-to-risk-and-its-management/

 Estabelecer o contexto - o processo de gestão de risco deve começar por definir o
que queremos alcançar e entender os factores externos e internos que podem
influenciar o sucesso dos objectivos. Esta etapa, chamada de "estabelecer o
contexto", é um precursor essencial para a identificação de risco. Uma parte
importante para estabelecer o contexto é identificar os stakeholders e entender seus
os objectivos, para que possamos avaliar como envolvê-los e incluir os seus
objectivos em consideração na definição de critérios de risco. A análise das partes
interessadas é frequentemente vista como parte da etapa de ‘comunicar e consultar’,
uma actividade que continua ao longo do processo de gestão de risco.
 Avaliação de risco - os próximos três elementos do processo, (1) identificação de
risco, (2) análise de risco e (3) avaliação de risco, compreendem o que é geralmente
chamado de avaliação de risco.
(1) Identificação de risco - identificação de riscos envolve a aplicação de um
processo sistemático para entender uma série de exemplos do que pode
acontecer, como, quando e por quê. Compreender esses 'cenários' de exemplo é
vital para informar o tratamento de risco.
A falha em empregar um processo sistemático de identificação de riscos pode levar
as organizações a perder alguns riscos e concentrar sua atenção apenas nos riscos
'conhecidos' e, portanto, perder aqueles que são 'desconhecidos conhecidos' ou
'desconhecidos desconhecidos' que podem então nunca ser tratados adequadamente.
A identificação de riscos também deve identificar os controles existentes que visam
modificar as consequências ou sua probabilidade.

(2) Análise de risco - análise de risco está preocupada em desenvolver uma
compreensão de cada risco, suas consequências e a probabilidade dessas
consequências. Isso envolve muito mais do que a simples aplicação de uma
matriz, que é o máximo que algumas organizações fazem na classificação de
riscos. Por exemplo, compreender a eficácia dos controles existentes e quaisquer
lacunas de controle é uma parte vital da análise de risco e deve ser explorada
antes de tomar decisões sobre o tratamento de risco. Normalmente determinamos
o nível de risco actual, levando em consideração os controles existentes e seu
nível de eficácia.
(3) Avaliação de risco - a avaliação de risco envolve a tomada de decisão sobre o
nível ou prioridade de cada risco por meio da aplicação dos critérios
desenvolvidos quando o contexto foi estabelecido. Os riscos são priorizados para
atenção e a análise de custo-benefício é usada para determinar se o tratamento de
risco vale a pena.
 Tratamento de risco - o tratamento de risco normalmente envolve actividades que
visam alterar a probabilidade das consequências ou o tipo, magnitude ou momento
dessas consequências. O tratamento de risco pode envolver o aumento da exposição
da organização aos riscos que ela prefere e dos quais pode se beneficiar, bem como
limitar a exposição àqueles de que não gosta.
A visão tradicional do tratamento de risco envolvia a transferência de risco ou sua
retenção. A transferência de risco é agora mais geralmente conhecida como partilha
de risco, em reconhecimento ao facto de que um risco não pode ser completamente
transferido sem que outros riscos sejam incorridos. Por exemplo, a compra de seguro
é freqüentemente citada como uma forma de transferência de risco. No entanto, isso
envolve o segurado aceitar parte do risco (a franquia), bem como tolerar o risco
associado a redacções restritivas e uma relutância geral da seguradora em pagar os
sinistros. Os segurados também assumem o risco de que a seguradora falhe (como
aconteceu nas últimas décadas) e seus prêmios sejam perdidos e os sinistros não
sejam pagos. Considerações semelhantes se aplicam a partilha de riscos por meio de
outras formas de contrato.

As opções de tratamento de risco devem sempre ser consideradas, por meio da
aplicação da análise de custo-benefício, podem ser tomadas decisões sobre as mais
adequadas para a organização. Isso deve ser traduzido em acções ou tarefas
específicas que formam um plano de tratamento de risco,
 Monitoramento e revisão - novos riscos surgem e os riscos existentes mudam à
medida que o ambiente interno e externo de uma organização muda. Às vezes, essas
mudanças surgem por causa do que fazemos no tratamento de risco.
Frequentemente, descobrimos que os riscos mudaram porque os controles nos quais
podemos ter confiado por muitos anos se tornaram inadequados ou ineficazes. A
menos que uma organização monitore como seu contexto interno e externo muda e
analise se seus controles permanecem eficazes, então sua avaliação dos riscos que
enfrenta e os níveis desses riscos podem estar incorrectos.

2 Matriz de Risco – MR e Matriz de Oportunidades – MO
As três normas apresentadas na secção anterior (COSO, AS/NZS 4360, e ISSO 31000)
propõem procedimentos sobre o processo de gestão de risco corporativo. Estas normas
descrevem procedimentos estruturados que ajudam a identificar, avaliar, e responder ao risco
que pode afectar a capacidade da empresa de atingir os seus objectivos estratégicos.
As actividades de identificação, avaliação e resposta ao risco constituem o coração ou base
para a tomada de decisão sobre quais riscos são oportunidades "positivos" ou ameaças
"negativos", podem ser prioritários, dando resposta apropriada e como os recursos devem ser
alocados para gerir o risco para melhor apoiar a empresa.
A Matriz de Risco e Oportunidade lida5
com as sete etapas do processo de gestão de risco
indicadas nas Figura 3 e Figura 4 e 2: (1) estabelecer o contexto e (2-4) conduzir a avaliação
de risco que inclui identificar, analisar, avaliar e ( 5) responder a riscos e oportunidades, (6)
monitorar e actualizar o status e (7) relatar os riscos que podem afectar materialmente a
empresa ou unidade empresarial. O contexto e as etapas de avaliação ajudam os tomadores de
decisão a escolher os riscos ou oportunidades que podem ser priorizados, a resposta
apropriada e os recursos que devem ser alocados para gerir o risco ou oportunidade de uma
forma que melhor suporte a estratégia da organização. A etapa de resposta envolve decidir e
planear a melhor maneira de “tratar” ou modificar o risco ou oportunidade e implementar
esse plano.
Figura 3 O Processo de Avaliação de Risco “Negativo”
5
https://www.citadel.edu/root/images/compliance/citadel%20erm%20guide%20to%20risk%20and%20opportu
nity%20assessment%20and%20response%20draft.pdf

Figura 4 O Processo de Avaliação de Risco - Oportunidades

2.1 Quem pode implementar o roteiro Matriz de Risco e Oportunidade
Qualquer indivíduo em qualquer nível da empresa pode usar este roteiro para avaliar e
planear respostas a riscos e oportunidades na sua área. No entanto, recomenda-se que as
avaliações de risco sejam conduzidas nos três níveis de gestão: (gestão estratégica, gestão
táctica e gestão operacional) a informação seja agregada numa base de dados de riscos.
2.1.1 O roteiro Matriz de Risco e Oportunidade
Etapa 1: estabelecer o contexto
O objectivo de estabelecer o contexto para avaliação de risco e oportunidade é entender os
factores externos e internos que podem afectar a capacidade da organização de cumprir com a
sua missão, visão, objectivos e competitividade; e, portanto, preparar o terreno para a
identificação de riscos e oportunidades. Uma vez que o "risco" é definido como "qualquer
problema (positivo ou negativo) que pode afectar a capacidade de uma organização de atingir
os seus objectivos", definir os objectivos da organização é um pré-requisito para identificar
riscos e oportunidades.
Passos a seguir
1. Identificar as metas ou objectivos do Plano Estratégico da empresa, divisão ou
departamento, se houver.
2. Identificar quaisquer iniciativas importantes que a empresa, divisão ou departamento
esta a planear ou realizar
3. Identificar as actividades, funções ou serviços essenciais para os outros funcionarem.
4. Identificar qualquer contexto externo da empresa, divisão ou departamento: requisitos
legais / regulamentares, percepções e expectativas das partes interessadas e quaisquer
factores sociais, culturais, políticos, financeiros, tecnológicos, económicos ou
competitivos relevantes.
Exemplo 1 - estabelecer o contexto da UEM
VISÃO - Ser a referência de excelência no ensino, investigação e extensão, para
comunidade científica regional e internacional e para a sociedade em geral.
MISSÃO - Ser uma instituição de excelência no contexto da educação, da ciência, da cultura
e da tecnologia, educando para a vida os profissionais que capacita e assumindo

responsabilidades no processo de inovação e transferência de conhecimento. Neste contexto,
científica regional e internacional, e por ser agente e objecto de mudanças e transformações
da sociedade.
1. Identificar as metas ou objectivos do Plano Estratégico da empresa, divisão ou
departamento, se houver.
Quadro 1 Identificação dos objectivos estratégicos da UEM – Plano estratégico 2010-
2014
Objectivo estratégico Descrição
OB 1 Conceber, implementar e monitorar a reforma académica
tendo em vista a integração regional
OB 2 Promover o acesso equitativo
OB 3 Assegurar excelência e qualidade na docência
OB 4 Assegurar excelência e qualidade nas actividades de
investigação e de extensão
OB 5 Desenvolver a Planta Física
OB 6 Desenvolver e valorizar os recursos humanos
OB 7 Promover a eficiência administrativa e de gestão, de
comunicação e marketing
OB 8 Desenvolver e fortalecer a cooperação nacional, regional e
internacional
Quadro 2 Identificação das metas (acções= dos objectivos estratégicos da UEM – Plano
estratégico 2010-2014
OB 1 Conceber, implementar e monitorar a reforma académica
tendo em vista a integração regional
A1.1. Efectuar a avaliação da qualidade e relevância do actual quadro curricular,
no contexto nacional e regional.

1.1.1. Seleccionar universidades de referência, na região, para os cursos oferecidos
pela UEM.
1.1.2. Estudar os currículos usados pelas universidades de referência da região, e
compará-los com os currículos equivalentes da UEM.
1.1.3.Determinar os cursos, bem como a sua duração e graus, que deverão ser
oferecidos pela UEM, no contexto da integração regional.
1.1.4. Avaliar a interligação do subsistema do ensino superior com os outros
subsistemas, em particular o ensino secundário geral e o técnico médio
profissional.
A1.2. Conceber um novo modelo curricular que permita a integração regional da
UEM.
1.2.1. Elaborar um currículo para cada curso, em função das práticas regionais
1.2.2. Visitar universidades da região e de outros países, para discussão dos graus
existentes, e possíveis equiparações a estabelecer.
1.2.3. Realizar encontros conjuntos com as autoridades competentes da UEM e dos
países da SADC/Moçambique, tendo em vista o estabelecimento de um sistema de
equivalências e créditos.
1.2.4. Elaborar propostas finais dos currículos e submetê-las à aprovação pelos
órgãos colegiais.
A1.3. Elaborar um plano de acção para a implementação do Sistema Nacional de
Acreditação e Qualidade do Ensino Superior.
A1. 4. Conceber um plano de implementação e monitorização do novo modelo
curricular.
1.4.1. Conceber e introduzir o novo modelo curricular.
1.4.2. Proceder à monitorização da implementação do novo modelo curricular.
Assumir que analisamos todos os 8 objectivos estratégicos

2. Identificar quaisquer iniciativas importantes que a empresa, divisão ou departamento
esta a planear ou realizar
 Visitar universidades de referência, na região
 encontros conjuntos com as autoridades competentes da UEM e dos países da
SADC/Moçambique tendo em vista o estabelecimento de um sistema de
equivalências e créditos.
 Elaborar um plano de acção para a implementação do Sistema Nacional de
Acreditação e Qualidade do Ensino Superior
 Proceder à monitorização da implementação do novo modelo curricular
3. Identificar as actividades, funções ou serviços essenciais para os outros funcionarem.
 novo modelo curricular.
4. Identificar qualquer contexto externo da empresa, divisão ou departamento: requisitos
legais / regulamentares, percepções e expectativas das partes interessadas e quaisquer
factores sociais, culturais, políticos, financeiros, tecnológicos, económicos ou
competitivos relevantes.
 Modelos de currículos regionais
 Subsistemas do ensino secundário geral e o técnico médioprofissional
 sistema de equivalências e créditos.
 Sistema Nacional de Acreditação e Qualidade do Ensino Superior.
Etapa 2: Identificação de riscos e oportunidades
O objectivo da etapa de identificação de risco e oportunidade é "gerar uma lista de riscos" e "
oportunidades” com base nos eventos que podem criar, melhorar, prevenir, degradar, acelerar
ou atrasar a realização de suas metas ou objetivos" (ISO 31000, 2009).
Como identificar riscos e oportunidades
1. Seja o mais abrangente possível nesta fase - identifique tudo o que puder.
2. Identificar eventos positivos que podem promover objectivos estratégicos
(oportunidades), bem como eventos negativos que podem impedir o cumprimento
desses objectivos (riscos).
3. Incluir riscos e oportunidades, independentemente de estarem ou não "sob seu
controle".

4. Pensar sobre os riscos e oportunidades relacionados e os impactos em cascata ou
cumulativos.
5. Envolver as pessoas mais experientes.
6. Usar as informações mais relevantes e actualizadas que conhecer.
7. Exemplos de técnicas de identificação ou fontes potenciais de riscos e oportunidades:
Brainstorming, questionários, estudos, benchmarking da indústria, análise de cenários,
investigação de incidentes ou auditorias ou inspecções.
 Mapas de riscos – Os mapas de riscos constituem uma fonte importante na
identificação de possíveis riscos a que a organização está exposta. Estes mapas de
riscos podem ser provenientes de exercícios de identificação de risco efetuados por
outras organizações similares ou provenientes de mapas de riscos genéricos a todas as
organizações normalmente disponibilizados por empresas que prestam serviços de
consultoria nesta área. Uma análise criteriosa deverá ser sempre efetuada de modo a
validar a pertinência, validade e aplicabilidade dos riscos presentes nos mapas
utilizados;
 Questionários – estes questionários deverão ser usados em entrevistas com os
responsáveis de áreas ou departamentos permitindo a auto-identificação de riscos e
das respectivas causas, factores de risco ou consequências;
 Benchmarking de indústria – esta técnica consiste em obter, através de consulta a
informação pública, os riscos a que outras organizações similares consideram estar
expostas. Nestas abordagens deverão ser consideradas as especificidades de cada
organização, validando assim a aplicabilidade dos riscos. Uma vez que a informação
pública, normalmente não evidencia o nível de risco, este método é mais utilizado
para validação do universo de riscos aplicáveis à organização;
 Análise de cenários e hipóteses – Estas técnicas são utilizadas para identificação de
riscos externos ou externos ou estratégicos, uma vez que nestes casos o contexto é
menos claro e mais difícil de definir.
Os resultados a obter nesta fase são:
 Dicionário de Riscos – Lista dos riscos identificados, agrupados pelas respetivas
categorias e suas descrições; e

 Mapa de risco – Diagrama que ilustra os riscos distribuídos de acordo com as classes
e categorias definidas.
Perguntas para estimular o pensamento e a discussão
1. O que pode afectar a capacidade da instituição, divisão ou departamento de alcançar
ou cumprir com os seus objectivos estratégicos, iniciativas ou funções-chave, de
forma positiva ou negativa? Que incertezas a instituição, divisão ou departamento
enfrenta?
2. Quais são as categorias de riscos que a instituição, divisão ou departamento pode
enfrentar em termos de:
Quadro 3 Categorias de risco e oportunidades
Categoria Descrição
Capital Humano Riscos ou oportunidades relacionados com o investimento,
manutenção e apoio da qualidade da força de trabalho, tais
como: recrutamento, retenção, moral, remuneração e
benefícios, gestão de mudanças, conhecimento da força de
trabalho, habilidades, sindicalização, práticas.
Perigo, segurança e
responsabilidade legal
Riscos relacionados à responsabilidade legal (negligência),
lesões, danos ou saúde e segurança dos colaboradores ou do
meio ambiente, incluindo impactos causados por actos
acidentais ou não intencionais, erros ou omissões e eventos
externos, como desastres naturais.
Conformidade e Legalidade Riscos relacionados com violações de leis, regulamentos ou
políticas da instituição, que criam exposição a multas,
penalidades, acções judiciais, redução do financiamento,
fiscalização de agências, etc.
Finanças Riscos relacionados a activos físicos ou recursos financeiros,
tais como: orçamento do estado, doações, fundos de pesquisa,
dotação, contabilidade e relatórios, investimentos, classificação
de crédito, fraude, gestão de caixa, seguro, auditoria, plano de
exigência financeira, dívida de longo prazo, manutenção
diferida.

Reputação Uma ameaça ou perigo para o bom nome ou reputação de uma
empresa ou entidade.
Operações Riscos relacionados à gestão dos programas, processos,
actividades e instalações e ao uso eficaz, eficiente e prudente
dos recursos. Exemplos incluindo continuidade de negócios,
saúde e segurança, tecnologia.
Assuntos Estratégicos Riscos relacionados à capacidade da instituição, divisão ou
departamento de atingir as suas metas e objectivos estratégicos,
incluindo riscos e posicionamento de mercado competitivo, e
riscos relacionados à missão e valores; diversidade; qualidade
académica; pesquisa; modelo de negócios; conduta ética;
acreditação.
Capital Humano
3. Que pontos fortes, fracos, ameaças e oportunidades instituição, divisão ou
departamento enfrenta?
4. Houve alguma mudança importante recente na direcção ou controle (novos
regulamentos, novos programas / actividades, mudanças organizacionais, etc.) que
representam novos riscos ou oportunidades?
5. Existem programas, actividades, controles internos ou questões legais / regulatórias
específicas na instituição, divisão ou departamento que acha que podem representar
um risco significativo para a instituição, divisão ou departamento?
Construção da Matriz de Risco e Oportunidade
Passo 1 – Na coluna A, inserir o nome curto do risco / oportunidade de todos os riscos e
oportunidades possíveis que podem afectar os objectivos da instituição, divisão ou
departamento (de acordo com as perguntas para estimular a reflexão e a discussão,
anteriores).
Passo 2 – Na coluna B, inserir a descrição do risco / oportunidade na coluna B indicando
fontes/origens e causas do risco. Não incluir potenciais impactos ou consequências do risco.

Passo 3 – Na coluna C, indicar a classe de risco (ameaça ou oportunidade) e o objectivo ou
meta que afecta.
Passo 4 – Na coluna D, indicar a categoria do risco ou área/eixo estratégico que afecta
Passo 5 – Na coluna E, indicar sub-objectivos, acções ou subacções que o risco afecta
Passo 6 - Na coluna F, indicar quaisquer outras metas ou iniciativas estratégicas da
instituição, divisão ou departamento que este risco ou oportunidade afecta.
Passo 7 – Na coluna G, Indicar o nível de direcção para cada risco ou oportunidade
Passo 8 - Na coluna H, indicar o funcionário responsável por cada risco ou oportunidade.
Este é o indivíduo da instituição, divisão ou departamento com a responsabilidade e
autoridade para gerir o risco ou oportunidade.
Coluna A Coluna
B
Coluna C Coluna
D
Coluna E F G H
Designaç
ão do
risco
Descriçã
o do
risco
Classe de
risco e
objectivo/m
eta que
afecta
categor
ia do
risco
Inserir
sub-
objectivo
s, acções
ou
subacçõe
s
outras
metas ou
iniciativa
s
estratégic
as
Nível
de
direcçã
o
Responsav
el

Quadro 4 Exemplo de identificação de risco e oportunidade
Coluna A Coluna B Coluna C Coluna D Coluna E F G H
Designação do
risco
Descrição do
risco
Classe de risco
e
objectivo/meta
que afecta
categoria do
risco
Inserir sub-
objectivos,
acções ou
sub-acções
outras
metas ou
iniciativas
estratégicas
Nível de
direcção
Responsavel
Currículo
reprovado na
acreditação
Currículo não
em
conformidade
com os
padrões
OB 1 Conformidade
e Legalidade
1.2.1. Faculdade
ou Escola
Chefe de
Departamento

Etapa 3 - Análise de risco e oportunidade
Esta fase tem dois principais objectivos:
1) Identificar as causas (também designadas por eventos) de risco que podem levar à
ocorrência do risco e factores que contribuem para um aumento da vulnerabilidade do risco
(aumento da probabilidade) ou um aumento das consequências (aumento do impacto); e
2) Identificar os Controlos / medidas de mitigação que podem contribuir para mitigar o risco.
Os resultados a obter nesta fase são:

 Factores de risco – Identificação dos principais factores de risco que contribuem para
cada um dos riscos identificados; e
 Controlos / medidas de mitigação – Identificação de controlos “típicos” ou
existentes para cada um dos riscos identificados. Não é objectivo desta fase avaliar os
controlos quanto à existência, desenho, implementação e eficácia operacional.
Factores de risco
Factores de risco - a identificação dos factores de risco deverá ter em consideração as
seguintes tipologias de factores:
 Factores internos – Os factores de risco internos estão relacionados com debilidades da
própria organização, nomeadamente ao nível das “pessoas”, “infra estruturas”, “tecnologias”
e “processos”;
 Factores externos – Os factores de risco externos não se encontram sobre o controlo directo
da organização, podendo estar relacionados com “economia”, “meio ambiente”, “política”,
“enquadramento social”, entre outros;
 Factores “de passado” – Factores relacionados com eventos ocorridos na organização ou em
organizações similares; e
 Factores “de futuro” – Factores que utilizam previsões sobre o futuro para estimar a sua
influência no risco. Podem estar relacionados, por exemplo, com estudos de evolução
demográfica ou de evolução do mercado.

Controlos / medidas de mitigação
Os controlos, ou actividades de controlo, são as políticas e os procedimentos que auxiliam o
processo de gestão do risco. Encontram-se em todos os níveis da organização,
transversalmente a todas as áreas e funções e fazem parte dos processos da organização para
alcançar os seus objectivos de negócio. Os controlos incluem uma variedade de actividades
como por exemplo aprovação, verificação, reconciliação, revisão ou monitorização.
O conceito estrito de controlos prevê dois tipos diferentes que se distinguem pela sua atuação
perante os riscos que se propõem mitigar:
 Controlos preventivos – São controlos que actuam preventivamente sobre os riscos e
cujo objectivo é reduzir as suas vulnerabilidades ou probabilidade de ocorrência.
Usualmente estes controlos diminuem o número de eventos que podem originar o
risco reduzindo assim a probabilidade de ocorrência do risco (e.g. controlo de acessos
às instalações, relativamente ao risco de acidentes de trabalho), diminuem a exposição
ao risco através da eliminação ou redução dos factores de risco reduzindo assim as
vulnerabilidades que podem originar a ocorrência do risco (e.g. uso obrigatório de
capacete de protecção, ainda relativamente ao risco de acidentes de trabalho);
 Controlos detectivos – São controlos que actuam relativamente sobre os riscos cujo
objectivo é a redução do impacto causado pela ocorrência do risco. O facto de serem
reactivos perante o risco não significa que a sua actuação dependa da ocorrência do
risco, na realidade estes controlos são realizados mesmo sem materialização do risco
(e.g. sistema de detecção de incêndios relativamente ao risco de incêndio).
Tipicamente, estes controlos têm associadas acções correctivas sempre que
“detectam” a ocorrência do risco (algumas vezes designados por controlos
correctivos) cujo objectivo é actuar caso seja detectada a ocorrência real do risco (e.g.
sistema de extinção de incêndio ainda relativamente ao risco de incêndio).
Uma outra perspectiva sobre os controlos considera o seu nível de actuação, conforme
definido no COSO II:
 Políticas e procedimentos – Em termos genéricos, as políticas definem o que deve
ser feito e os procedimentos descrevem como deve ser feito. As políticas podem ter
um carácter menos formal – políticas incutidas na organização, mas não formalizadas

– continuando a ser efectivas no seu efeito. Quanto aos procedimentos é necessário
que os mesmos estejam sempre alinhados com as políticas – formais ou informais.
 Controlos de Sistemas de Informação – A maior dependência dos sistemas de
informação torna necessária a existência de controlos específicos. Neste âmbito
consideram-se usualmente dois tipos de controlos, os controlos aplicacionais e os
controlos gerais.
Os controlos aplicacionais são concebidos para assegurar a totalidade, rigor, autorização e
validade do processo de captura, tratamento e partilha de dados.
Os controlos gerais actuam transversalmente a todo o ambiente de tecnologias de informação
– desde os computadores centrais até aos computadores pessoais – e podem existir ao nível
da gestão dos sistemas de informação, infra-estruturas tecnológicas, segurança lógica e física
e desenvolvimento / manutenção dos sistemas.
Abordagens utilizadas para analisar riscos
A identificação dos factores de risco deverá ser efetuada utilizando preferencialmente as
seguintes abordagens:
 Brainstorming – Discussão alargada sobre as potenciais causas para cada um dos
riscos;
 Entrevistas individuais com a gestão – Estas conversas, que podem ser efetuadas
simultaneamente com a identificação dos riscos. Face à técnica do brainstorming, esta
abordagem tem a vantagem de poder ser mais direccionada e estruturada, sendo ainda
de realçar a inexistência de influência de interlocutores de outras áreas;
 Eventos passados – Identificação de eventos ocorridos no passado e que podem
indiciar uma probabilidade elevada de ocorrência futura.
Abordagens possíveis para a identificação dos controlos são:
 Entrevistas individuais com a gestão – Este método representa o primeiro passo
para identificação dos principais controlos existentes. Nesta fase não é pretendido

obter detalhe sobre as características dos controlos, mas apenas obter uma perceção
do nível de controlo existente. Estas entrevistas poderão ser realizadas conjuntamente
com a fase de avaliação dos riscos;
 Questionários de controlos – Numa segunda iteração do processo, necessariamente
mais rigorosa e dirigida aos riscos, poderão ser emitidos questionários direcionados
aos interlocutores identificados para cada risco. Este método deverá permitir a
identificação não só dos controlos existentes como também das principais
oportunidades de melhoria ou lacunas de controlo;
 Benchmarking e melhores práticas – O recurso às melhores práticas de controlo e a
outras organizações onde os riscos se manifestem de forma idêntica consiste num
método que permite, por um lado, estimular a organização para a existência de alguns
controlos, mas sobretudo permite a identificação de oportunidades de melhoria e
lacunas de controlo;
 Consulta a manuais de procedimentos e outra documentação – Numa fase
posterior do modelo de gestão de risco, a que corresponderá uma maior maturidade,
poderá ser efetuada uma identificação mais pormenorizada dos controlos através de
consulta a manuais de procedimentos, manuais de operação ou outra documentação
interna à organização;
 Levantamento de processos – Este método, apesar de não ser orientado directamente
para cada um dos riscos – em vez disso é orientado ao processo – permite identificar
controlos incutidos na organização e que não se encontram reflectidos em
documentação processual ou operacional. Este método não é normalmente utilizado
de forma exclusivamente com o objectivo de identificar os controlos, devido ao peso
que lhe está associado; e
 Manuais de controlo interno – Esta abordagem consiste em recorrer a manuais de
controlo interno existentes na organização. Permite uma identificação de elevada
granularidade, sendo assim associada a fases de maior maturidade do modelo de
gestão de risco.
Etapa 3 - Coisas para ter em mente
 A análise pode ser qualitativa, semi-qualitativa, quantitativa ou uma combinação
das duas.

 Considere as causas e fontes, suas consequências positivas e negativas, a
probabilidade de que possam ocorrer e outros atributos do risco ou oportunidade.
 Considere a interdependência de diferentes riscos ou oportunidades e suas fontes.
Etapa 3 - etapas a seguir
1 – Copiar as colunas A a E do Quadro 4
2 - Inserir colunas F e G e preencher classificação da probabilidade e classificação do
impacto usando Quadro 5 e Quadro 6 respectivamente.
Quadro 5 Classificação da probabilidade
4 Muito elevado
3 Elevado
2 Médio
1 Baixo
Quadro 6 Classificação do impacto
4 Muito elevado
3 Elevado
2 Médio
1 Baixo
Quadro 7 Identificação de riscos e oportunidades
Coluna A Coluna B Coluna C Coluna D Coluna E Probabilidade Impacto
Designação
do risco
Descrição do
risco
Classe de
risco e
objectivo/meta
que afecta
categoria do
risco
Inserir
sub-
objectivos,
acções ou
sub-
acções
Currículo
reprovado
na
acreditação
Currículo não
em
conformidade
com os
padrões
OB 1 Conformidade
e Legalidade
(risco)
1.2.1. 4 4
3 – Repetir este processo ate esgotar todos os riscos e oportunidades.

Revisão do processo da Etapa 3 - Análise de risco e oportunidade
Um dos elementos da descrição do contexto da Empresa é a definição de um conjunto de
critérios através dos quais os riscos irão ser avaliados.
A definição dos critérios de avaliação de riscos e oportunidades compreende os seguintes
passos:
Passo 1 – Definição de categorias de riscos e oportunidades
Os riscos enfrentados por uma organização devem ser categorizados em relação ao que a
organização faz. Existem várias categorias comumente usadas que ajudam a agrupar os riscos
de acordo com os vários aspectos da organização e suas actividades.
Quadro 8 Exemplo: Categorias de risco e oportunidades
Categoria Descrição
Capital Humano Riscos ou oportunidades relacionados com o investimento,
manutenção e apoio da qualidade da força de trabalho, tais
como: recrutamento, retenção, moral, remuneração e
benefícios, gestão de mudanças, conhecimento da força de
trabalho, habilidades, sindicalização, práticas.
Perigo, segurança e
responsabilidade legal
Riscos relacionados à responsabilidade legal (negligência),
lesões, danos ou saúde e segurança dos colaboradores ou do
meio ambiente, incluindo impactos causados por actos
acidentais ou não intencionais, erros ou omissões e eventos
externos, como desastres naturais.
Conformidade e Legalidade Riscos relacionados com violações de leis, regulamentos ou
políticas da instituição, que criam exposição a multas,
penalidades, acções judiciais, redução do financiamento,
fiscalização de agências, etc.
Finanças Riscos relacionados a activos físicos ou recursos financeiros,
tais como: orçamento do estado, doações, fundos de pesquisa,
dotação, contabilidade e relatórios, investimentos, classificação

de crédito, fraude, gestão de caixa, seguro, auditoria, plano de
exigência financeira, dívida de longo prazo, manutenção
diferida.
Reputação Uma ameaça ou perigo para o bom nome ou reputação de uma
empresa ou entidade.
Operações Riscos relacionados à gestão dos programas, processos,
actividades e instalações e ao uso eficaz, eficiente e prudente
dos recursos. Exemplos incluindo continuidade de negócios,
saúde e segurança, tecnologia.
Estratégicos Riscos relacionados à capacidade da instituição, divisão ou
departamento de atingir as suas metas e objectivos estratégicos,
incluindo riscos e posicionamento de mercado competitivo, e
riscos relacionados à missão e valores; diversidade; qualidade
académica; pesquisa; modelo de negócios; conduta ética;
acreditação.
Passo 2 – Definição de escalas de impacto do risco e oportunidade
Caracteristicas ou dimensões de riscos
Cada evento de risco, seja uma ameaça ou uma oportunidade, tem várias características ou
dimensões, a saber6
:
 Probabilidade de ocorrência
 Impacto Geral
 Impacto Financeiro
 Impacto de reputação
 Outro impacto
 Velocidade - quão rápido o evento de risco ocorrerá
 Persistência - quanto tempo durarão os efeitos negativos do evento de risco
 Significância-importância do risco para a organização
6
https://erm.ncsu.edu/az/erm/i/chan/library/Risk_Assessment_Practices_Thought_Paper_ERM_NCSTATE_201
5.pdf

 Preparação - quão preparada está a organização para responder ao risco
 Confiança no Tratamento ou Capacidade de Controle - quão qualificada é a
organização no tratamento dos riscos de esse tipo
 Interdependência - quanta influência este risco tem na ocorrência de outros riscos
 Trajectória ou tendência futura - como é que se espera que esse risco mude no
futuro
Escalas usadas para avaliar riscos
Quando os riscos são avaliados usando dimensões como probabilidade e impacto, escalas são
geralmente adoptadas para permitir uma avaliação consistente do risco. É fundamental que
todos os participantes do processo de avaliação tenham um entendimento comum da
definição de cada ponto na escala.
Escalas de probabilidade e impacto do risco
O uso de uma escala de 5 pontos é o mais comum, mas escalas de 2, 3 e 4 ou mais pontos são
usadas por algumas organizações. Em alguns casos, escalas diferentes são usadas para
dimensões diferentes; por exemplo, o impacto pode ser pontuado numa escala de 4 pontos,
enquanto a velocidade pode ser pontuada numa escala de 2 pontos.
Escalas qualitativas e quantitativas
Uma vez que uma escala particular foi escolhida, deve-se definir o significado de cada ponto
na escala em termos qualitativos ou quantitivos ou ambos.

Significado e descrição das escalas de probabilidade do risco
Na dimensão probabilidade, é bastante fácil definir cada ponto com intervalo de
probabilidades. Por exemplo, uma pontuação “1” na probabilidade pode ser representada
como sendo uma chance de 0-5%, e / ou poderia ser descrito mais qualitativamente como
“raro” ou “remoto”.
Algumas organizações também incluem uma descrição mais longa, conforme mostrado na
coluna da extrema direita no Quadro 9.
Quadro 9 Escalas de Probabilidade com 5 pontos
Pontuação
Significado
Descrição
Qualitativo Quantitativo
1 Raro Menos de 5% de chance
deocorrência
Muito surpreso se isso fosse
acontecer
2 Improvável 5% - 25% Surpreso se isso acontecesse
3 Ocasional 26% - 49% Approaching a toss-up
4 Provável 50 – 74% Surpreso se isso não fosse
acontecer
5 Quase certo 75% ou mais chance de
ocorrência
Muito surpreso se não
acontecer
Quadro 10 Escalas de Probabilidade com 3 pontos
Pontuação
Significado
Descrição
Qualitativo Quantitativo
1 Baixo /
Remoto
<2% de chance de ocorrência Improvável ou raro; pode
ocorrer em algum momento
nos próximos 6 a 10 anos
2 Médio /
Possível
2% a <25%
chance de ocorrência
Provável de ocorrer em
algum momento nos
próximos 1-5 anos
3 Alta /
Provável
> 25% de chance de ocorrência Muito provavelmente
ocorrerá no próximo ano, ou

já está ocorrendo
Ao definir cada ponto na escala de impacto, a tarefa pode se tornar mais complexa.
organizações simplesmente atribuem um valor em unidades monetárias a cada ponto na
escala para capturar o impacto financeiro de um risco, ver o Quadro 11 e Quadro 12.
Contudo, porque muitos riscos são difíceis de quantificar e os indivíduos que fornecem
informações sobre a avaliação podem não ter ferramentas para fazer esse tipo de
quantificação, muitas organizações procuram definir o impacto de diferentes maneiras,
mas aproximadamente equivalentes. Por exemplo, no
Quadro 13 a seguir, a organização descreve qualitativamente o impacto do risco, neste caso,
em três categorias: (i) impacto financeiro, (ii) impacto sobre o cliente satisfação e (iii)
extensão da cobertura da mídia, ver Quadro 13.
Quadro 11 Escalas de Impacto do risco com a categoria do risco financeiro quantificado em unidades monetarias

Quadro 12 Escalas de Impacto da oportunidade com a categoria do oportunidade financeira quantificada em unidades
monetarias

Quadro 13 Escalas de Impacto
Pontuação Impacto
Categorias do risco – descrição qualitativa
Financeiro Cliente satisfação Extensão da
cobertura da mídia
1
Insignificante
Quase nenhum
impacto
financeiro
Mudança insignificante
na satisfação ou
relacionamento com o
cliente
Sem cobertura da
mídia do evento
2 Menor Impacto
financeiro
insignificante
Efeito negativo menor
na satisfação ou
cliente
Cobertura menor
da mídia

3 Moderada Impacto
financeiro
notável
Insatisfação moderada
do cliente ou tensão no
cliente
Alguma cobertura
da mídia
4 Grave Impacto
financeiro
material
Insatisfação
significativa do cliente
e perda de
cliente
Cobertura da
mídia nacional
5 Catastrófica Ameaça a
solvência da
empresa
Maioria dos clientes
perdidos
Cobertura
persistente da
mídia nacional e
internacional
Escalas de outras dimensões de risco
Na secção anterior explicamos a definição das escalas de duas dimensões de risco:
probabilidade e impacto. Agora, passamos a apresentar em termos gerais as outras
dimensões do risco. Por exemplo, quando as organizações avaliam a velocidade do inicio do
risco numa escala de 5 pontos, então um “5” representaria a maior velocidade de início,
Quadro 18. Da mesma forma, ao avaliar a persistência de um risco, uma pontuação de “5”
indicaria a maior persistência de efeitos negativos do risco evento. Em cada um desses casos,
uma pontuação mais alta indicaria um efeito negativo mais sério.
No caso de dimensões potencialmente redutoras de risco, como confiança no tratamento e
preparação, no entanto, uma pontuação mais alta geralmente seria usada para indicar um
maior grau de confiança ou nível de preparação, . Organizações que usam essas dimensões
normalmente subtraem a pontuação da preparação ou confiança da pontuação de risco geral
para reflectir uma "redução" no risco devido à preparação ou confiança no tratamento, Quadro
15. Desta forma, um risco é "inerente", antes da subtracção da pontuação de preparação e, em
seguida, é "residual" após a subtracção da pontuação de preparação.

Quadro 14 Dimensão redutora - nível de preparação
Coluna A Coluna B Coluna C Coluna D Coluna E Probabilidade Impacto nível de
preparação
Designação do
risco
Descrição do
risco
Classe de risco e
objectivo/meta
que afecta
categoria do risco Inserir sub-
objectivos,
acções ou
sub-acções
Currículo
reprovado na
acreditação
Currículo não em
conformidade
com os padrões
OB 1 Conformidade e
Legalidade (risco)
1.2.1. 4 4 1
Em alguns sectores, como serviços financeiros, pode-se usar a modelagem para atribuir
valores precisos de impacto de certos riscos e para estimar as probabilidades de ocorrência.
Nessas indústrias, as empresas podem usar um modelo para quantificar alguns riscos e usar
avaliações mais qualitativas em outros riscos.
Por outro lado, algumas organizações adoptam uma abordagem mais simplista e usam apenas
descritores como “alto, médio ou baixo”, Quadro 10. O argumento para usar uma abordagem
mais simplista é que a avaliação é necessariamente um exercício subjectivo e, portanto, pode
não haver muito valor agregado em definir mais precisamente cada ponto na escala.
Definição da Matriz de probabilidade e impacto
A Matriz de Probabilidade e Impacto é um dos métodos de avaliação qualitativa mais
comumente usados. Baseia-se nos dois componentes de risco, probabilidade de ocorrência e
impacto se ocorrer. A matriz é uma grade bidimensional que mapeia a probabilidade de
ocorrência dos riscos e seus efeitos nos objectivos. Há uma grande variedade de práticas em
torno da compilação de todas as classificações em uma “pontuação” geral.

Etapa 4 - Avaliação de risco e oportunidade
Matriz de pontuação de riscos
A pontuação de risco, muitas vezes referida como nível de risco ou grau de risco, é calculada
multiplicando os dois eixos da matriz, uma vez que o impacto e a probabilidade podem
assumir valores relativos e numéricos.
Risco = Impacto x Probabilidade
O resultado dessas matrizes de risco é usado para priorizar os riscos, planear a resposta aos
riscos, identificar os riscos para avaliação quantitativa e orientar a alocação de recursos.
Exemplo A : matriz de pontuação de riscos
O risco inerente numa escala de 5 pontos usada para definir o impacto e probabilidade acha-
se multiplicando as pontuações do impacto e probabilidade. O risco residual acha-se de
deduzindo ao risco inerente factores redutores, ver Quadro 15
Exemplo B : matriz de pontuação de riscos
Nenhuma "pontuação" de risco é calculada, mas em vez disso, os riscos são mapeados numa
tabela de 3 por 6, fornecendo um visual das graus de significância dos riscos.
Exemplo C : matriz de pontuação de riscos
Neste exemplo, a avaliação do impacto usa uma escala de 5 pontos e três dimensões:
probabilidade, impacto financeiro e impacto na reputação.
Um valor é atribuído a cada ponto na escala e, com base nas respostas da pesquisa, calculou-
se o valor médio para cada dimensão. Cada uma das três dimensões recebe um peso. A
pontuação do risco total foi calculada somando as pontuações ponderadas para cada
dimensão.
Exemplo D : matriz de pontuação de riscos

Uma escala de 3 pontos é usada para três dimensões: importância para a organização, mpacto
e probabilidade. A pontuação geral é obtida multiplicando as pontuações médias das
dimensões, isto é: = Importância x impacto x probabilidade
Exemplo E : matriz de pontuação de riscos
Neste exemplo, a média das pontuações de impacto e probabilidade é calculada em separado,
depois adiciona-se a pontuação de velocidade à média e no fim subtrai-se a pontuação da
capacidade e o resultado final é a pontuação do impacto geral.
Exemplos de Escalas de avaliação de risco usadas por várias organizações
Os exemplos de escalas de avaliação de risco usadas por várias organizações mostram como
as escalas são usadas para desenvolver pontuações de risco para priorizar os principais riscos.
Quadro 15 Exemplo 1 Bens de consumo
Sector Dimensões Escala Pontuação
Consumidor
Bens 1
Impacto 5 pontos (mais alta = maior impacto) Média de probabilidade e
impacto menos eficácia
mais velocidade:
((Probabilidade +
Impacto) / 2) -
Eficácia + velocidade
Probabilidade 5 pontos (mais alta = maior
probabilidade)
Eficácia 3 pontos (mais alta = mais eficaz)
Velocidade 3 pontos (mais alta = mais rápido)
Consumidor
Bens 2
Probabilidade 5 pontos (mais alta = maior probab.)
Probabilidade X Impacto
Impacto 5 pontos (mais alta = maior impacto)
Consumidor
Bens 3
Probabilidade 5 pontos (mais alta = maior probab.) (Probabilidade x Impacto)
–
controle
Controle 5 pontos (mais alta = controle mais alto)
Quadro 16 Exemplo 3 Serviços
Serviços 1 Importância/
Significado
3 pontos (alto = 3) Importância x Probabilidade x
Impacto
Probabilidade 3 pontos (alto = 3)
Impacto 3 pontos (alto = 3)
Serviços 2
Probabilidade 5 pontos (mais alta = maior probab.)
Serviços 3 Probabilidade Escala de 5 pontos usando Cada uma das três dimensões

probabilidades 0.1, 0.2, 0.4, 0.8,
e 1,0 (ou seja, uma pontuação
de 5 representa 100% chance de
ocorrência).
recebe um peso baseado numa
análise separada da importância
relativa da dimensão. A
pontuação de risco total é
calculado da seguinte forma:
(pontuação média de
probabilidade x peso da
probabilidade) + (pontuação
média do impacto financeiro
x peso do impacto financeiro) +
(pontuação média da reputação
x peso da reputação)
Impacto
financeiro
Escala de 5 pontos usando pesos 0,05,
0,10, 0,25, 0,5, e 1.0
Impacto de
reputação
Escala de 5 pontos usando pesos 0.1,
0.2, 0.3, 0.7, e 1.0
Quadro 17 Exemplo 4 Saúde
Saúde 1
Probabilidade 3 pontos usados na matriz a cores Matriz de 9 celulas, 3 X 3, a cores
mas não “Pontuada”
Impacto 3 pontos usados na matriz a cores
Saúde 2 Probabilidade 3 pontos usados na matriz a cores Matriz de 9 celulas, 3 X 3, a cores
mas não “Pontuada”
Impacto 3 pontos usados na matriz a cores
Saúde 3 Ordem de
classificação
Os entrevistados classificam três
riscos principais.
5 pontos para o risco classificado em
primeiro lugar 3 pontos para risco
classificado em segundo 2 pontos
para risco em terceiro lugar. Os
pontos para cada risco mencionados
são totalizados e os riscos são
classificados de maior total de pontos
para mais baixo.
Quadro 18 Exemplo 5 Sector de energia
Energia
Probabilidade 5 pontos (altamente improvável = 5) Os participantes avaliam
como o risco inerente
“Está sendo” gerido (real)
e com que eficácia o risco
inerente “deveria ser” gerido
(desejado).
Impacto 5 pontos (< MZM 50 milhões = 5)
Velocidade 5 pontos (mais de um ano =5)
Estado de reparação 5 pontos (muito preparado = 5)
Eficácia 7 pontos (muito eficaz = 7)
Quadro 19 Exemplo 7 Sector Financeiro
Financeiro
Probabilidade 5 pontos (mais alto = mais alta probab)
Impacto 5 pontos (mais alto = maior impacto)
Quadro 20 Exemplo 8 Sector Industrial

Industria
Probabilidade 5 pontos (mais alto = mais alta probab)
Média de classificação
usando pontuação com base
na probabilidade x Impacto e
classificação usando
frequência das três primeiras
ocorrências
Impacto 5 pontos (mais alto = maior impacto)
Velocidade 5 pontos (mais alto = velocidade mais
rápida de ocorrência)
Confiança no
tratamento
5 pontos (mais alto = maior grau de
confiança)
Tendência
futura
5 pontos (mais alto = mais negativo
tendência)
Ordem de
classificação Classificação Forçada
Matriz a cores de risco e oportunidade
Matriz quantitativa de risco e Oportunidade
Probabilidade
Risco Oportunidade
Probabilidade
3 Alta 3 6 9 12 15 18 18 15 14 9 6 3 3 Alta
2 Médio 2 4 6 8 10 12 12 10 8 6 4 2 2 Médio
1 Baixo 1 2 3 4 5 6 6 5 4 3 2 1 1 Baixo
1 2 3 4 5 6 6 5 4 3 2 1
Baixo Mod. Subs Gra For Cat
Pontuação Cores
1-3
4-9
10-18

Uso de classificações forçadas para avaliação de risco
Algumas organizações descobriram que é melhor manter as coisas simples e, portanto não
utilizam escalas, apenas a indicação dos principais riscos , por exemplo os 3 ou os 10
principais riscos. Ao fazer isso, estão implícitas as dimensões como probabilidade e impacto,
ao classificar os principais riscos.
Beníficios da classificação forçada
Existem vários benefícios no processo de classificação forçada.
Primeiro, nenhuma escala de avaliação é necessária quando as organizações usam esse tipo
de processo de classificação forçada.
Segundo, o processo de avaliação de risco pode ser mais rápido em comparação ao uso de
escalas de várias dimensões de risco (por exemplo, probabilidade, impacto, velocidade, etc.).
Terceiro, esta metodologia normalmente facilita a “separação” de pontuações de risco
facilitando a identificação dos principais riscos com menos trabalho do uso de escalas. Em
contraste, quando as escalas de pontuação de risco são usadas, acha-se a media das
pontuações e estas muitas vezes dão uma média que costuma estar proxima de 3.0, resultando
em menos dispersão de pontuações numa série de riscos.
Embora a ordem de classificação possa parecer mais subjectiva na superfície, é importante
notar que também há um alto grau de subjectividade quando os indivíduos fazem avaliações
usando escalas.
Exemplo do uso de classificação forçada
Nesre exemplo escolhe-se os dez principais riscos na ordem decrescente. O primeiro risco é
atribuído 10 pontos, o segundo 9 pontos, o décimo risco 1 ponto. As pontuações são somadas
para cada risco e as classificações ordenadas do risco mais alto para o mais baixo.
O exemplo abaixo ilustra como o processo de classificação funciona para um banco
comunitário quando os indivíduos são solicitados a escolher seus 10 principais riscos em
ordem de prioridade. A tabela abaixo mostra a ordem de classificação da pontuação total

mais alta para a mais baixa. Por exemplo, o risco avaliado mais alto é “O banco pode não ser
capaz de aumentar os depósitos básicos a uma taxa suficiente para acompanhar o crescimento
dos empréstimos. ” Para este risco, três indivíduos listaram que como seu risco número um,
quatro indivíduos o classificaram como seu risco número dois, enquanto uma pessoa
classificou-o como seu risco número três. Outros classificaram esse risco como inferior nos
10 primeiros. Dez pontos são atribuídos cada ao risco número um, enquanto nove pontos são
atribuídos ao risco número dois e assim por diante. O risco total a pontuação de 120 pontos
para o risco máximo é calculada da seguinte forma: (10x3) + (9x4) + (8x1) + (7x3) + (6x1) +
(5x2) +(4x0) + (3x1) + (2x2) + (1x2) = 120.
3 Estratégias para tratamento de risco
A redução do risco residual para um nível aceitável é realizada através de acções de
tratamento que obedecem a quatro estratégias distintas, das quais se apresentam exemplos de
ações concretas:
Evitar o risco, prevenindo a exposição a eventos de risco:
 Sair de um determinado mercado ou área geográfica;

 Vender ou alienar partes do negócio;
 Abandonar atividades específicas, redefinindo objetivos, estratégias e redireccionando
recursos;
 Redefinir o desenvolvimento do negócio e expandir mercado; e
 Avaliar novas alternativas de investimento.
Aceitar o risco no seu nível actual:
 Assumir o risco na sua actual forma / existência
 Redefinir produtos ou serviços incluindo condições específicas que compensem o
risco adicional; e
 Medidas financeiras.
Reduzir o risco, implementando medidas que baixem o risco para um nível
aceitável:
 Dispersar recursos físicos, financeiros ou de informação, reduzindo o risco de perdas
catastróficas inaceitáveis;
 Controlar o risco através de processos internos que reduzam a probabilidade de
ocorrência de eventos de risco para um nível aceitável;
 Planear uma resposta efetiva a contingências, documentando e responsabilizando os
recursos certos e promovendo a realização de testes e execução do plano
periodicamente;
 Diminuir a dimensão da atividade que origina o risco;
 Melhorar características de um produto ou serviço para gerir a exposição pretendida;
 Transferir operações de uma localização onde o risco não possa ser gerido, para outra
onde possa ser gerido de melhor forma;
 Redesenhar o modelo de negócio, no seu todo ou em parte; e
 Diversificar os recursos necessários para suportar o modelo de negócio da empresa.
Partilhar o risco com outras entidades independentes:
 Redefinir a estratégia de risco, contratando entidades externas para suportar parte do
risco;

 Dispersar os seguros contratados, reduzindo a exposição do portfolio de seguros;
 Transferir os riscos de entrada num novo mercado através de alianças ou joint-
ventures;
 Recorrer a outsourcing em processos não fundamentais do negócio, contemplando o
risco e a sua partilha / gestão no contrato formalizado; e
 Partilha de risco, directamente com entidades independentes.

Gestão de riscos corporativos e oportunidades

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Gestão de riscos corporativos e oportunidades

Semelhante a Gestão de riscos corporativos e oportunidades (20)

Último

Último (19)

Gestão de riscos corporativos e oportunidades