O documento descreve as 5 etapas fundamentais para uma gestão de riscos eficaz: 1) identificação dos riscos, 2) avaliação dos riscos, 3) tratamento dos riscos, 4) monitoramento dos riscos e 5) comunicação dos riscos. O texto também promove a solução SoftExpert ERM para gestão integrada de riscos corporativos.

1. www.softexpert.com.br
5 etapas fundamentais para
uma gestão de riscos eficaz
www.softexpert.com.br

2. www.softexpert.com.br
A gestão de riscos é um tema cada vez mais importante para os negócios e as empresas têm demonstrado maior
preocupação frente aos seus riscos. Riscos são importantes para as decisões estratégicas, são a principal causa das
incertezas nas organizações e estão presentes nas atividades mais simples de uma empresa. Uma abordagem ampla e
corporativa da gestão de riscos permite que uma organização contabilize o potencial impacto de todos os tipos de risco
em todos os seus processos, atividades, produtos e serviços.
A premissa inerente à gestão de riscos corporativos
(ERM – Enterprise Risk Management) é que toda
organização existe para gerar valor às partes
interessadas. Todas as organizações enfrentam incertezas
e o desafio de seus administradores é determinar até que
ponto aceitar essa incerteza e definir como ela pode
interferir no esforço para gerar valor às partes
interessadas. Incertezas representam riscos e
oportunidades que têm potencial para destruir ou agregar
valor. A gestão de riscos corporativos possibilita aos
administradores tratar com eficácia as incertezas, bem
como os riscos e as oportunidades a elas associadas, a
fim de melhorar a capacidade de gerar valor.

3. www.softexpert.com.br
A gestão de riscos corporativos é um processo conduzido em uma
organização pelo conselho de administração, diretoria e demais
empregados, aplicado no estabelecimento de estratégias,
formuladas para identificar em toda a organização eventos em
potencial, capazes de afetá-la, e administrar os riscos de modo a
mantê-los compatíveis com o apetite ao risco da organização e
prover garantia razoável do cumprimento dos seus objetivos.
Uma iniciativa bem-sucedida de gestão de riscos corporativos pode afetar a
probabilidade e o impacto de possíveis riscos, assim como proporcionar benefícios
relacionados a decisões estratégicas mais bem fundamentadas, processos de
mudança bem-sucedidos e aumento da eficiência operacional. Outros benefícios
incluem a redução do custo do capital, relatórios financeiros mais precisos, vantagem
competitiva, melhoria da percepção da organização, melhor presença de mercado e, no
caso de organizações de serviço público, aprimoramento no apoio político e
comunitário.
De acordo com o COSO, ERM pode ser
assim definido:

4. www.softexpert.com.br
O ponto de partida é descobrir os riscos e defini-los com
algum detalhamento e em um formato estruturado.
Em um processo de gestão de
riscos podem existir várias
etapas e atividades. Mas o
ciclo de vida completo da
gestão de riscos pode ser
resumido em apenas 5
delas, que são a base
para os principais
regulamentos de gestão
de riscos, incluindo o COSO
e a ISO 31000.
Identificação
Uma abordagem para o tratamento de cada risco deve ser definida, que
em alguns casos pode ser não fazer nada. Isso requer uma análise da
aceitabilidade do risco, podendo requerer um plano de ação para
prevenir, reduzir ou transferir o risco.
Tratamento
A comunicação em cada uma destas quatro etapas anteriores é
parte fundamental para um processo de tomada de decisão
efetivo na gestão de riscos.
Comunicação
Os riscos são avaliados quanto a probabilidade e o
impacto de sua ocorrência.
Avaliação
Um processo contínuo de revisão é essencial para uma gestão
de riscos proativa, reavaliando os riscos e monitorando a
situação dos tratamentos e controles implementados.
Monitoramento

5. www.softexpert.com.br
Defina os objetivos corporativos e operacionais. É muito importante ter clareza nos objetivos antes de
começar a identificar os riscos. Isso vai lhe permitir identificar eventos que influenciem na sua
capacidade de alcançar seus objetivos.
Liste todos os riscos relevantes. Normalmente o melhor processo para desenhar uma longa lista de
riscos potenciais é uma combinação de sessões de brainstorming com entrevistas individuais. Você
deve procurar por riscos de todos os tipos, como financeiro, gestão, reputação, econômicos, meio
ambiente, tecnologia e fraude, e em todas as áreas.
Identifique os fatores de risco. Você precisa tentar identificar causas prováveis para os riscos – o que
pode ter feito o risco aparecer da primeira vez. Pode haver somente uma causa para um risco, assim
como também podem haver muitas.
Especifique as medidas de controle existentes. Para muitos riscos você já terá algumas medidas
existentes para controlar a probabilidade ou o impacto de sua ocorrência. Para serem eficazes, estes
controles internos devem ser demonstráveis através de políticas, procedimentos ou práticas. Uma
pergunta chave é se os controles existentes são adequados ou se controles adicionais são
necessários para a gestão eficaz de cada risco.
Defina os responsáveis. Para uma gestão de riscos eficaz, é importante que cada risco tenha um
responsável, garantindo que os controles internos estejam funcionando e que ações de tratamento
relevantes sejam tomadas. Essa função também envolve monitorar regularmente a situação do risco
e ajustar sua avaliação com base nas informações mais atualizadas.
01 | Identificação dos riscos

6. www.softexpert.com.br
Avalie a probabilidade de ocorrência dos riscos. Para chegar ao resultado da avaliação do
risco você precisa primeiro analisar a probabilidade de que o risco se manifeste, considerando
os controles existentes que estão ativos. Essa tarefa pode não ser tão fácil e os critérios
variam de acordo com os tipos dos riscos.
Avalie o impacto dos riscos. O impacto de um risco é normalmente definido considerando o
nível de severidade desse impacto. Definir regras para avaliar os impactos é mais complexo
que para avaliar a probabilidade, já que em muitos casos essa avaliação é apenas qualitativa.
Obtenha o resultado final da avaliação. O resultado final provém da combinação das
avaliações de probabilidade e de impacto, normalmente através da multiplicação de seus
coeficientes, gerando a chamada “matriz de avaliação de riscos”. É comum dividir a matriz em
cores para proporcionar uma abordagem mais visual para a situação do risco, em
complemento ao seu resultado quantitativo.
Priorize os riscos e defina o apetite de risco. Não é possível se livrar de todos os riscos, então
alguns precisarão ser tratados. No entanto, é importante definir qual a tolerância da
organização para com os riscos e então definir uma prioridade para cada risco, de acordo com
esta tolerância (apetite). Definir uma prioridade lhe dá uma informação secundária sobre o
risco, em complemento à sua situação, assim você pode identificar rapidamente os riscos
mais significantes ou urgentes.
02 | Avaliação dos riscos

7. www.softexpert.com.br
Defina o tipo de resposta ao risco. Existem quatro tipos genéricos de respostas que você pode
dar aos riscos: tolerar, transferir, tratar e eliminar. Os méritos relativos e os aspectos práticos
de cada abordagem vão depender em grande parte da natureza do risco, e especialmente do
nível de prioridade atribuído a ele. Para todos os riscos, com exceção daqueles que você está
“tolerando”, é necessário articular um plano de ação de mitigação para prevenir, reduzir ou
transferir o risco.
Crie ações de mitigação para os riscos prioritários. Você precisa criar um plano de ação de
mitigação para todos os riscos que você quer tratar. O objetivo das ações de mitigação não é
necessariamente eliminar o risco completamente, mas reduzi-lo a um nível aceitável. Você
também precisa considerar a relação custo/benefício ao decidir por tratar ou não um risco.
03 | Tratamento dos riscos

8. www.softexpert.com.br
Reavalie os riscos regularmente. O principal objetivo ao se monitorar riscos é garantir que os
riscos da organização estão sendo administrados de forma eficaz. A avaliação dos riscos deve
ser revisada regularmente pelos seus responsáveis e esta atualização deve se basear:
• No andamento das ações de tratamento e outras ações que podem afetar o perfil do risco.
• Na identificação de novos riscos e fatores que podem ter surgido desde a última avaliação.
Para ajudar nas reuniões de revisão periódicas, existe muita informação adicional que você
pode usar quando for reavaliar seus riscos. Por exemplo, o histórico de incidentes vai lhe dar
uma indicação de quão eficaz os tratamentos e os controles internos estão sendo.
04 | Monitoramento dos riscos

9. www.softexpert.com.br
Consolide a informação e verifique o progresso dos riscos. A comunicação em um processo
de gestão de riscos se aplica em todas as etapas do ciclo de vida do risco, embora se possa
dizer que ela é mais crítica na etapa de monitoramento. A forma de se comunicar o resultado
dos riscos é algo que deve ser planejado e definido no início do processo de gestão, já
pensando no conteúdo, formato e frequência da divulgação.
Perfil dos riscos, riscos críticos, andamento dos planos de mitigação, situação dos riscos,
tendência e mapas de calor (heat maps) são alguns dos tipos de relatórios ou dashboards que
você irá querer ter em cada etapa do processo de gestão de riscos.
05 | Comunicação dos riscos

10. www.softexpert.com.br
Agora que você já conhece as 5 principais etapas de um processo eficaz de gestão de riscos, conheça
também o SoftExpert ERM, a solução mais completa e inovadora do mercado para excelência na gestão de
riscos corporativos.
Reduza riscos. Maximize oportunidades.
SoftExpert ERM (Enterprise Risk Management) permite às organizações identificar, analisar,
avaliar, monitorar e gerenciar seus riscos corporativos utilizando uma abordagem integrada. A
solução reúne todos os dados relacionados à gestão de riscos em um único ambiente, incluindo
uma biblioteca reutilizável de riscos e seus respectivos controles e avaliações, eventos, tais
como perdas e não conformidades, indicadores de desempenho e planos de tratamento.
SoftExpert ERM

11. www.softexpert.com.br
Identificação de riscos
Avaliação dos riscos
Saiba mais
Saiba mais

12. www.softexpert.com.br
Tratamento dos riscos
Monitoramento dos riscos
Saiba mais
Saiba mais

13. www.softexpert.com.br
Comunicação dos riscos
Saiba mais

14. www.softexpert.com.br
A SoftExpert é a empresa líder de mercado de software para
melhoria contínua dos processos e da conformidade
corporativa, oferecendo a mais completa gama de soluções
que habilitam as organizações na melhoria do desempenho
em todos os níveis da organização e no cumprimento
impecável dos programas de governança corporativa e de
conformidade regulamentar.
Fundada em 1995, a SoftExpert possui uma história vencedora
de evolução e inovação nas suas áreas de atuação e de
negócio. As soluções da SoftExpert são utilizadas por
organizações dos mais variados segmentos e portes,
auxiliando mais de 2 mil clientes e 300 mil usuários ao redor
do mundo a operar lucrativamente, evoluir continuadamente e
crescer sustentavelmente.
Da operação até a direção, das áreas administrativas até a
cadeia de fornecimento, dos times internos até os clientes e
fornecedores, a SoftExpert fortalece as organizações a pensar
e agir estrategicamente, promover a inovação e melhoria
contínuas, alinhar recursos e processos, comprometer
colaboradores e clientes, e focar nos resultados chaves do
negócio, criando um diferencial competitivo para
permanecerem a frente da concorrência.
SoftExpert
SoftExpert Excellence Suite
O SoftExpert Excellence Suite é a mais completa plataforma de gestão para alcançar a
excelência em processos, conformidade regulamentar e governança corporativa.
As organizações podem não necessitar de todas as aplicações, ou podem implementar uma
aplicação após a outra, evoluindo a medida que a necessidade aumenta. Independentemente
da estratégia escolhida, somente um ambiente único compartilhado permite que as aplicações
colaborem entre si e se encaixem perfeitamente como peças em um quebra-cabeça da
excelência corporativa.

15. Leve sua empresa para o próximo nível.
www.softexpert.com.br | vendas@softexpert.com
Aviso Legal: O conteúdo desta publicação não pode ser copiado ou reproduzido, no todo ou em partes, sem a autorização prévia da SoftExpert Software. Esta publicação é disponibilizada pela SoftExpert e/ou sua rede de afiliados apenas em caráter informativo, sem nenhuma
garantia de qualquer tipo. As únicas garantias relacionadas aos produtos e serviços da SoftExpert são aquelas declaradas em contrato. Algumas características e funcionalidades dos produtos apresentados nesta publicação podem ser opcionais ou dependentes da composição da(s)
oferta(s) adquirida(s). O conteúdo deste material está sujeito a alteração sem aviso prévio.